PLAN DE GESTION DE RIESGOS (PGR)

TUTOR: Alexandra Marcea Villamil López

INTEGRANTE: Deisy Liliana Morales

Ficha: 1881788

Especialización Tecnológica Gestión y Seguridad de Bases de Datos

SERVICIO NACIONAL DE APRENDIZAJE

Bogotá 12 de noviembre de 2019

 INTRODUCCION

El objetivo del presente documento es mostrar el plan de gestión de riesgos el cual

permite la identificación de las posibles acciones para contrarrestar los riesgos y
su impacto sobre los niveles de servicio que se definieron sobre las bases de
datos de la alcaldía y procesos asociados a la administración de esta. El plan debe
está basado en la información de los casos de estudio de la Alcaldía de San
Antonio del Sena y contempla los siguientes puntos:

 Alcance del plan de gestión del riesgo

 Roles y Responsabilidades
 Presupuesto
 Periodicidad
 Categorías del Riesgo
 Inventario de activos expuestos

CONTEXTO DE LA ORGANIZACIÓN

La alcaldía de San Antonio del SENA cuenta con las siguientes secretarias y
dependencias, las cuales apoyan la gestión del alcalde Juan Pedro. A nivel
tecnológico cada secretaria y/o dependencia tiene unas características
particulares y unas limitaciones propias que a continuación se presentan de forma
rápida, con el objetivo de tener un contexto general de la alcaldía para realizar el
Plan de Gestión de Riesgos.
  Secretaría General

Apoya los procesos para asistir al alcalde de San Antonio del SENA en la
planeación, organización, control ejecución de los programas de su
administración. Vela por el cumplimiento de las normas legales que regulan el
funcionamiento de la alcaldía.

- En esta dependencia laboran 12 Profesionales.

- Dispone de 10 computadoras de escasos recursos en memoria y
procesador.
- Dos impresoras matrices de punto, conectividad a internet limitada y acceso
a recursos compartidos a través de una intranet que opera con
direccionamiento IP versión 4.0.
- Se genera un volumen promedio de 300 documentos para revisiones
diarias a 100 procesos documentales.
- El mecanismo que se utiliza para exponer la información es a través de
carpetas compartidas que permiten el acceso a cualquier usuario sin la
administración de contraseñas ni un dominio en la red.
 Secretaría de Hacienda

Recauda, registra y procesa la información económica de la administración

municipal. Fija las políticas para el cobro de aportes, participaciones y servicios de
la nación, departamento, instituciones oficiales y semioficiales. Expide certificados
de Paz y Salvo por pago de impuesto.

- En esta dependencia laboran 30 profesionales

- La secretaria cuenta con 20 computadoras
- Acceso a la intranet con IP versión 4.0, internet ilimitado en horas pico.
- Una demanda de usuarios que llega a 1.000 personas en días críticos.
- Cuentan con una base de Datos de consulta que según los funcionarios es
bastante lenta en los tiempos de respuesta.
 Secretaría de Gobierno

Evalúa los programas y campañas de la administración municipal para garantizar

los derechos y bienes de los habitantes del municipio, recibe y da trámite a las
querellas interpuestas por los ciudadanos.

- En esta dependencia laboran 30 profesionales

- Cuentan con 22 computadoras y un motor de base de datos.
- Alrededor de 4.000 registros diarios son consultados y encargados a
archivos de hojas de cálculo, que posteriormente son validados y
consolidados en reportes de seguimiento semanal.
 Secretaría de Planeación y Obras Públicas
Trabaja con proyectos para el desarrollo social, direcciona los proyectos en
materia de obras públicas, estratificación y actualización catastral. Trabaja en
planes de prevención y atención de desastres.

