AA13-EV1-ELABORACIÓN DEL PLAN DE GESTIÓN DE RIESGOS (PGR)

LUIS GERARDO ZAMBRANO GOMEZ

Docente:
Nelson Ruiz Gamba

SERVICIO NACIONAL DE APRENDIZAJE

GESTIÓN Y SEGURIDAD DE BASES DE DATOS
CENTRO DE SERVICIOS FINANANCIEROS
SAN JUAN DE PASTO – NARIÑO
2019
 INTRODUCCION

Bajo el plan de riesgos redactado a continuación, se generarán procesos que

reducen y ayudan a proteger la informacion de los diferentes riesgos asociados,
de esta manera se conocerá las debilidades que afectan a los activos de
informacion presentes en la alcaldía San Antonio del Sena.

Este plan permitirá garantizar la continuidad del negocio, para esto se ha

desarrollado el análisis de riesgo que arroja el nivel que se encuentran los activos
en cuanto a seguridad.

2
 1. OBJETIVOS

1.1 OBJETIVO GENERAL

elaborar un plan de gestión de riego que permita minimizar estos para controlar
pérdida de activos de la información en la alcaldía San Antonio del Sena.

3
Alcance del plan de gestión del riesgo (PGR)

Para el plan generado a continuación se tiene en cuenta, que se trabajara sobre

las dependencias que integran la alcandía de san Antonio del Sena, las cuales
apoyan a la gestión del alcalde juan pedro, estas dependencias poseen su infra
estructura tecnológica definida con la cual realizan sus labores y procesos de
generar servicios a la comunidad.

Las dependencias abordadas y que integran el plan de riesgo son:

 Secretaria general
 Secretaria de planeación
 Secretaria de hacienda
 Secretaria de deportes
 Secretaria de gobierno
 Secretaria de control interno
 Secretaria de educación
 Secretaria de salud
 Secretaria de gestión ambiental

También el PGR incluirá el data center que es el lugar donde se alojan las
aplicativos y base de datos que permiten almacenamiento y procesamiento de la
informacion necesaria para las actividades cotidianas de las dependencias
anteriormente mencionadas.

la estructura de los elementos y activos de informacion que abordaremos en el

plan son es la siguiente:

4
Los elementos y activos de informacion correspondientes a cada dependencia y
que serán parte del plan de riesgo son:

SECRETARIA ACTIVOS
Secretaria general Talento humano: 12 personas
Hardware: 10 computadoras, 2 impresoras, switch
interconexión.
Secretaria de Talento humano: 20 personas
planeación Hardware: 20 computadoras, switch interconexión.

Secretaria de Talento humano: 20 personas

hacienda Hardware: 20 computadoras, switch interconexión.

Secretaria de Talento humano: 10 personas

deportes Hardware: 8 computadoras, switch interconexión.
1 impresora
Secretaria de Talento humano: 30 personas
gobierno Hardware: 22 computadoras, switch interconexión.

Secretaria de Talento humano: 12 personas

control interno Hardware: 12 computadoras, switch interconexión.
2 impresoras

Secretaria de Talento humano: 10 personas

educación Hardware: 10 computadoras, 3 computadoras equipos
Touchscreen, switch interconexión.

Secretaria de salud Talento humano: 15 personas

Hardware: 15 computadoras, switch interconexión.

Secretaria de Talento humano: 7 personas

gestión ambiental Hardware: 7 computadoras, switch interconexión.

5
La red implementadaen la alcaldía funciona bajo un servidor donde se encuentran
los siguientes servicios:

- Servidor de Correo Electrónico

- Servidor de base de datos
- Servidor de archivos

Roles y responsabilidades

Para poner en marcha el proceso de recuperación de los servicios que hayan

sufrido algún daño por estar expuestos algún riesgo identificado en este plan se
definieron roles al equipo de gestión de riesgos.

El equipo tendrá la responsabilidad de restablecer los servicios mediante

estrategias que permitan restaurar la infraestructura tecnológica afectada
brindando la continuidad del negocio.

Entre las responsabilidades asociadas al equipo están:

- Realizar los controles pertinentes para minimizar la probabilidad de

ocurrencia.
- Actualizar el plan de gestión de riesgos.
- Generar los reportes respectivos al comité de seguridad para evaluar los
echo.
- Recuperar la continuidad del negocio en el menor tiempo posible.

Las responsabilidades asumidas para la ejecución de las contingencias se dividen

bajo los siguientes roles:

- Director ejecución: genera las actividades a los demás grupos de trabajo

estipulando tiempos, realiza un análisis de la situación actual determinando
el nivel de desastre.

Controla las actividades realizadas por el equipo de trabajo ajustando o

detectando errores para corregirlos.

- Líderes de infraestructura hardware: realiza el chequeo de los elementos

de hardware afectados, analizando el estado y coordinando con
proveedores las garantías respectivas cuando diera lugar.

