Sunteți pe pagina 1din 10

ALCALDÍA DE SAN ANTONIO DEL

SENA

Dirección de Servicios de Tecnologías


de Información y Comunicaciones
DSTIC

Plan de gestión de riesgos

2020
¡Garantizamos la confidencialidad de su
información y la integridad de sus medios!

Presentado por:

SEBASTIAN DAVID VARGAS MUÑOZ


 
Contenido
1. Introducción ............................................................................................................................................. 3
2. Objetivo ........................................................................................................................................................ 3
2.1 Objetivos especificos...................................................................... 3
3. Alcance ......................................................................................................................................................... 3
4. Consideraciones ..............................................................................................................................................3
5. Construcción de la matriz de análisis de Riesgo .........................................................4
6. Glosario ........................................................................................................................................................ 5

Página. 2
1. Introducción

La información que se gestiona en la Alcaldía de San Antonio del


Sena es indispensable para su correcto desempeño dentro de la política
pública y su relación con el ciudadano. Sin importar qué tipo de
información se trate en la Entidad, ésta será parte primordial en el
cumplimiento de sus Objetivos, y para lograr esto es fundamental
proteger todo tipo de Información de cualquier posibilidad de
alteración, mal uso y pérdida entre otros muchos eventos.
Dentro de la gestión de la seguridad de la Información, un tema muy
fundamental y que desafortunadamente no todas las empresas le dan
la importancia requerida, es la Gestión de riesgos, la cual es utilizada
para mitigar los riesgos asociados a la seguridad de la información.
Es importante resaltar que para la evaluación de riesgos en seguridad de
la información un insumo vital es la clasificación de activos de información
ya que una buena práctica es realizar gestión de riesgos a los activos de
información que se consideren con nivel de clasificación ALTA
dependiendo de los criterios de clasificación.

2. Objetivo

Diligenciar la matriz de riesgos para los activos de información de la Alcaldía


de San
 Antonio del SENA.

2.1 Objetivos especificos

 Análisis cualitativo y cuantitativo de los riesgos en los activos de


información
 Evaluación del análisis promedio de riesgos

3. Alcance

Inicia con la valoración de la probabilidad de los riesgos y la valoración del impacto


y finaliza con el análisis de resultados.

4. Consideraciones

Para esta actividad se tomó como referencia los activos de la información de


la
Página. 3
 Alcaldía de San Antonio de Sena, bajo el supuesto que ya fueron implementados
los

Página. 4
planes de acción en Tecnología propuestos en las Fases 1, 2 y 3 de este programa
de formación virtual de Gestión y Seguridad de base de Datos.

5. Construcción de la matriz de análisis de Riesgo

Tomando como referencia la situación actual de los activos de información de


la
 Alcaldía de San Antonio del Sena, se identificaron los riesgos asociados a
estos activos y se procedió a cuantificar los riesgos de cada uno.

Como resultado de esta actividad se obtuvo el siguiente cuadro con el


promedio aritmético de los diferentes riesgos:
Análisis de Riesgo promedio

Probabilidad de Amenaza

Criminalidad ySucesos deNegligencia y


Políticoorigen físicoInstitucional

Datos e 4,3 5,0 6,4


Información

Magnitud Sistemas e 4,8 5,6 7,1


de Daño Infraestructura

Personal 4,1 4,7 6,1

Se observa que los mayores riesgos se presentan en el grupo de activos


asociados a la Infraestructura de TI y al grupo de amenazas relacionadas con
la Negligencia de usuarios y decisiones Institucionales. Las amenazas que mayor
impacto presentan son las siguientes:

- Falta de inducción, capacitación y sensibilización sobre riesgos


- Unidades portables con información sin cifrado
- Transmisión no cifrada de datos críticos
- Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas,
BD centralizada)
- Falta de definición de perfil, privilegios y restricciones del personal
- Falta de normas y reglas claras (no institucionalizar el estudio de los
riesgos)
- Falta de mecanismos de verificación de normas y reglas / Análisis
inadecuado de datos de control.

Estos resultados se deben a que en la Alcaldía de San Antonio del Sena se


presentan falencias importantes en la implementación de políticas de seguridad de
la información y en los procesos de inducción, capacitación y sensibilización
sobre riesgos.
Análisis de Factores de
Riesgo

Criminalidad y Político / Datos e


Información
Criminalidad y Político / Sistemas
e Infraestructura
Criminalidad y Político / Personal
  o
   ñ Sucesos de origen físico / Datos e
  a
   D
Información
  e Sucesos de origen físico / Sistemas
   d e Infraestructura
  u
   ti
   d
  n Sucesos de origen físico / Personal
  g
  a
   M Negligencia y Institucional / Datos e
Información
Negligencia y Institucional / Sistemas
e Infraestructura

Negligencia y Institucional / Personal

Umbral Medio Riesgo


Umbral Alto Riesgo

Probalidad de Amenaza

6. Glosario

ACCESO: La manera en la cual los archivos o conjunto de datos son referenciados


por la computadora.

