GESTIÓN Y SEGURIDAD DE BASES DE DATOS

APLICACIÓN DE LA NORMA ISO 27002

CARLOS ADRIANO RAMIREZ ALDANA

JAVIER MAURICIO ALVAREZ VARGAS

SENA

JUNIO 2019

BOGOTA D.C
 INTRODUCCIÓN

A diario estamos amenazados por riegos que ponen en peligro la integridad de la

información y con ello la viabilidad de los negocios, riesgos que provienen no solo del
exterior de la organización, sino también del interior, para poder trabajar en un entorno de
manera segura nosotros como especialistas debemos implementar un sistema de
seguridad de la información, es que nos permiten dar a conocer, gestionar y minimizar los
riegos que puedan atentar contra la seguridad de la entidad, lo cual se refiere a la
protección de la información que se maneja internamente y externamente como son los
correos electrónicos, páginas Web, archivos, Bases de Datos entre otros.

Cuando identificamos los activos de la información, debemos saber de dónde proceden y

como se clasifican dentro de la entidad, para establecer ciertos criterios como son el
tratamiento, la protección y la divulgación de la información, al igual que conocer toda la
infraestructura tecnológica aplicada a esta.

Para garantizar la seguridad de toda la información y de las herramientas técnicas

(Hardware), es importante crear una política de seguridad en cuanto a la información, en
cuanto a manejo, control tratamiento, y seguridad, este proceso de implantación nos va a
permitir, en primer lugar, analizar y ordenar la estructura de toda la información, en
segundo lugar, definir procedimientos de trabajo que nos permitan mantener la seguridad,
y en tercer lugar realizar controles para medir la eficacia de las medidas tomadas, todo
esto nos permite proteger la organización de posibles amenazas y riesgos que pueden
poner en peligro la organización.

Establecer unas políticas de gestión de seguridad nos permite establecer unos criterios
para gestionar los riegos y así preservar la confidencialidad, la integridad y disponibilidad
de los mismos.

La norma ISO 27002 establece las pautas estandarizadas que toda organización debe
seguir para garantizar la seguridad de su información y el uso adecuado de los recursos.

Los diferentes planes de mejora propuestos tienen como objetivo principal optimizar las
tareas y funciones de los empleados en pro de garantizar el uso adecuado de la
información y la seguridad de la misma.
1. Descripción

Este producto de trabajo describe todos los elementos a mejorar en la organización

basados en la norma ISO 27002.

2. Propósito

El propósito de este producto de trabajo es mejorar la organización o las unidades de

negocio, y como desempeñar su empleo satisfactoriamente según la norma ISO 27002,
para este ejercicio se tomó como ejemplo la Entidad: Ministerio de Agricultura y Desarrollo
Rural:

El ministerio de Agricultura y Desarrollo Rural es la entidad encargada de formular,

coordinar y evaluar políticas que promuevan el desarrollo competitivo, equitativo y
sostenible de los procesos agropecuarios, forestales, pesqueros y de desarrollo rural, que
propendan por su armonización con la política macroeconómica y por una ejecución
descentralizada, concertada y participativa.

Es importante anotar que para el cumplimiento de estos desafíos es necesario que todas
las áreas que componen el MADR estén alineadas y estén en la capacidad de brindar
información que permita el análisis y la generación de resultados enfocados en el
cumplimiento de las metas trazadas.

En cuanto a infraestructura tecnológica el MADR cuenta con 600 computadores (370

equipos de escritorio y 230 portátiles), 99 impresoras (60 locales, 39 en red, por tipo de
servicio 25 multifuncionales, 74 solo impresión), 8 video proyectos, 3 Scanner. El nivel de
obsolescencia en infraestructura cliente es muy alta, el 88% de equipos Pc escritorio no
cuenta con las características técnicas para desarrollar un trabajo eficiente, tan solo el
12% de los equipos cuentan con características técnicas óptimas para el desarrollo de
funciones de los usuarios, en cuanto a licenciamiento se tiene diversidad de sistemas
operativos (Windows Xp, Windows Vista y Windows 7) , lo que ocasiona una difícil
administración de remediación, actualmente este proceso se realiza manualmente ya que
no contamos con infraestructura base que permita la centralización de esta actividad, en
herramientas ofimáticas el Ministerio tiene como estándar Microsoft Office desde la
versión XP hasta la versión 2007, cuenta con licenciamiento para el 80% de la
infraestructura.

En cuanto a la plataforma de impresión, el 60% solamente prestan servicios de impresión

lo que no es funcional por cuanto a la mayoría de los casos los usuarios requieren
servicios como scanner y fotocopias, los cuales son prestados por impresoras
multifuncionales, este servicio es atendido solo por el 40% de los equipos disponibles en
la entidad. Adicionalmente la variedad de tecnologías, marcas, modelos de impresoras
hace compleja la administración, se tiene un gasto mayor en adquisición de consumibles y
no contamos con una herramienta que permita la administración centralizada del servicio.

