Aa13-Ev1 - Plan de Gestión de Riesgos (PGR)

Especialización Tecnológica en Gestión y Seguridad de Bases de Datos
Diseño y Administración de una Base de

Proyecto Ficha 1881795
Datos para una Alcaldía
Actividad del Efectuar acciones de protección a la base
Fase EJECUCIÓN
Proyecto de datos
Producir documentación técnica de la
Actividad de
seguridad de la información de las AA13 – EV1 Plan de gestión de riesgos (PGR)
Aprendizaje
bases de datos
AA13-EV1 - PLAN DE GESTIÓN DE RIESGOS (PGR)
Presentado por:
JOHAN ENRIQUE RAMOS TORRES
Instructor Responsable:
FERNANDO LOPEZ TRUJILLO
ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y

SEGURIDAD DE BASE DE DATOS
NOVIEMBRE DE 2019
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
CONTENIDO
1. INTRODUCCIÓN
2. OBJETIVOS
3. ALCANCE
4. PROCESO DE ANÁLISIS DE RIESGOS INFORMÁTICOS
5. ROLES Y RESPONSABILIDADES
6. RECURSOS Y PRESUPUESTOS PARA LA EJECUCION
7. CRONOGRAMA DE EVENTOS
8. RIESGOS ESTRUCTURAS Y ESCALAS
9. INVENTARIO DE ACTIVOS Y SUS POSIBLES AMENAZAS
10. HERRAMIENTAS COMERCIALES
11. BIBLIOGRAFÍA
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
1. INTRODUCCIÓN
La alcaldía de san Antonio es una entidad gubernamental que presta servicios a la comunidad,
está conformada por el alcalde y varias dependencias como son: la secretaria general,
secretaria de gobierno, secretaria de hacienda, secretaria de planeación y obras públicas,
secretaria de educación, secretaria de salud, secretaria de deportes, recreación y cultura,
secretaria de gestión ambiental y minería y una oficina asesora de control interno, en sus
proceso por mejorar su infraestructura tecnológica, ha llevado a cabo ciertas tares de cambios
en todas sus dependencias mejorando los equipos de cómputos, los servidores , los sistemas
operativos , y creando políticas de seguridad que permitan la protección y adecuado manejo
de la información dentro de cada una de las dependencias o secretarias de la alcaldía, tras
todo este proceso, se ha realizado un diagnóstico del sistema actual, identificando los riesgos
y los activos en general que permitan tomar medidas de acción implementando un plan de
gestión de riesgos, para asegurar y recuperar tanto los datos, los equipos y los sistemas
software, para que la organización esté preparada para cualquier eventualidad y así seguir
continuando sus operaciones en caso de desastres naturales o daños causados por el ser
humano.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
2. OBJETIVOS
2.1. GENERAL.
2.1.1 Asegurar la continuidad del negocio por medio de un plan que permita
identificar y evaluar los riesgos que se pueden presentar dentro y fuera la
alcaldía de san Antonio permitiendo su continuo funcionamiento.
2.2. ESPECIFICOS
 Analizar los riesgos informáticos en cuanto a infraestructuras físicas como

lógicas (hardware y software).
 Identificar los miembros que integran el equipo de gestión de riesgos.
 Estimar costos y recursos económico para el ejecutar el plan presente.
 Definir roles con sus respectivas responsabilidades y cronogramas de
realización.
 Definir una estructura clara para identificar los riesgos.
 Identificar los activos de la organización y las amenazas a las que se encuentran
expuestos.
 Analizar la matriz de riesgos planteada anteriormente.
 Evaluar y comparar el nivel de riesgo actual con el impacto generado después de
implementar el plan de gestión de seguridad de la información
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
3. ALCANCE Y PROPOSITO
Este documento tiene un alcance a todas las dependencias de la alcaldía, estableciendo un estudio
cuidadoso sobre el Sistemas de Gestión de la Seguridad de la Información, permitiendo que esta sea
segura y que tanto el hardware que se implementa, como la parte lógica que son los sistemas
informáticos, estén bajo ciertos parámetros de vigilancia, que garanticen un normal funcionamiento
y estén en continuo proceso de confiabilidad, rendimiento y disponibilidad bastante altos.
Este plan de gestión de riesgo tiene como propósito establecer ciertos parámetros de supervisión y
mecanismos de seguridad que mitiguen las vulnerabilidades de todo el sistema computacional de la
alcaldía de san Antonio, tanto internamente como externamente; es un hecho que todas las
organización dependen del correcto tratamiento que se le dé a la información, y el adecuado cuidado
que se le también a la infraestructura física, permitiendo una constante supervisión de cada uno de
los componentes que integran toda la alcaldía de san Antonio como son los servidores las redes de
internet e intranet, los accesos a la información, el firewall, las personas que tienen acceso a ellas, las
fallas eléctricas, desastres naturales, virus y ataques delictivos, y permitir una adecuada capacitación
a todo el personal dentro de la organización que les perita conocer el plan de gestión de riesgo de la
seguridad de la información.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
4. PROCESO DE ANÁLISIS DE RIESGOS INFORMÁTICOS:

Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una
organización. En los tiempos de antes la información, no se le daba tanta importancia, como el día de
hoy
Antes:
 La seguridad informática no era un gran problema.

 Centros de cómputos pequeños y pocas terminales.
 Redes aisladas de computadoras pequeñas y sólo usuarios internos.
Hoy:
 La seguridad de la información es un tema prioritario.