- En esta dependencia laboran 20 funcionarios

- Cuentan con un sistema de información Geográfico (SIG)
- Dispone de un servidor con 20 licencias para acceso.
- Manejan un sistema de información el cual interactúa con el SIG y cuya
información es utilizada por las curadurías, vía internet.
- Cuentan con 20 computadoras integradas en una Red LAN
- En promedio se atienden 100 solicitudes diarias de certificaciones y 400
consultas vía internet.
 Secretaría de Educación

Representa y trabaja por la calidad y cobertura educativa. Orienta la elaboración y

ejecución de proyectos educativos.

- En esta dependencia laboran 10 funcionarios.

- Cuenta con un sistema de Información para los procesos de administración
educativa.
- También cuenta con un sistema de información Documental
- Tiene dos servidores uno de ellos con sistema manejador de bases de
datos
- Disponen de 10 computadoras
- Tres computadoras con equipos Touchscreen para acceso al público
- Todo lo anterior en una red LAN
 Secretaría de Salud

Vigila la salud pública, gestiona la prestación de servicios de salud y promoción de

planes, programas, estrategias y proyectos en salud para el desarrollo del sector y
del sistema general de seguridad social.

- En esta dependencia laboran 15 funcionarios

- Cuentan con 15 equipos de cómputo entre computadores de escritorio y
equipos portátiles, los cuales tiene acceso a internet mediante un canal 512
K.
- Una impresora láser
- Se manipulan documentos y planillas elaboradas en hojas de cálculo que
llegan desde los diferentes establecimientos de salud que se encuentran
tanto en el área urbana como rural.
- El número de registros diarios es en promedio 100.
 Secretaría de Deportes Recreación y Cultura
Ejecuta programas destinados al aprovechamiento del tiempo libre por medio de
prácticas deportivas, actividades recreativas y eventos culturales en espacios
adecuados. Es importante la promoción, elaboración y ejecución de programas
orientados a conservar los valores de la cultura local, así como la formación y el
apoyo integral a los deportistas.

- En esta dependencia laboran 10 funcionarios

- Se encuentran 8 computadoras de escritorio
- Una Red local con conectividad a internet limitada
- Una impresora láser
 Secretaría de Gestión Ambiental y Minería

Gestiona las políticas para la conservación del medio ambiente y la protección de

los recursos naturales. Ejerce control y vigilancia sobre el cumplimiento de las
normas. Acompaña y asesora a la pequeña y mediana minería, en los procesos de
tecnificación. Expide permisos de movilización forestal.

- En esta dependencia laboran 7 funcionarios

- Cuentan con 7 computadoras.
- Una red LAN con Acceso a internet limitado
- Se reciben alrededor de 50 solicitudes diarias de expedición de
certificaciones y estas se realizan manualmente.
 Oficina de Control Interno

Vela por el control de la calidad, propende por determinar estrategias y realizar

procedimientos para la verificación y evaluación. Genera informes que permiten
identificar y controlar las debilidades, vulnerabilidades, riesgos, amenazas y fallas
en los procesos misionales.

- En esta oficina laboran 12 profesionales

- Cuentan con 12 computadoras con 512 MB en memoria RAM
- Dos impresoras láser
- Un servidor que aloja un directorio activo
- En el servidor se cuenta con una carpeta compartida que contiene los
documentos normalizados y estandarizados para los diferentes procesos de
la alcaldía.

ALCANCE DEL PLAN DE GESTION DE RIESGOS

Como parte del proceso para mejorar la infraestructura tecnológica en la alcaldía
de San Antonio del SENA, se hace necesario realizar un Plan de Gestión de
Riesgos (PGR). Es clave identificar los posibles riesgos a los que están expuestos
los niveles de servicio que se definieron sobre las bases de datos de la alcaldía y
establecer un plan de acción a seguir en caso que se presenten, adicionalmente
es importante socializar dichos riesgos y planes de acción con los directivos del
proyecto en este caso con la alcaldía de San Antonio del SENA en cabeza del
señor alcalde Juan Pedro.

