ALCALDA DE SAN ANTONIO DEL SENA

Direccin de Servicios de Tecnologas de

Informacin y Comunicaciones DSTIC

Plan de gestin de riesgos

Octubre de 2017
Garantizamos la confidencialidad de su informacin
y la integridad de sus medios!

Presentado por:

Juan lvaro Bravo Rivera No. De ficha 1413037

Jhonny Delgado No. De Ficha 1413038
Alejandro Gmez Rodrguez No. De ficha 1413038
 Contenido

1. Introduccin .......................................................................................................................... 3
2. Objetivo ................................................................................................................................... 3
2.1 Objetivos especificos.................................................................................................... 3
3. Alcance .................................................................................................................................... 3
4. Consideraciones.................................................................................................................. 3
5. Construccin de la matriz de anlisis de Riesgo .................................................. 4
6. Glosario ................................................................................................................................... 5
7. Referencias ............................................................................................................................ 7

Pgina. 2
1. Introduccin

La informacin que se gestiona en la Alcalda de San Antonio del Sena es

indispensable para su correcto desempeo dentro de la poltica pblica y su
relacin con el ciudadano. Sin importar qu tipo de informacin se trate en la
Entidad, sta ser parte primordial en el cumplimiento de sus Objetivos, y para
lograr esto es fundamental proteger todo tipo de Informacin de cualquier
posibilidad de alteracin, mal uso y prdida entre otros muchos eventos.

Dentro de la gestin de la seguridad de la Informacin, un tema muy

fundamental y que desafortunadamente no todas las empresas le dan la
importancia requerida, es la Gestin de riesgos, la cual es utilizada para
mitigar los riesgos asociados a la seguridad de la informacin.

Es importante resaltar que para la evaluacin de riesgos en seguridad de la

informacin un insumo vital es la clasificacin de activos de informacin ya que
una buena prctica es realizar gestin de riesgos a los activos de informacin
que se consideren con nivel de clasificacin ALTA dependiendo de los
criterios de clasificacin.

2. Objetivo

Diligenciar la matriz de riesgos para los activos de informacin de la Alcalda de San

Antonio del SENA.

2.1 Objetivos especificos

Anlisis cualitativo y cuantitativo de los riesgos en los activos de informacin

Evaluacin del anlisis promedio de riesgos

3. Alcance

Inicia con la valoracin de la probabilidad de los riesgos y la valoracin del impacto y

finaliza con el anlisis de resultados.

4. Consideraciones

Para esta actividad se tom como referencia los activos de la informacin de la

Alcalda de San Antonio de Sena, bajo el supuesto que ya fueron implementados los

Pgina. 3
planes de accin en Tecnologa propuestos en las Fases 1, 2 y 3 de este programa de
formacin virtual de Gestin y Seguridad de base de Datos.

5. Construccin de la matriz de anlisis de Riesgo

Tomando como referencia la situacin actual de los activos de informacin de la

Alcalda de San Antonio del Sena, se identificaron los riesgos asociados a estos
activos y se procedi a cuantificar los riesgos de cada uno.

Como resultado de esta actividad se obtuvo el siguiente cuadro con el promedio

aritmtico de los diferentes riesgos:
Anlisis de Riesgo promedio
Probabilidad de Amenaza

Criminalidad y Sucesos de Negligencia y

Poltico origen fsico Institucional

Datos e 4,3 5,0 6,4

Informacin

Magnitud Sistemas e 4,8 5,6 7,1

de Dao Infraestructura

Personal 4,1 4,7 6,1

Se observa que los mayores riesgos se presentan en el grupo de activos asociados a

la Infraestructura de TI y al grupo de amenazas relacionadas con la Negligencia de
usuarios y decisiones Institucionales. Las amenazas que mayor impacto presentan
son las siguientes:

- Falta de induccin, capacitacin y sensibilizacin sobre riesgos

- Unidades portables con informacin sin cifrado
- Transmisin no cifrada de datos crticos
- Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD
centralizada)
- Falta de definicin de perfil, privilegios y restricciones del personal
- Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos)
- Falta de mecanismos de verificacin de normas y reglas / Anlisis inadecuado
de datos de control.

Estos resultados se deben a que en la Alcalda de San Antonio del Sena se presentan
falencias importantes en la implementacin de polticas de seguridad de la informacin
y en los procesos de induccin, capacitacin y sensibilizacin sobre riesgos.

Pgina. 4
 Anlisis de Factores de Riesgo

Criminalidad y Poltico / Datos e

Informacin
Criminalidad y Poltico / Sistemas e
Infraestructura
Criminalidad y Poltico / Personal
Magnitud de Dao

Sucesos de origen fsico / Datos e

Informacin
Sucesos de origen fsico / Sistemas e
Infraestructura
Sucesos de origen fsico / Personal

Negligencia y Institucional / Datos e

Informacin
Negligencia y Institucional / Sistemas e
Infraestructura
Negligencia y Institucional / Personal

Umbral Medio Riesgo

Umbral Alto Riesgo

Probalidad de Amenaza

6. Glosario

ACCESO: La manera en la cual los archivos o conjunto de datos son referenciados

por la computadora.