 Los sistemas informáticos están dispersos e interconectados en toda la Organización.
 Tenemos grandes redes; Internet; diversidad de plataformas; múltiples sistemas operativos;
usuarios internos, externos e invitados; equipos móviles, etc.
 Acceso desde cualquier lugar del mundo a la información.
DEFINICION GESTIÓN DEL RIESGO
La definición estandarizada de riesgo proviene de la Organización Internacional de

Normalización (ISO), definiéndolo como “la posibilidad de que una amenaza determinada
explote las vulnerabilidades de un activo o grupo de activos y por lo tanto causa daño a la
organización”.
IDENTIFICACIÓN DEL RIESGO
1. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del
riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de
los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la
entidad por parte de la alta gerencia.
2. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

ciudadanía hacia la institución.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
3. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de

los sistemas de información institucional, de la definición de los procesos, de la estructura de la
entidad y de la articulación entre dependencias.
4. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen:
la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes.
5. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad, de acuerdo con su misión.
6. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para
satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
A lo largo de los años los sistemas computacionales se han vuelto más fuerte en el ámbito de manejar
grandes volúmenes de información y trazabilidad, permitiendo un mejor desempeño en los procesos
de las organizaciones. En la alcaldía de san Antonio el alcalde implemento un gran cambio en el
sistema computacional y en la infraestructura de redes, permitiendo un gran avance en la tecnología
que estaba implementada en esta organización, Una evaluación de riesgo debería ser realizada para
ver que constituye el desastre y a que riesgos es susceptible la alcaldía de san Antonio. Principalmente
porque esta cuenta con una infraestructura a gran escala organizada de la siguiente manera:
DISTRIBUCIÓN DE LOS SERVIDORES

Servidores que componen la alcaldía de san Antonio:
 servidor de seguridad: donde se gestionan todos los accesos a los sistemas y se dan
rolles y permisos a las aplicaciones de la alcaldía
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
 servidor de Backup de datos de usuarios: respaldos y copias de seguridad de los

datos
 servidor de producción en donde estará el sistema de Información Geográfico (SIG),
entre otros
 servidor dedicado para el uso de: controlador de dominio, Directorio activo.
 servidor de correo: se gestionan las cuentas de la alcaldía.
 servidor de comunicaciones: o de acceso remoto a herramientas de información
 servidor de archivos y de impresión: permite el almacenaje de todos los documentos
estáticos y la administración de las impresoras que darán soporte a la alcaldía
 servidor de Internet y firewall: es el equipo que va a proteger a la red interna de los
posibles ataques de la red externa, controlando los accesos entre otros.
 servidor de base de Datos SQL Server: ayuda en el manejo de bases de datos con
múltiples usuarios, pudiéndose acceder a ellas desde terminales o equipos con un
programa -llamado cliente- que permita el acceso a la base o bases de datos. Los
gestores de base de datos de este tipo permiten que varios usuarios hagan
operaciones sobre ella al mismo tiempo
Estos servidores están ubicados en el área de Sistemas centralizando los servicios y

controlando la información dando soporte a la seguridad de dicha información en todas
las dependencias de la alcaldía.
Esta dependencia está expuesta a ataques informáticos y es una de las más importantes,
porque en ella se configuran los sistemas de manejadores de bases de datos, los programas
de gestión que manejan cada secretaria, el firewall físico que da soporte a la seguridad
real de la empresa, y a estos equipos servidores, cada una de las secretarias de esta
dependencia se conectan.
Entre las vulnerabilidades que se tienen en esta dependencia son los ataques a las redes y
el sistema eléctrico el cual esta propenso a fallas y podrían generar daños en los equipos
para esto, se deben implementar las siguientes medidas de prevención:
 Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se
pierda más que los datos de una semana.
 Incluir el software, así como toda la información de datos, para facilitar la
recuperación.
 Si es posible, usar una instalación remota de reserva para reducir al mínimo la
pérdida de datos.
 Redes de Área de Almacenamiento (San) en múltiples sitios son un reciente
desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente
sin la necesidad de recuperarlos o sincronizarlos.
 Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado
equipo electrónico.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
 El suministro de energía ininterrumpido (SAI).

 La prevención de incendios - más alarmas, extintores accesibles.
 El software del antivirus.
 El seguro en el hardware.
EQUIPOS IMPLEMENTADOS EN LAS DEPENDENCIAS

EQUIPO CANTIDAD CARACTERÍSTICAS
Rack 1 Con soporte para Switch
Switch 32 puerto 1
Switch 24 puerto 39
adaptadores de fibra óptica 11
Servidores 9 Características espaciales para cada uno
Computadores 40 Windows 10, Memoria RAM de 8 GB, Core i5, 1 Tera en disco duro.
Windows 10, Memoria RAM de 8 GB, Core i5, 1 Tera en disco duro,
Computadores 100
Tarjeta inalámbrica de red.
Equipos Touchscreen Windows 10, Memoria RAM de 8 GB, Core i5, 1

Computadores Touchscreen 3
Tera en disco duro, tarjeta inalámbrica de red.
Impresoras 13 Impresora Multifuncional (Scanner, Impresora, Fax, Envió de correos)
Impresoras 3 Impresoras de punto.
Impresoras 4 Impresoras láser.
SECRETARÍA GENERAL
En esta dependencia laboran 12 profesionales que asisten al alcalde en la planeación,
organización, control y ejecución de los programas de la administración.
SECRETARÍA DE GOBIERNO
En esta dependencia laboran 30 profesionales encargados de evaluar todos los programas
y campañas de la administración municipal tendientes a garantizar los derechos civiles,
sociales, vida, honra y bienes de los habitantes del Municipio.
SECRETARÍA DE HACIENDA
En esta dependencia laboran 20 profesionales encargados de gestionar y recaudar todos
los dineros que por diversos conceptos debe percibir el municipio.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
SECRETARÍA DE PLANEACIÓN Y OBRAS PÚBLICAS