Elementos a Tener en Cuenta

Se realiza una identificación de todos los elementos de riesgos a los cuales está
expuesta la infraestructura tecnológica y la información guardada:

1. Personal
2. Hardware
3. Software
4. Datos de información
5. Documentación
6. Suministro de energía
7. Suministro de telecomunicaciones
8. Red

Plan de Recuperación ante Desastres Alcaldía San Antonio del SENA

Es un proceso de recuperación que cubre los datos, el hardware y el software

crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso
de un desastre natural o causado por humanos. Esto también debería incluir
proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave,
aunque esto no sea cubierto en este artículo, el propósito es la protección de
datos.

Razones para Recurrir a un pan de Recuperación de desastres

Existen diferentes riesgos que pueden impactar negativamente las operaciones

normales de una organización. Una evaluación de riesgo debería ser realizada
para ver que constituye el desastre y a que riesgos es susceptible una empresa
específica, incluyendo:

1. Sistemas y/o fallos del equipo

2. Virus, amenazas y ataques informáticos
3. Catástrofes
4. Fuego
 5. Fallos en el suministro eléctrico
6. Conmoción social o disturbios
7. Ataques terroristas
8. Interrupciones organizadas o deliberadas.
9. Error humano
10. Cuestiones legales
11. Huelgas empleados

PLAN PROTECCION

Se realizan las siguientes acciones como plan de protección:

 Se hace copias de los archivos que son vitales para la alcaldía.

 Al robo común se cierran las puertas de entrada y ventanas.
 Al vandalismo, se cierra la puerta de entrada.
 A la falla de los equipos, se realiza el mantenimiento de forma regular.
 Al daño por virus, todo el software que llega se analiza en un sistema
utilizando Software.
 Se cuenta con muy buenos antivirus actualizados en todo momento
 A las equivocaciones, los empleados tienen buena formación. Cuando se
requiere personal temporal se intenta conseguir a empleados debidamente
preparados. Se realizan jornadas de capacitación al personal.
 Al acceso no autorizado, se cierra la puerta de entrada. Se cuenta con
seguridad perimetral y con un sistema de cerrado de televisión para revisar
los ingresos y salidas
 Se aseguran los equipos en caso de algún desastre natural como incendio,
inundación, etc.
 Los servidores que guardan la información están en la nube de tal forma
que se garantiza contar con la información en todo momento y el proveedor
se encarga de los Backup de la información (OpenShift de RedHat)
 Hay Cortafuegos muy bien configurados para el tráfico de red
 Hay redundancia de componentes como routers, entre otros, por si falla
algún componente entra a funcionar el componente de respaldo y de esa
forma se garantiza la continuidad de los servicios en la alcaldía
 Se cuentan con ups por si se presentan fallas en el suministro del fluido
eléctrico
 Se cuenta con software de monitoreo a varios niveles que permite medir el
desempeño de la infraestructura tecnológica
 Capacitaciones periódicas (bimensual) en diversos temas tecnológicos
(seguridad información, sistemas de información que se usa, manejo de
 equipos, etc.) y de procesos con el objetivo de mitigar el riesgo si una
persona deja la alcaldía.

Estrategias de Recuperación

Se dispone las alternativas más prácticas para proceder en caso de un desastre.

Todos los aspectos de la organización son analizados, incluyendo hardware,
software, comunicaciones, archivos, bases de datos, instalaciones, etc. Las
alternativas a considerar varían según la función del equipo y pueden incluir
duplicación de centros de datos, alquiler de equipos e instalaciones, contratos de
almacenamiento y muchas más. Igualmente, se analiza los costos asociados. Para
el caso de la alcaldía la información va a estar guardada en la nube, hay
redundancia de componentes de hardware, hay personal capacitado
constantemente con jornadas de capacitación bimensual y simulacros de diversos
temas.