BASE DE DATOS: Es una serie de datos organizados y relacionados entre


sí, los cuales son recolectados y explotados por los Sistemas de Información de
una empresa o negocio en particular.

CAMPO: Unidad básica de una base de datos, un campo puede ser, por ejemplo,
el nombre de una persona. Los nombres de los campos, no pueden empezar
con espacios en blanco y caracteres especiales. No pueden llevar puntos, ni
signos de exclamación o corchetes. Si pueden tener espacios en blanco en el
medio.

CONFIDENCIALIDAD: (ISO/IEC 13335-1:2004) Propiedad de la información por


la que está no se muestra disponible o revelada para individuos, entidades o
procesos no autorizados.

CONSISTENCIA: La ejecución aislada de la transacción conserva la consistencia


de la base de datos.
CONFIGURACIÓN: Término genérico usado para describir un grupo de Elementos de
Configuración que actúan o funcionan juntos para proveer un Servicio de TI, o
un subconjunto representativo de un Servicio de TI. El término Configuración
también se usa para describir los parámetros y ajustes realizados en uno o
más CIs.

CONTINGENCIA: Es un tipo preventivo, predictivo y reactivo, en el cual se


presenta una estructura estratégica y operativa que ayudará a controlar una
situación de emergencia y a minimizar sus consecuencias negativas.

DISPONIBILIDAD: (ISACA/CISM) Garantizar que los sistemas de información y


los datos estén listos para su uso cuando se les necesita; a menudo se expresa
como el porcentaje de tiempo que se puede utilizar un sistema para trabajo
productivo.

DATOS ESTADÍSTICOS: estos almacenan información estadística sobre los datos en


la base de datos.

El DBMS: es un conjunto de programas que se encargan de manejar la


creación y todos los accesos a las bases de datos.

ELIMINACIÓN: Es una solicitud de eliminación que se expresa de forma muy


parecida a una consulta. Sin embargo, en vez de presentar tuplas al usuario,
quitamos las tuplas seleccionadas de la base de datos. Sólo puede eliminar tuplas
completas; no se puede eliminar únicamente valores de determinados
atributos.

FACILIDAD DE CONSULTAS: Permitir al usuario hacer cuestiones sencillas a la


base de datos. Este tipo de consultas tienen como misión proporcionar la
información solicitada por el usuario de una forma correcta y rápida.

FORMULARIO: es el elemento en forma de fecha que permite la gestión de los


datos de una forma más cómoda y visiblemente más atractiva

GESTOR DE BASE DE DATOS: Es un conjunto de programas que permiten crear


y mantener una base de datos, asegurando su integridad, confidencialidad y
seguridad

INFORMES:  Es un trabajo cuyos resultados o cuyo producto es esperado por


personas distintas a quien lo realiza o bien el mismo es encargado por
terceros.

INDEPENDENCIA DE LOS DATOS: Se refiere a la protección contra los


programas de aplicaciones que pueden originar modificaciones cuando se altera
la organización física y lógica de las bases de datos.

MANIPULACIÓN DE BASE DE DATOS: Usando la base de Datos -- el usuario


puede añadir, borrar y modificar información a la base de datos así como
también hacer consultas
REGLAS DE INTEGRIDAD:  Son restricciones que definen los estados de
consistencias de las bases de datos.

SOFTWARE: Es un sistema manejador de bases de datos que permite al


usuario accesar con facilidad a los datos almacenados o que ande ser
almacenados

SERVIDOR: Máquina en la cual se almacena Información de las aplicaciones, y/o


las mismas aplicaciones.

SERVICIOS: Es un conjunto de actividades que buscan responder las necesidades


de un cliente, interno y /o externo.

TI: Tecnología de información

TRANSACCIÓN:  Una transacción es una unidad de la ejecución de un programa.


Puede consistir en varias operaciones de acceso a la base de datos. Está
delimitada por constructores como Begin Transaction y End Transaction.

USUARIO FINAL: es quien acceso a las bases de datos por medio de un lenguaje
de consulta o de programas de aplicación.