En esta dependencia laboran 20 funcionarios encargados de definir y establecer el modelo
de desarrollo social, planeando en lo social, lo económico e infraestructura para la toma
de decisiones y desarrollo del gobierno municipal.
SECRETARÍA DE EDUCACIÓN
En esta dependencia laboran 10 funcionarios encargados de velar por la construcción de
planteles educativos, por su dotación y mantenimiento al igual que de las instalaciones
deportivas y de recreación con que cuentan las instituciones educativas.
SECRETARÍA DE SALUD
En esta dependencia laboran 15 funcionarios, los cuales entres sus funciones tienen la
vigilancia de la salud pública, el registro de los prestadores de servicios de salud.
SECRETARÍA DE DEPORTES, RECREACIÓN Y CULTURA

En esta dependencia laboran 10 funcionarios, los cuales tienen a su cargo La ejecución
de programas destinados al aprovechamiento del tiempo libre por medio de prácticas
deportivas, actividades recreativas y eventos culturales en espacios adecuados.
SECRETARÍA DE GESTIÓN AMBIENTAL Y MINERA

Esta dependencia cuenta con 7 funcionarios quienes están encargados de:
Gestionar las políticas para la conservación del medio ambiente y protección de los
recursos naturales; ejercer el control y vigilancia del cumplimiento de estas normas,
adelantando investigaciones e imponiendo las sanciones que correspondan.
OFICINA ASESORA DE CONTROL INTERNO

En esta oficina trabajan 12 profesionales, los cuales tienen como funciones:
Planear y dirigir los métodos, normas, procedimientos y mecanismos de verificación y
evaluación, que garanticen el cumplimiento de todas las actividades, operaciones y
actuaciones de las diferentes dependencias de acuerdo con las normas constitucionales y
legales vigentes.
La Alcaldía además tiene creada el Área de Sistemas Adscrita a la secretaría de gobierno,

cuenta con una intranet/internet que permite interactuar con todas las dependencias,
secretarias y público en general, para esto se cuenta con una red de fibra óptica y cuenta
con sistemas de conexión con Switch, con una segmentación general para el directorio
activo de todos los usuarios de la alcaldía y los archivos.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
Posibles vulnerabilidades
Cuando se implementan sistemas de infraestructura tecnológica debemos tener unos criterios

de análisis y evaluación, en el proceso de proteger tanto el sistema lógico como el sistema
hardware, por lo tanto, vamos a hablar de algunos de ellos en este apartado, cabe resaltar que
cuando se habla de métodos de prevención, el mejor método es estar preparado para lo peor
Catástrofes: esta es una de los grandes paradigmas que se enfrentan muchas dia a dia
moderna muchas organizaciones, ya que no se sabara a ciencia cierta, cuando y como
ocurrirá,
En el plan se establece medidas de prevención y control en cada una de las dependencias
de la alcaldía, y se identifican las vulnerabilidades, en estas secretarias que manejan
grandes volúmenes de información y están propensas en diferentes de riesgos como son:
Personas inescrupulosas que pueden estar a mandos de otras queriendo robar la

información de las diferentes dependencias
Actos originados por la criminalidad común y motivación política:

 Allanamiento (ilegal, legal)
 Persecución (civil, fiscal, penal)
 Orden de secuestro / Detención
 Sabotaje (ataque físico y electrónico)
 Daños por vandalismo
 Extorsión
 Fraude / Estafa
 Robo / Hurto (físico)
 Robo / Hurto de información electrónica
 Intrusión a Red interna
 Infiltración
 Virus / Ejecución no autorizado de programas
 Violación a derechos de autor
Existen también sucesos que pueden afectar la integridad del sistema cómo los desastres
naturales que a cabalidad hay que contrarrestar con una buena implementación de un sitio
Sucesos de origen físico:
 Incendio
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
 Inundación / deslave
 Sismo
 Polvo
 Falta de ventilación
 Electromagnetismo
 Sobrecarga eléctrica Falla de corriente (apagones)
 Falla de sistema / Daño disco duro
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones

institucionales:
 Falta de inducción, capacitación y sensibilización sobre riesgos