 Se debe tener en cuenta un inventario de Hardware, impresoras, lectoras,

scanner, módems, fax y otros, detallando su ubicación (software que usa,
ubicación y nivel de uso institucional).
 Se debe emplear los siguientes criterios sobre identificación y protección de
equipos: Pólizas de seguros comerciales, como parte de la protección de
los activos institucionales y considerando una restitución por equipos de
mayor potencia, teniendo en cuenta la depreciación tecnológica.
Señalización o etiquetamiento de las computadoras de acuerdo a la
importancia de su contenido y valor de sus componentes, para dar prioridad
en caso de evacuación. Por ejemplo, etiquetar de color rojo los servidores,
color amarillo a los PC con información importante o estratégica, y color
verde a las demás estaciones (normales, sin disco duro o sin uso).
Mantenimiento actualizado del inventario de los equipos de cómputo
requerido como mínimo para el funcionamiento permanente de cada
sistema en cada secretaria.
 Obtención y almacenamiento de Copias de Seguridad (Backups).

Se debe contar con procedimientos para la obtención de las copias de seguridad

de todos los elementos de software necesarios para asegurar la correcta ejecución
de los sistemas en la alcaldía. Las copias de seguridad son las siguientes:

 Backup del Sistema Operativo: o de todas las versiones de sistema

operativo instalados en la Red.
  Backup de Software Base: (Lenguajes de Programación utilizados en el
desarrollo de los aplicativos institucionales).
 Backup del software aplicativo: backups de los programas fuente y los
programas ejecutables. Backups de los datos (Base de datos, password y
todo archivo necesario para la correcta ejecución del software aplicativos de
la institución).

Inventario de Activos informáticos junto a las amenazas a las que son

expuestos

Se han podido identificar para el caso de estudio 2 Alcaldía de San Antonio” el

siguiente inventariado de activos informáticos asociados a las amenazas a los que
son expuestos.
Roles y Responsabilidades

El momento de poner en marcha los procedimientos de recuperación, es

importante tener definido los roles y las responsabilidades que asume cada
miembro del equipo:

 Estructura del equipo de recuperación (organigrama general) Las

principales funciones de este equipo serán restablecer los servicios de
cómputo mediante la restauración de la infraestructura, software operativo,
los sistemas, las telecomunicaciones y los datos. Proveerá un enlace entre
los esfuerzos de recuperación de la Dirección de Informática y Tecnología y
 las áreas de negocio. El personal de la DIT también apoyará con el reporte
de evaluación de daños en la infraestructura de tecnología.
 Equipo de recuperación La conformación de equipo de recuperación de
desastres tiene como objetivo establecer las distintas responsabilidades
para conseguir recuperación exitosa ante una emergencia, teniendo en
cuenta el DRP establecido.
 Roles El equipo de DRP tiene las siguientes responsabilidades:
 Definir controles preventivos necesarios y viables, con el fin de disminuir la
probabilidad de ocurrencia.
 Establecer, probar, ajustar y actualizar el DRP.
 Recuperar los servicios en el menor tiempo posible y dentro de los tiempos
establecidos.
 Realizar un informe acerca de las causas del desastre y en caso de ser
necesario modificar los controles y el DRP si así se requiere.

Fases de Recuperación de Desastres

Se recogen en este apartado las principales estrategias alternativas de

recuperación y los tiempos estimados de restauración de los servicios. La
restauración de copias de seguridad de datos conforme a la política y
procedimientos aprobados por la Dirección, las alianzas y acuerdos de
colaboración Con proveedores alternativos para la sustitución urgente de
componentes o elementos de hardware fallidos, la utilización y mantenimiento de
grupos electrógenos y sistemas de alimentación ininterrumpidos (UPS) que cubran
eventuales cortes en el suministro de energía eléctrica y la flexibilidad para utilizar
la sede alternativa de SIAP, ubicada geográficamente con capacidad para la
recuperación de procesos críticos.

El Restablecimiento de los sistemas tanto físicos como lógicos incluyendo

instalaciones alternativas.