Como parte del plan de Gestión Ambiental, dentro de la línea de acción relacionada con el
uso eficiente de los recursos, se tiene establecido un indicador de eficiencia, con el fin de
controlar el volumen de impresión, cuya información es tomada de la revisión mensual de
cada página de las impresoras multifuncionales, lo que puede ocasionar un porcentaje de
error en la información suministrada.

Actualmente la información institucional reposa en los equipos de escritorio, equipos

portátiles, discos externos de usuarios, memorias o CD de cada usuario o dependencia lo
que conlleva a que el Ministerio corra un alto grado de riesgos en cuanto a seguridad de
la información, por cuanto la entidad, no cuenta con un repositorio central que permita el
almacenamiento de la información institucional y los mecanismos de respaldo, lo que
hace que en la actualidad, la entidad este atada a la responsabilidad de cada usuario en
la generación de backup para evitar perdida de información por fallas en los equipos
cliente, o la entrega de la misma en el momento de retiro de la entidad.

El servicio de correo electrónico es prestado por un tercero, a través de un contrato de

internet y hosting, este servicio es prestado sobre plataforma Linux, los correos son
descargados automáticamente por el usuario cuando conecta un cliente Outlook, lo que
causa que la información no pueda ser consultada vía Web una vez el mail es
descargado, o que los directores y/o usuarios usen eficiente el servicio de datos con el
que cuentan en sus dispositivos móviles.

Dentro de la infraestructura tecnológica para la prestación de servicios, actualmente el

Ministerio cuenta con 10 servidores, sobre plataforma Windows, donde se encuentra el
Directorio Activo, sistemas de información como Orfeo, Novasof, Perno, Isosystem,
Antivirus SIGMAR y SIGP. Estos servidores se encuentran ubicados en un cuarto, que no
cuenta con las condiciones adecuadas para ello. (Se cuenta con un sistema de ventilación
deficiente – Aire Acondicionado mini Split,) que no suministra la eficiencia requerida, 4 de
los servidores no cuenta con un rack o sistema seguro en su ubicación (Actualmente se
encuentra en el piso), para asegurar la información se generar backup semanales de
forma manual. Lo que implica que en caso de pérdida y necesidad de restauración se
requieren altos tiempos para la recuperación del servicio, ya que no se cuentan con
imágenes ni máquinas para realizar las restauraciones de los mismos.

El directorio activo actual solamente cuenta con el servicio de autenticación de usuario, no

se tienen establecidas políticas GPO, ni un uso eficiente que permita la centralización de
autenticación, cada sistema tiene su modelo de autenticación de usuarios, lo que no
permite la admón. Centralizada de usuarios, haciendo que la información se deba
actualizar en cada uno de los sistemas de acuerdo a la rotación de personal.

En cuanto a redes y comunicaciones el Ministerio cuenta con un tendido de cableado

estructurado categoría 4, 5 y 5E en algunas zonas, el tercer piso es totalmente
inalámbrico debido a la imposibilidad de hacer el tendido de cable por el piso o la pared
(Que es totalmente en madera), por cuanto este edificio es considerado un bien de interés
cultural del ámbito nacional, para lo cual se requiere contar con la autorización de
Ministerio de Cultura.
Los equipos de comunicaciones se encuentra distribuidos en centros de cableado, en
algunos de estos sitios no se cuenta con los sistemas de seguridad que requiere un
cuarto de estas características, los Switch cuentan ya con un nivel de obsolescencia alto,
no permiten la prestación de servicios que exijan calidad de servicio, no se pueden
implementar protocolos que permitan mejorar el tráfico IP

La red inalámbrica es controlada por un dispositivo central, pero se requiere optimizar

este servicio, con el fin de que todas las dependencias del Ministerio cuenten con red
inalámbrica y a su vez, implementar sistemas de seguridad, por cuanto los equipos que
conforman este servicio, ya están a punto de culminar su vida útil. Los Switch de Core, no
tienen las características para implementar parámetros de seguridad que brinden
protección a las diferentes dependencias, por las condiciones anteriormente
mencionadas.

A nivel de seguridad la entidad cuenta con un Firewall Cisco ASA 5500 el cual debe ser
reconfigurado para prestar seguridad de navegación, el Ministerio no cuenta con filtros de
contenido a nivel de internet, la navegación no puede ser restringida ni se tienen políticas
de seguridad que aseguren el acceso a la infraestructura.

El soporte técnico es prestado por contratistas, y la información para atender las

solicitudes es gestionada mediante archivos de Excel, por cuanto no se cuenta con una
mesa de ayuda que permita prestar un servicio más eficiente, y a su vez los usuarios
puedan hacer el seguimiento correspondiente, herramienta que a su vez permite hacer
análisis y establecer diagnósticos, respecto al estado de la plataforma tecnológica