 Mal manejo de sistemas y herramientas
 Utilización de programas no autorizados / software 'pirateado'
 Falta de pruebas de software nuevo con datos productivos
 Perdida de datos
 Infección de sistemas a través de unidades portables sin escaneo
 Manejo inadecuado de datos críticos (codificar, borrar, etc.)
 Unidades portables con información sin cifrado
 Transmisión no cifrada de datos críticos
 Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD
centralizada)
 Compartir contraseñas o permisos a terceros no autorizados
 Transmisión de contraseñas por teléfono
 Exposición o extravío de equipo, unidades de almacenamiento, etc
 Sobrepasar autoridades
 Falta de definición de perfil, privilegios y restricciones del personal
 Falta de mantenimiento físico (proceso, repuestos e insumos)
 Falta de actualización de software (proceso y recursos)
 Fallas en permisos de usuarios (acceso a archivos)
 Acceso electrónico no autorizado a sistemas externos
 Acceso electrónico no autorizado a sistemas internos
 Red cableada expuesta para el acceso no autorizado
 Red inalámbrica expuesta al acceso no autorizado
 Dependencia a servicio técnico externo
 Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos)
 Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de
datos de control
 Ausencia de documentación
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
5. ROLES Y RESPONSABILIDADES
Cuando la entidad toma la decisión de implementar Seguridad de la Información como
un sistema vivo, el primer paso es la definición de una estructura organizacional con
funciones y responsabilidades para la ejecución de las actividades que esto conlleve,
puesto que la designación del personal a estas tareas es necesario a tal punto que si no se
entregan las responsabilidades para ciertos perfiles no se obtendrá la eficacia y efectividad
que se requiere. Ahora bien, el personal se puede definir dependiendo del tamaño de la
entidad y el alcance definido dentro del proyecto enfocado de acuerdo al Modelo de
Seguridad y Privacidad de la Información.
DEFINICIÓN DE ROLES Y RESPONSABILIDADES
El mayor aporte que genera una definición de roles es que se tendrán establecidas las
tareas que realizará cada uno de los miembros del equipo que conforman el plan de
gestión de riesgos, dejando un campo muy pequeño a que se presenten imprecisiones en
referencia a las responsabilidades que cada personaje tiene. Partiendo de este punto, la
alcaldía de san Antonio, tendrán asegurado que cada actividad establecida dentro de la
etapa de planeación del plan de gestión de riesgos, tenga un responsable claro y de igual
forma que cada uno de los miembros del equipo responsable de la ejecución entiendan
claramente sus roles y responsabilidades.
IDENTIFICACIÓN DE LOS RESPONSABLES
En primer lugar, se genera la necesidad de vincular de forma más efectiva al personal de

alto nivel que estará vinculado al proceso de desarrollo del plan de gestión de riesgos en
la alcaldía de san Antonio para que el apoyo se vaya garantizando desde el principio de
la planeación del proyecto e ir marcando un punto de partida de éxito con la
implementación del modelo de gestión de seguridad de la información planteado para la
entidad. Los representantes de alto nivel de la alcaldía deben identificar y establecer, sin
perjuicio de lo establecido en la Ley 489 de 1998, en el menor tiempo posible (cada
entidad establecerá los términos en los cuales se puede cumplir con esta obligación)
organizar el grupo de trabajo responsable para implementar el Modelo de seguridad de la
información en la alcaldía de san Antonio, definiendo el perfil y rol de conformidad con
lo establecido en su documento de política. Teniendo en cuenta lo anterior, al final del
ejercicio el equipo directivo que lidera la implementación del plan de gestión de riesgos,
debe dar a conocer el perfil y responsabilidades de los responsables.
EQUIPO DE GESTIÓN AL INTERIOR DE CADA UNA DE LAS SECRETARIAS
El equipo de gestión del proyecto en la alcaldía se encargará de tomar las medidas

necesarias para planear, implementar y hacer seguimiento a todas las actividades
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
necesarias para adoptar el plan de gestión de riesgos dentro de la misma, así como planear
las actividades necesarias para una adecuada administración y sostenibilidad del mismo.
PERFILES Y RESPONSABILIDADES
Con el fin de poder realizar la labor de la manera más eficiente, se sugiere el conjunto de
integrantes para el equipo que conformara el grupo que estará a cargo del plan de gestión
de riesgos, denominados de la siguiente forma:
El Responsable de Seguridad de la información será el líder del proyecto, escogido dentro

del equipo mencionado anteriormente en cada entidad y tendrá las siguientes
responsabilidades:
 Identificar la brecha entre el Modelo de seguridad y privacidad de la información

y la situación de la alcaldía de san Antonio.
 Generar el cronograma de la implementación del Modelo de Seguridad y
privacidad de la información.
 Planear, implementar y hacer seguimiento a las tareas, fechas, costos y plan de
trabajo de los objetivos específicos del cronograma definido.
 Gestionar el equipo de proyecto de la entidad, definiendo roles, responsabilidades,
entregables y tiempos.
 Coordinar las actividades diarias del equipo y proporcionar apoyo administrativo
 Encarrilar el plan de gestión de riesgos, hacia el cumplimiento de la
implementación del Modelo de Seguridad y privacidad de la Información para la
entidad.
 Realizar un seguimiento permanente a la ejecución de los planes de trabajo,
monitoreando los riesgos del proyecto para darle solución oportuna y escalar al
Comité de seguridad en caso de ser necesario.
 Monitorear el estado del plan de gestión de riesgos en términos de calidad de los
productos a asegurar, tiempo y los costos.
 Trabajar de manera integrada con el grupo o áreas asignadas.
 Asegurar la calidad de los entregables y del plan de gestión de riesgos en su
totalidad.
 Aplicar conocimientos, habilidades, herramientas, y técnicas a las actividades
propias del plan de gestión de riesgos, de manera que cumpla o exceda las
necesidades y expectativas.
 Velar por el mantenimiento de la documentación del proyecto, su custodia y
protección.
 Contribuir al enriquecimiento del esquema de gestión del conocimiento sobre el
plan de gestión de riesgos en cuanto a la documentación de la información
suministrada.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
 Liderar la programación de reuniones de seguimiento y velar por la actualización