Acompañamiento a los proveedores a resolver casos de garantías,

brindando informacion de las hojas de vida de los elementos tecnológicos

6
 y sus históricos de mantenimientos preventivos y correctivos.

- Líderes de infraestructura software: realiza el chequeo de los elementos de

software afectados entre ellos:
- Base de datos
- Sistemas operativos
- Aplicaciones ofimáticas
- Software propio de cada dependencia

Reinstalar software afectado.

- Equipo de divulgación: se encargará de coordinar con las áreas afectadas los

tiempos y se dará informacion del proceso de contingencia que se llevará a
cabo, mediante comunicaciones por diferentes medios se dará a conocer el
tiempo de estado de inactividad de plataformas y servicios a los usuarios
finales.

- Equipo de pruebas de continuidad del negocio: finalizado la etapa de labores

de los anteriores quipos mencionados, este se encargará de realizar pruebas
de funcionalidad en las diferentes áreas afectadas para garantizar el
funcionamiento óptimo de los servicios afectados.

Presupuesto

El plan de gestión de riesgos está liderado por coordinador de área tecnológica,

quien junto a los profesionales de sistemas de las diferentes dependencias y
personal de soporte e infraestructura.

Para dar cumplimiento a los objetivos de plan de riesgos es necesario tener

acceso a los elementos de computo, data center presenten en la alcaldía San
Antonio del Sena

Además, es importante el acceso a equipos de control perimetral firewall.

Se hace necesario herramientas de monitoreo, análisis de trafico para detectar

riesgos, brindando una visión real del estado de red de datos en las dependencias
y análisis de acciones no debidas e intrusos.

Para la ejecución del plan se requiere de un presupuesto de diez millones de

pesos.

7
Periodicidad

para mantener el plan de gestión de riesgos actualizado y permita ejecutar

contingencias ante los nuevos riesgos identificados, se deberá realizar auditorías
periódicas en las diferentes secretarias generando un diagnostico permitiendo
identificar los riesgos, bajo esta identificación de nuevos riesgos se realizará la
actualización del plan de gestión, el cual se implementará y con las nuevas
auditorias a realizar se medirá la efectividad de las acciones tomadas, ´por tal
motivo de pretende realizar acciones de mejora casa 3 meses bajos los
parámetros de:

- Diagnostico
- Implementación
- Gestión
- Mejora continua.

Valoración De Los Riesgos

La valoración de los riesgos se medirá bajo la escala siguiente:

Muy Alto
Alto
Mediano
Bajo
Muy bajo

Factor de Riesgo
RIESGO Muy Bajo Medio Alto Muy Alto
Bajo
Incendio X
Inundación x
Robo Común X
Vandalismo, daño de equipos y archivos. X
Fallas en los equipos, daño de archivos. X
Equivocaciones, daño de archivos. x
Virus, daño de equipos y archivo. X
Terremotos, daño de equipos y archivos. X
Acceso no autorizado, filtración de X
informacion
Robo de datos X
Fraude, alteración de información. X
Desastre Total X

8
Inventario de activos expuestos

Activo informático Amenaz

as
Ingreso y acceso de intrusos y usuarios no
autorizados
Inyección de código maliciosos SQL
Bases de datos SQL server Privilegios excesivos
2014
Malware
Base de datos mal configuradas
Base de datos sin actualizaciones
Denegación del servicio

Acceso no autorizado
Elementos de conexión de red Equipos mal configurados
Robo de datos
SWITCHES
Robo de identidad
ROUTERS
Cable de Datos

Acceso a la configuración usuarios no autorizados

Firewall Daños causa ambientales (agua, polvo)

Virus informático – malware

Hacking
Acceso a la configuración usuarios no autorizados
Servidor
Danos físicos (discos duros, memoria, ventiladores)
Daños lógicos (sistema operativo, manejador de
base de datos, servicios)
Interrupción de Suministro de energía

Virus informático – malware

Hacking
Equipos de computo Errores de mantenimiento en software
Errores de mantenimiento en hardware

9
 Daños en hardware
Impresoras Desconfiguración.
Errores de configuración

Portal web Modificación de la información

Destrucción de la información
Inyección de código SQL maliciosos
Denegación de servicio

Matriz de probabilidad e impacto

en la matriz adjunta se pude observar los riesgos asociados al manejo de

informacion presente en la alcaldía san Antonio del Sena

10
 CONCLUCIONES

Bajo un plan de gestión de riesgo se garantizará la continuidad de los servicios

que presta la alcandía san Antonio del Sena, el seguimiento de este plan para su
se actualización y su revisión constante donde se involucre la evolución de la
estructura tecnológica, cambios organizacionales y exigencias gubernamentales
de alcaldía será fundamental a la hora de prevenir las posibles amenazas.

También el propósito de este plan es poder divulgarlo y generar sensibilización a

los funcionarios con el fin de mejorar los servicios ofrecidos en las dependencias
y poder generar conciencia sobre la seguridad de la informacion.

11