BASE DE DATOS: Es una serie de datos organizados y relacionados entre s, los

cuales son recolectados y explotados por los Sistemas de Informacin de una empresa
o negocio en particular.

CAMPO: Unidad bsica de una base de datos, un campo puede ser, por ejemplo, el
nombre de una persona. Los nombres de los campos, no pueden empezar con
espacios en blanco y caracteres especiales. No pueden llevar puntos, ni signos de
exclamacin o corchetes. Si pueden tener espacios en blanco en el medio.

CONFIDENCIALIDAD: (ISO/IEC 13335-1:2004) Propiedad de la informacin por la

que est no se muestra disponible o revelada para individuos, entidades o procesos
no autorizados.

CONSISTENCIA: La ejecucin aislada de la transaccin conserva la consistencia de

la base de datos.

Pgina. 5
CONFIGURACIN: Trmino genrico usado para describir un grupo de Elementos de
Configuracin que actan o funcionan juntos para proveer un Servicio de TI, o un
subconjunto representativo de un Servicio de TI. El trmino Configuracin tambin se
usa para describir los parmetros y ajustes realizados en uno o ms CIs.

CONTINGENCIA: Es un tipo preventivo, predictivo y reactivo, en el cual se presenta

una estructura estratgica y operativa que ayudar a controlar una situacin de
emergencia y a minimizar sus consecuencias negativas.

DISPONIBILIDAD: (ISACA/CISM) Garantizar que los sistemas de informacin y los

datos estn listos para su uso cuando se les necesita; a menudo se expresa como el
porcentaje de tiempo que se puede utilizar un sistema para trabajo productivo.

DATOS ESTADSTICOS: estos almacenan informacin estadstica sobre los datos en

la base de datos.

El DBMS: es un conjunto de programas que se encargan de manejar la creacin y

todos los accesos a las bases de datos.

ELIMINACIN: Es una solicitud de eliminacin que se expresa de forma muy parecida

a una consulta. Sin embargo, en vez de presentar tuplas al usuario, quitamos las tuplas
seleccionadas de la base de datos. Slo puede eliminar tuplas completas; no se puede
eliminar nicamente valores de determinados atributos.

FACILIDAD DE CONSULTAS: Permitir al usuario hacer cuestiones sencillas a la base

de datos. Este tipo de consultas tienen como misin proporcionar la informacin
solicitada por el usuario de una forma correcta y rpida.

FORMULARIO: es el elemento en forma de fecha que permite la gestin de los datos

de una forma ms cmoda y visiblemente ms atractiva

GESTOR DE BASE DE DATOS: Es un conjunto de programas que permiten crear y

mantener una base de datos, asegurando su integridad, confidencialidad y seguridad

INFORMES: Es un trabajo cuyos resultados o cuyo producto es esperado por

personas distintas a quien lo realiza o bien el mismo es encargado por terceros.

INDEPENDENCIA DE LOS DATOS: Se refiere a la proteccin contra los programas

de aplicaciones que pueden originar modificaciones cuando se altera la organizacin
fsica y lgica de las bases de datos.

MANIPULACIN DE BASE DE DATOS: Usando la base de Datos -- el usuario puede

aadir, borrar y modificar informacin a la base de datos as como tambin hacer
consultas

Pgina. 6
REGLAS DE INTEGRIDAD: Son restricciones que definen los estados de
consistencias de las bases de datos.

SOFTWARE: Es un sistema manejador de bases de datos que permite al usuario

accesar con facilidad a los datos almacenados o que ande ser almacenados

SERVIDOR: Mquina en la cual se almacena Informacin de las aplicaciones, y/o las

mismas aplicaciones.

SERVICIOS: Es un conjunto de actividades que buscan responder las necesidades de

un cliente, interno y /o externo.

TI: Tecnologa de informacin

TRANSACCIN: Una transaccin es una unidad de la ejecucin de un programa.

Puede consistir en varias operaciones de acceso a la base de datos. Est delimitada
por constructores como Begin Transaction y End Transaction.

USUARIO FINAL: es quien acceso a las bases de datos por medio de un lenguaje de
consulta o de programas de aplicacin.

7. Referencias

Senaintro.blackboard.com. (2017). SENA Base de Datos OAAP 6. [online]

Disponible en: https://senaintro.blackboard.com/bbcswebdav/pid-93567470-dt-
content-rid-
127941365_4/institution/semillas/217219_1_VIRTUAL/OAAPs/OAAP6/index.html
[Accesado 21 Oct. 2017].

Pgina. 7