de los indicadores del plan de gestión de riesgos.
Dentro de la definición de responsabilidades dentro de cada uno de los departamentos,
contemplados dentro del plan de gestión de riesgos, estableciendo criterios de perfil y
desempeño en seguridad y privacidad de la información dentro de la alcaldía de san
Antonio, se tienen las siguientes responsabilidades específicas de acuerdo al Dominio:
DOMINIO RESPONSABILIDADES
Liderar la gestión de riesgos de seguridad sobre el sistema de la alcaldía de san
Antonio. Gestionar el desarrollo e implementación de políticas, normas,
directrices y procedimientos de seguridad de gestión de TI e información. Definir
mecanismos de control y seguimiento que permitan medir el nivel de
cumplimiento de implantación de las medidas de seguridad. Supervisar la
respuesta a incidentes, así como la investigación de violaciones de la seguridad,
SERVICIOS TECNOLÓGICOS
ayudando con las cuestiones disciplinarias y legales necesarias. Trabajar con la
alta dirección y los dueños de los procesos misionales dentro de la entidad en el
desarrollo de los planes de recuperación de desastres y los planes de continuidad
del negocio. Realizar y/o supervisar pruebas de vulnerabilidad sobre los
diferentes servicios tecnológicos para detectar vulnerabilidades y oportunidades
de mejora a nivel de seguridad de la información.
Establecer los requerimientos mínimos de seguridad que deberán cumplir los
sistemas de información a desarrollar, actualizar o adquirir dentro de la alcaldía.
Apoyar la implementación segura de los sistemas de información, de acuerdo con
el modelo de seguridad y privacidad de la información. Desarrollar pruebas
periódicas de vulnerabilidad sobre los diferentes sistemas de información para
detectar vulnerabilidades y oportunidades de mejora a nivel de seguridad de la
SISTEMAS DE INFORMACIÓN
información. Liderar el proceso de gestión de incidentes de seguridad, así como
la posterior investigación de dichos eventos para determinar causas, posibles
responsables y recomendaciones de mejora para los sistemas afectados. Trabajar
con la alta dirección y los dueños de los procesos misionales dentro de la entidad
en el desarrollo de los planes de recuperación de desastres y los planes de
continuidad del negocio de la alcaldía.
Supervisar que se garantice la confidencialidad, integridad y disponibilidad de la
información a través de los distintos componentes de información
DE INFORMACIÓN implementados en cada una de las dependencias de la alcaldía. Verificar el
cumplimiento de las obligaciones legales y regulatorias del estado relacionadas
con la seguridad de la información
Desarrollar un plan de formación y sensibilización en la alcaldía incorporando el
componente de seguridad de la información sus diferentes niveles. * Supervisar
los resultados del plan de formación y sensibilización establecido para la alcaldía,
USO Y APROPIACIÓN con el fin de identificar oportunidades de mejora. Participar en la elaboración de
los planes de gestión de cambio, garantizando la inclusión del componente de
seguridad de la información en la implementación de la infraestructura
tecnológica de la alcaldía.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
EQUIPO DEL PROYECTO
Dentro de la alcaldía de san Antonio en su dependencia de sistemas, debe conformarse un

equipo para el desarrollo del plan de gestión de riesgo al cual deben pertenecer miembros
directivos y representantes de las diferentes áreas que conforman la alcaldía, con el propósito
de asegurar que toda la información más relevante de la entidad esté disponible
oportunamente. De esta forma se busca asegurar que sea una iniciativa de carácter transversal
a la entidad, y que no dependa exclusivamente de la oficina o área de TI.
Una de las tareas principales del líder del proyecto es entregar y dar a conocer los perfiles y
responsabilidades de cada personaje al grupo de trabajo e identificar las personas idóneas
para tomar cada rol, de acuerdo a los siguientes perfiles:
 Personal de seguridad de la información.

 Un representante del área de Tecnología.
 Un representante del área de Control Interno.
 Un representante del área de Planeación.
 Un representante de sistemas de Gestión de Calidad.
 Un representante del área Jurídica.
 Funcionarios, proveedores, y ciudadanos
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
6. RECURSOS Y PRESUPUESTOS PARA LA EJECUCION
Una vez que se han definido las necesidades de cada área de la empresa, es primordial asignar
prioridades del negocio. Partiendo de un plan de trabajo organizando la información de
manera jerárquica mediante los recursos de cada dependencia:
Cuando analizamos el objetivo de una parte fundamental del proceso al implementar un
sistema de información, establecimos tareas, actividades, responsables y fechas, es así que
debemos realizar también en el plan de gestión:
OBJETIVO RESULTADO TAREA ACTIVIDAD RESPONSABLE FECHA
1. Implementación de un 1.1. instalación y

1.1.1. Adquisición de 1.1.1.1. Criterios evaluativo y 3/06/2018
sistema de informaron funcionamiento del Directos del proyecto
hardware y software selectivo de infraestructura
eficiente sistema
1.1.2. Montaje y
director del proyecto 10/06/2018
configuración del sistema 1.1.2.1. montaje e instalación
técnico
de información
11/06/2018
1.1.2.2. pruebas eléctricas técnico
1.1.3. instalación del 12/06/2018

1.1.3.1. instalación de los equipos técnico monitor
hardware
1.1.4. instalación del 18/06/2018

1.1.4.1 instalación del software desarrollador de software
software
1.1.5. capacitación de 1.1.5.1. planeación de la 20/06/2018

técnico
usuarios capacitación
1.1.5.2. elaboración del material técnico desarrollador de 23/06/2018

pedagógico software
1.1.5.3. organización del 28/06/2018

técnico
cronograma de capacitación
Entre los recursos necesarios para ejecutar este plan de gestión de riesgos informáticos
tenemos los siguientes ítems:
 Acceso a computadores y servidores de la alcaldía de San Antonio (Solo usuarios

autorizados y personal del departamento de sistemas).
 Adquisición de software especializado y herramientas tecnológicas para el
monitoreo constante de la elaboración y documentación de este tipo de planes; así
como el poder permitirle a personal del área de sistemas realizar auditorías internas
para evaluar cómo responde las diferentes secretarias a las amenazas y riesgos
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
informáticos detectados con anterioridad.