 Sitio Alternativo con infraestructura que pueda soportar temporalmente los

diferentes sistemas.
 Equipos de cómputo con Hardware con características similares
 Proveedor de servicios de Hardware y Software

Prioridades de Recuperación

La recuperación de los Datos que contemple los procedimientos y planes de

seguridad
  Recuperación de Máquinas
 Recuperación de copias de seguridad

Prioridad Alta

 Canales de comunicación – WAN

 Canal de internet Local: Servidor de Internet
 Infraestructura de Red Local: Servidor de Dominio
 Herramientas de Gestión de Servicios y su infraestructura de apoyo:
Servidores y Bases de Datos: Servidor BD.
 Infraestructura de apoyo (Telefonía/telecomunicaciones y aplicaciones ):
Servidor Mesa de Ayuda

Prioridad Media

 Correo Electrónico: Servidor de Correo

 Servidor Proxy

Plan de retorno a la normalidad: La meta de la recuperación y restauración es

recobrar la operatividad de la organización manteniendo la entrega de productos y
servicios críticos. En esta etapa se incluyen las siguientes actividades:

o Decidir donde reiniciar operaciones: Es necesario establecer si las

facilidades estropeadas se pueden reparar o si es necesario mantenerse en
el sitio alterno.
o Adquirir los recursos adicionales para restaurar por completo la operación.

Es importante contar también con una estrategia de revisión y actualización del

plan, ya que con la evolución del negocio y sus necesidades, probablemente se
deban replantear las estrategias. Esto debido a la adquisición de nuevas
aplicaciones o cambio en la definición de procesos críticos.

INVENTARIO SOBRE LOS ACTIVOS INFORMATICOS EXPUESTOS

INVENTARIO DE EQUIPOS EXPUESTOS
 Sistema de Detención de humo y alarma para incendios, con conexiones de
agua para bomberos
 Sistema cerrado de cámaras y alarma conectada a la policía del sector,
servicios públicos y rutas de fácil acceso.

FUNCIONES DEL PERSONAL DE LA ALCALDIA

Entre los recursos necesarios para ejecutar este plan de gestión de riesgos
informáticos tenemos los siguientes:

 Acceso a computadores y servidores de la alcaldía de San Antonio (Solo

usuarios autorizados y personal del departamento de sistemas)
 Adquisición de software especializado y herramientas tecnológicas para el
monitoreo constante de la elaboración y documentación de este tipo de
planes; así como el poder permitirle a personal del área de sistemas
realizar auditorías internas para evaluar cómo responde las diferentes
secretarias a las amenazas y riesgos informáticos detectados con
anterioridad.
 Acceso a la red LAN (Departamento de sistemas y usuarios internos)

PERIDICIDAD DE LOS EVENTOS A EJECUTAR

Los eventos a ejecutar después de desarrollado, documentado e implementado en

la práctica y en las diferentes secretarias de la alcaldía de San Antonio; serán
validado a través de la realización de diferentes auditorias informáticas internas
ejecutadas por personal interno perteneciente al departamento de sistemas de
esta alcaldía, con una frecuencia de ejecución bimestral en todas y cada una de
las secretarias evaluando el comportamiento y la respuesta a las amenazas y/o
riesgos informáticos detectados previamente pudiendo analizar su estas
vulnerabilidades se han podido disminuir a lo máximo.

HERRAMIENTAS SOFTWARE PARA REALIZAR AUDITORIAS INFORMATICAS

RECOMIENDAS

Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por
alto la relacionada a los sistemas informáticos, la cual si no se cuenta con las
herramientas adecuadas puede llegar a ser bastante exhaustiva por toda la
información que se debe recopilar por cada uno de los equipos.

Normalmente cuando se hace auditoria a un equipo de cómputo es necesario

conocer con el mayor detalle posible cada una de las características del mismo,
sus componentes y el software que allí está instalado, sus respectivas licencias y
cualquier otra información que pueda ser clave para ser analizada por el auditor.