 Acceso a la red LAN (Departamento de sistemas y usuarios internos).
 Adquisición de equipos de protección eléctricos.
 Implementación de salón mejorado y ventilado para los equipos de cómputos.
 Entre otros
Con esta información permitimos establecer unos criterios de evaluación como grado de
criticidad de cada nivel dentro de la alcaldía, áreas afectadas, mejoras, responsables entre
otros. Cuando hablamos de estimar costos sobre un proyecto como es la gestión de riesgos
que nos permite medir tanto cuantitativamente cada proceso en relación con el beneficio
que llevara realizarlo, permitimos garantizar que los procesos en la gestión de riesgos se
den de manera ágil y oportuna garantizando, que un riesgo no llegue a afectar tanto a la
alcaldía de san Antonio.
1. Identificando los riesgos y a que dependencia afectará, que grado de afectación tendrá
y que oportuna seria contrarrestar ese riesgo,
2. Calculando la exposición que tiene la parte afectada
3. identificaremos los controles que permitan que no se vuelva a repetir
4. calcularemos el riesgo residual; el riesgo que queda tras la aplicación de las medidas
implementadas para reducir los riesgos existentes, las cuales se conocen como controles.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
5. Acabamos de mencionar la presencia de controles, pero, ¿qué es un control? Un control

es una medida técnica, organizativa, legal o de cualquier otro tipo que mitiga el riesgo
intrínseco del escenario de riesgo, reduciéndolo y generando lo que denominamos riesgo
residual, que es el riesgo que obtenemos tras la valoración de la efectividad de los
controles. Puede decirse que existe una relación biunívoca entre riesgo y control, por la
cual se establece que el coste de un control no debe nunca superar el coste de la
materialización del escenario de riesgo. Esto no obstante tiene el problema de poder
cuantificar adecuadamente el coste de una amenaza, ya que más allá de costes
económicos directos, es necesario considerar costes indirectos, tales como reputabilidad
o pérdida de productividad.
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
7. CRONOGRAMA DE EVENTOS
Periodicidad de los eventos a ejecutar

Los eventos a ejecutar después de desarrollado, documentado e implementado en la práctica
y en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través de la
realización de diferentes auditorias informáticas internas ejecutadas por personal interno
perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución
bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta
a las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas
vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una
probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de
esta dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el
responsable especializado en la administración de la red LAN
8. RIESGOS ESTRUCTURAS Y ESCALAS
Los riesgos en los sistemas de información, se instauran mediante niveles naturales como la
magnitud del daño, dependiendo de la probabilidad establecida mediante la vulnerabilidad a
la que esta expuesta esto permite establecer unos criterios de evaluación pertinentes
alcanzando una medida con escalas manejables, como administrador de sistema de
información se debe tener la capacidad de verificar las vulnerabilidades que manejan los
sistemas de información y la infraestructura tecnológica evaluando el impacto que pueda
tener en la Alcaldía de San Antonio.
Esa estructura de medición de riesgo se establece a través de una escala de niveles que
permiten determinar si son altos, medio o bajos, permitiendo darle importancia dependiendo
el grado en el que se encuentren.
Cuadro 1. Rango valores magnitud del daño
Baja Mediana Alta
Magnitud del daño 1 2 3
Fuente. (Rojas & Castro , 2013)
Cuadro 2. Rango de valores probabilidad amenaza

Baja Mediana Alta
Probabilidad
1 2 3
amenaza
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
Cuadro 3. Rango valores nivel de impacto

Bajo Medio Alto
Nivel de
1 2 3 4 5 6 7 8 9
Impacto
9. INVENTARIO DE ACTIVOS Y SUS POSIBLES AMENAZAS

En la alcaldía de san Antonio se manejan diferentes dependencias que a la vez tienen en sus
infraestructuras equipos actualizados y conectados al departamento tic de la alcaldía. En la cual se
identifican el siguiente inventario de activos informáticos asociados a las amenazas que pueden ser
expuestas:
Activo informático Amenaza

Son las bases de datos las cuales hacen parte de cada una de las
secretarias de la alcaldía de San Antonio Las amenazas a las cuales
se encuentran expuestos son:
Inyección de código maliciosos SQL
Bases de datos internas Ingreso y acceso de intrusos y usuarios no autorizados por el sistema
ni por la base de datos
Presencia de virus informático y gusanos
Software oculto para realizar labores de espionaje, sabotaje, robo
cibernético y vandalismo
Esta es la llamada herramienta intranet la cual facilita la
comunicación interna entre los funcionarios y empleados de la
alcaldía de San Antonio y facilita el proceso de comunicación entre
Página web interna 8Intranet) secretarias; se ve expuesta a las siguientes amenazas Virus
informático Presencia y suplantación de usuarios Acceso de personas
no autorizas por el sistema, la red LAN o externos a la alcaldía
Sabotaje, robo de información Labores de espionaje
A las amenazas a la cuales se ve enfrentado son:
Inyección de código SQL maliciosos para modificar, eliminar y
robar información de bases de datos las cuales corran bajo el sitio
web de la alcaldía Suplantación de usuarios y secretarios, así como
Sitio web externo de la alcaldía de San
del alcalde mayor de la alcaldía de San Antonio para el acceso a
Antonio
datos importantes y el poder conseguir reportes, boletines,
certificaciones de pago de impuestos correspondientes al secretario
de Hacienda
Virus informático
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
Está expuesto a las siguientes amenazas

Suplantación de la identidad, acceso de usuarios internos de la
alcaldía de San Antonio Virus informático Robo de datos e
Chai interno información importante Modificación de datos y sabotaje
Usuarios no autorizados por el sistema los cuales puedan eliminar
datos, registros y reportes en las diferentes bases de datos de cada
una de las secretarias.
Estos hacen referencias a: ROUTERS, TARJETAS DE RED,

ENRRUTADORES, SIWCHES, CABLEADO
Están expuestos a amenazas como:
Virus informáticos potentes como son las bombas lógicas y los
troyanos que pueden inutilizar una red LAN y una
Equipos de red cableados- Equipos de infraestructura tecnológica por completo Acceso de intrusos y
re inalámbricos usuarios no autorizados por los sistemas ni por las bases de datos de
las secretarias de la alcaldía Robo de datos, información, reportes,
boletines, certificaciones electrónicas de pago de impuestos así como
el robo de bases de datos completas Instalación de software espía
por parte de usuarios mal intencionados Hacking de correos
electrónicos, cuentas de usuarios, contraseñas, bases de datos y
acceso a los sistemas de información.
Desactivación y desconfiguración intencional de esta herramienta
Cortafuegos
por parte de usuarios mal intencionados
Las amenazas a las que se pueden enfrentar son:
Acceso y manipulación de estos equipos bien sea local,
remotamente o físicamente por usuarios no autorizados y mal
Servidores intencionados quienes puedan acceder a la red LAN
Presencia de virus informáticos Daños en hardware como en discos
duros, ventiladores Interrupción del suministro de energía eléctrica
Reinicios inesperados de los equipos servidores,
Están expuestos a amenazas tales como:
Presencia de virus informático
Computadores
Daños en hardware, software, recalentamientos, mala limpieza
Daños con los cartuchos y malas calibraciones para la impresión

Impresoras Daños en hardware, desconfiguraciones en el software y los
controladores que manejan la impresora y hacen el puente de
conexión con el hardware de estos dispositivos
Memorias portátiles y dispositivos de
Presencia de virus informático Software maliciosos y espía
almacenamiento externos
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
10. HERRAMIENTAS COMERCIALES

Como gestor de la información en la alcaldía de san Antonio, se busca la gestión constante
de la información y la buena manipulación del software, implementando herramientas que
me permitan conocer toda la infraestructura tecnológica para saber que software está
instalado en cada equipo, además de herramientas que permitan hacer backup de información
e encriptar los datos de los servidores a continuación hago un listado de los más usados y
comento sobre dos de ellos:
 Software de réplica sincrónico.
 Tecnología de almacenaje de réplica SharePlex.
 Servicio telefónico virtual PBX/HOSTED.
 Backup remotos de reserva.
 Protector de datos continúo.
 Sistema para la administración de planes (Moebius).
 Cloud
Podremos destacar como herramientas tecnológicas que debe adquirir la alcaldía de San
Antonio el software de réplica de almacenamiento SharePlex que se integra con los diferentes
motores de bases de datos y Puede migrar a bases de datos basadas en la nube o de código
abierto casi sin tiempo de inactividad en Oracle, Microsoft SQL Server, MySQL, Amazon
AWS, AuroraDB, servicio de Azure SQL Database, EDB Postgres Advanced Server, Java
Message Service (JMS), Kafka, PostgreSQL, SAP ASE, SAP HANA, Teradata,Tibero,
archivos planos, SQL y XML., permitiendo que los procesos operativos diarios continúen sin
interrupciones, Ofrece funciones integradas de monitoreo, resolución de conflictos,
comparación de datos y sincronización para ayudar a las empresas a mantener las bases de
datos que le dan soporte a los demandantes entornos de las aplicaciones, se integra a
WINDOWS, LINUX /UNIX y el software HP 3PAR Remote Copy proporciona a los centros
de datos empresariales y de nube una tecnología de recuperación ante desastres de nivel 1 y
replicación autónoma que permite la protección y el uso compartido de los datos desde
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
cualquier aplicación de forma simple, eficiente y asequible. El software Remote Copy reduce
significativamente el coste de la replicación de datos remotos y la recuperación ante desastres
aprovechando la tecnología de copia ligera y permitiendo la replicación con matrices de gama
media, todo flash y gama alta para ofrecer un rendimiento de coste exclusivo para la
protección de un conjunto más amplio de aplicaciones. Configuración y pruebas en cuestión
de minutos, lo que reduce la necesidad de servicios profesionales. Con compatibilidad con
replicación a larga distancia sincrónica de varios emplazamientos, periódica asincrónica y
sincrónica, 3PAR Remote Copy ofrece una amplia gama de opciones de replicación para que
los clientes consigan los objetivos de tiempo de recuperación estricta (RTO) y los objetivos
de punto de recuperación rápida (RPO).
Fase EJECUCIÓN
Proyecto de datos
Actividad de
Aprendizaje
bases de datos
11. BIBLIOGRAFÍA
https://www.mintic.gov.co/gestionti/615/articles-5482_G4_Roles_responsabilidades.pdf
https://searchdatacenter.techtarget.com/es/opinion/Consejos-para-establecer-un-Plan-de-
Recuperacion-de-Desastres-DRP
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-34.pdf
http://www.secretariasenado.gov.co/senado/basedoc/ley_0489_1998.html
https://www.securityartwork.es/2009/01/30/seguridad-y-riesgos-en-las-tic-iv-proceso-de-
administracion-del-riesgo/
https://www.quest.com/mx-es/products/shareplex/
http://148.204.210.201/tesis/1429632192172tesisrodolfol.pdf
https://repository.ucatolica.edu.co/bitstream/10983/1305/1/RIESGOS%20AMENAZAS%20Y
%20VULNERABILIDADES%20DE%20LOS%20SISTEMAS%20DE%20INFORMACION
%20GEOGRAFICA%20GPS.pdf
Rojas, A., & Castro , D. (Noviembre de 2013). Repository Unicatolica. Obtenido de