WinAudit es un software muy sencillo, liviano, gratuito y además portable, que de

manera rápida nos ofrece un completo análisis de cualquier computador que
funcione bajo el sistema Windows.

Al descargar WinAudit lo primero que se destaca es su pequeño tamaño de

apenas 1,6 MB, seguido de que no es necesario instalarlo para poderlo utilizar,
facilitando así que podamos llevarlo en cualquier USB y ejecutarlo sin necesidad
de alterar el equipo que vayamos a analizar. Como si fuera poco, esta herramienta
es totalmente gratuita y de código abierto.

El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de inmediato

la herramienta empieza a analizar todo el hardware y software de nuestra
máquina, listando cada uno de los componentes, sus características específicas,
programas instalados con todos los detalles posibles para cada uno de ellos, y una
gran cantidad de información extra con la que seguramente se puede disponer de
un informe completo, que podremos guardar en formato HTML, CSV o RTF.

ACTIVIDADES DE PROTECCION DE DATOS

A veces es prácticamente imposible poder garantizar un sistema o una protección

100% segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso
es importante adoptar este tipo de políticas y medidas de seguridad informática y
protección de la información en este caso de la alcaldía de San Antonio para así
disminuir al máximo estos riesgos; pero en casos o escenarios posibles donde un
intruso o usuario no autorizado por los sistemas y bases de datos relacionales de
la alcaldía de San Antonio tiene acceso a datos importantes y a la red LAN se
puede considera la opción de poner otra barrera más de seguridad en mi opinión
se puede implementar procesos de encriptación y cifrado de datos y registros en el
caso de las bases de datos de cada una de las secretarias de la alcaldía de San

Antonio, así a pesar de que un usuario no autorizado o intruso acceda a las bases
de datos, a la red LAN y tenga acceso a información sensible y delicada de muy
poco le serviría ya que esta información estaría encriptado o cifrada lo cual no le
permitiría usarla para ningún fin, uso u objetivo de sabotaje ya que para los seres
humanos datos encriptados y cifrados son prácticamente incomprensibles.

Encriptación es el proceso mediante el cual cierta información o texto sin formato

es cifrado de forma que el resultado sea ilegible a menos que se conozcan los
datos necesarios para su interpretación. Es una medida de seguridad utilizada
para que al momento de almacenar o transmitir información sensible ésta no
pueda ser obtenida con facilidad por terceros.

Opcionalmente puede existir además un proceso de des encriptación a través del

cual la información puede ser interpretada de nuevo a su estado original, aunque
existen métodos de encriptación que no pueden ser revertidos.

CONCLUSION
Contar con un plan de gestión de riesgos (PGR) es esencial en la alcaldía para
garantizar la continuidad en la prestación de los servicios a los usuarios en lo
referente a la infraestructura tecnológica.

Es importante contar también con una estrategia de revisión y actualización del

plan, ya que con la evolución del negocio y sus necesidades, probablemente se
deban replantear las estrategias. Esto debido a la adquisición de nuevas
aplicaciones o cambio en la definición de procesos críticos.

Es clave la socialización con el alcalde de los riesgos que se pueden presentar y

que pueden afectar el corte del negocio, en este caso los servicios que presta la
alcaldía a la comunidad, con el fin de estar preparados a todo nivel en caso que se
presente y tener un plan de acción que solucione la dificultad lo más rápido
posible.

Análisis de riesgo informático, seguridad informática

http://redyseguridad.fip.unam.mx/proyectos/seguridad/AnalisisRiesgos.php

Gestión del riesgo en la seguridad https://protejete.wordpress.com/gdr_principal/analisis_riesgo/

Políticas de seguridad informática gestión integral www.gestionintegral.com.co/.../Políticas-

deSeguridad-Informática-2013