Universidad Catolica:
https://repository.ucatolica.edu.co/bitstream/10983/1305/1/RIESGOS%20AMENAZAS%20Y
%20VULNERABILIDADES%20DE%20LOS%20SISTEMAS%20DE%20INFORMACION%20GEOGR
AFICA%20GPS.pdf

Aa13-Ev1 - Plan de Gestión de Riesgos (PGR)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Aa13-Ev1 - Plan de Gestión de Riesgos (PGR)

Cargado por

Copyright:

Formatos disponibles

Especialización Tecnológica en Gestión y Seguridad de Bases de Datos

Diseño y Administración de una Base de

AA13-EV1 - PLAN DE GESTIÓN DE RIESGOS (PGR)

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y

 Analizar los riesgos informáticos en cuanto a infraestructuras físicas como

4. PROCESO DE ANÁLISIS DE RIESGOS INFORMÁTICOS:

 La seguridad informática no era un gran problema.

 La seguridad de la información es un tema prioritario.

DEFINICION GESTIÓN DEL RIESGO

La definición estandarizada de riesgo proviene de la Organización Internacional de

IDENTIFICACIÓN DEL RIESGO

2. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

3. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de

DISTRIBUCIÓN DE LOS SERVIDORES

 servidor de Backup de datos de usuarios: respaldos y copias de seguridad de los

Estos servidores están ubicados en el área de Sistemas centralizando los servicios y

 El suministro de energía ininterrumpido (SAI).

EQUIPOS IMPLEMENTADOS EN LAS DEPENDENCIAS

Rack 1 Con soporte para Switch

adaptadores de fibra óptica 11

Servidores 9 Características espaciales para cada uno

Equipos Touchscreen Windows 10, Memoria RAM de 8 GB, Core i5, 1

Impresoras 13 Impresora Multifuncional (Scanner, Impresora, Fax, Envió de correos)

Impresoras 3 Impresoras de punto.

Impresoras 4 Impresoras láser.

SECRETARÍA DE PLANEACIÓN Y OBRAS PÚBLICAS

SECRETARÍA DE DEPORTES, RECREACIÓN Y CULTURA

SECRETARÍA DE GESTIÓN AMBIENTAL Y MINERA

OFICINA ASESORA DE CONTROL INTERNO

La Alcaldía además tiene creada el Área de Sistemas Adscrita a la secretaría de gobierno,

Cuando se implementan sistemas de infraestructura tecnológica debemos tener unos criterios

Personas inescrupulosas que pueden estar a mandos de otras queriendo robar la

Actos originados por la criminalidad común y motivación política:

Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones

 Falta de inducción, capacitación y sensibilización sobre riesgos

DEFINICIÓN DE ROLES Y RESPONSABILIDADES

IDENTIFICACIÓN DE LOS RESPONSABLES

En primer lugar, se genera la necesidad de vincular de forma más efectiva al personal de

EQUIPO DE GESTIÓN AL INTERIOR DE CADA UNA DE LAS SECRETARIAS

El equipo de gestión del proyecto en la alcaldía se encargará de tomar las medidas

El Responsable de Seguridad de la información será el líder del proyecto, escogido dentro

 Identificar la brecha entre el Modelo de seguridad y privacidad de la información

 Liderar la programación de reuniones de seguimiento y velar por la actualización

EQUIPO DEL PROYECTO

Dentro de la alcaldía de san Antonio en su dependencia de sistemas, debe conformarse un

 Personal de seguridad de la información.

6. RECURSOS Y PRESUPUESTOS PARA LA EJECUCION

OBJETIVO RESULTADO TAREA ACTIVIDAD RESPONSABLE FECHA

1. Implementación de un 1.1. instalación y

1.1.3. instalación del 12/06/2018

1.1.4. instalación del 18/06/2018

1.1.5. capacitación de 1.1.5.1. planeación de la 20/06/2018

1.1.5.2. elaboración del material técnico desarrollador de 23/06/2018

1.1.5.3. organización del 28/06/2018

 Acceso a computadores y servidores de la alcaldía de San Antonio (Solo usuarios

informáticos detectados con anterioridad.

5. Acabamos de mencionar la presencia de controles, pero, ¿qué es un control? Un control

Periodicidad de los eventos a ejecutar

Cuadro 2. Rango de valores probabilidad amenaza

Cuadro 3. Rango valores nivel de impacto

9. INVENTARIO DE ACTIVOS Y SUS POSIBLES AMENAZAS

Activo informático Amenaza

Está expuesto a las siguientes amenazas