AA13 EV1 Plan Gestion Del Riesgo

AA13 EV1 PLAN DE GESTION DEL RIESGO
Objetivos y alcances del plan de gestin del riesgo

Con el desarrollo de este plan de gestin del riesgo aplicable a nuestro caso de estudio
Alcalda de San Antonio se pretende cumplir con los siguientes propsitos:
Clasificar y documentar todos y cada uno de los activos informticos que posee la
alcalda de San Antonio en su infraestructura de hardware y de software
Establecer los roles y responsabilidades en la gestin del riesgo
Identificar los recueros y presupuestos necesarios para la ejecucin del plan
Documentar la periocidad de los eventos a ejecutar
Clasificar los riesgos de acuerdo a una escala definida
Presentar el inventario de activos informticos junto a las amenazas a las que son
expuestos
Documentar y consolidar en este documento un plan de recuperacin antes desastre
realizado para la alcalda de San Antonio en otras evidencias de aprendizaje
Desarrollo
Una vez citados claramente todos y cada uno de los objetivos propuestos en el desarrollo de
este plan de gestin de riesgos informticos, es en este preciso momento en donde vamos a
dar inicio al desarrollo y cumplimiento de cada uno de los puntos y objetivos planteados
inicialmente.
Plan de recuperacin antes desastres alcalda de San Antonio: es un proceso de
recuperacin que cubre los datos, el hardware y el software crtico, para que un negocio pueda
comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
Esto tambin debera incluir proyectos para enfrentarse a la prdida inesperada o repentina de
personal clave, aunque esto no sea cubierto en este artculo, el propsito es la proteccin de
datos.
Razones para recurrir a un DRP
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de
una organizacin. Una evaluacin de riesgo debera ser realizada para ver que constituye el
desastre y a que riesgos es susceptible una empresa especfica, incluyendo:
Catstrofes.
Fuego.
Fallos en el suministro elctrico.
Ataques terroristas.
Interrupciones organizadas o deliberadas.
Sistema y/o fallos del equipo.
Error humano.
Virus, amenazas y ataques informticos.
Cuestiones legales.
Huelgas de empleados.
Conmocin social o disturbios.
Prevencin ante los desastres
Se deben implementar las siguientes medidas estudiando los posibles casos d caos y
desastres tanto humanos, como informticos y naturales que pueden afectar el normal trabajo
de la alcalda de San Antonio para nuestro caso de estudio como son:
Pag No1
Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se
pierda ms que los datos de una semana.
Incluir el software as como toda la informacin de datos, para facilitar la recuperacin.
Si es posible, usar una instalacin remota de reserva para reducir al mnimo la prdida de
datos.
Redes de rea de Almacenamiento (San) en mltiples sitios son un reciente desarrollo
(desde 2003) que hace que los datos estn disponibles inmediatamente sin la necesidad
de recuperarlos o sincronizarlos.
Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado equipo
electrnico.
El suministro de energa ininterrumpido (SAI).
La prevencin de incendios - ms alarmas, extintores accesibles.
El software del antivirus.
El seguro en el hardware.
El plan
Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:

"Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores
que hay que tomar en cuenta. Los ms importantes son:
El rbol telefnico: para notificar todo el personal clave del problema y asignarles tareas
enfocadas hacia el plan de recuperacin; en el caso de la alcalda de San Antonio se
deber contar con agendas electrnicas o en cuadernos que contengan todos los datos de
contacto de todos y cada uno de los integrantes en este caso del departamento de
sistemas para su posterior aviso dicha informacin deber tener correo electrnico, no de
telfono celular, telfono alterno, direccin de residencia; en cuanto a las funciones /o
labores que debern tener estas han debido estar documentadas y comentadas previo a la
ocurrencia de un desastre ya que es ms fcil que cada uno conozca sus labores,
responsabilidades y esto acelerara ms la normalizacin de todo lo referente a
infraestructura de hardware como de software.
Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario
grabarlas. Si se usan servicios remotos de reserva se requerir una conexin de red a la
posicin remota de reserva (o Internet).
Clientes: la notificacin de clientes sobre el problema reduce al mnimo el pnico.
Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes.
Instalaciones de recuperacin mviles estn tambin disponibles en muchos proveedores.
Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar
horas ms largas y ms agotadoras. Debe haber un sistema de apoyo para aliviar un poco
de tensin.
La informacin de negocio. Las reservas deben estar almacenadas completamente
separadas de la empresa (Cummings, Haag y 2005 McCubbrey). La seguridad y la
fiabilidad de los datos es clave en ocasiones como estas
Proceso de recuperacin
Despus de la posible ocurrencia de algn tipo de desastre y este afectara a la alcalda de San
Antonio y todos sus servicios, manejo de informacin, infraestructura de hardware, de software
y de red LAN se debern seguir los siguientes pasos y recomendaciones.
Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.

Llamar el abastecedor de software e instalar de nuevo el software.
Recuperar los discos de almacenaje que estn fuera de sitio.
Reinstalar todos los datos de la fuente de respaldo.
Volver a ingresar los datos de las pasadas semanas.
Tener estrategias peridicas de respaldos de base de datos.
Monitorear el proceso.
Pag No2
Tecnologa
Para el proceso de recuperacin de algn desastre a alcalda de San Antonio deber adquirir
uno o varias de las siguientes herramientas tecnolgicas como son:
Biblioteca de cinta virtual.

Software de rplica sincrnico.
Tecnologa de almacenaje de rplica.
Servicio telefnico virtual PBX/HOSTED.
Backups remotos de reserva.
Protector de datos contino.
Sistema para la administracin de planes (Moebius).
Cloud
Podremos destacar como herramientas tecnolgicas que debe adquirir la alcalda de San
Antonio el software de rplica de almacenamiento HP 3PAR Remote Copy
Software de rplica de almacenamiento
Desea la capacidad de replicar datos en ubicaciones remotas para ms eficiencia y
rentabilidad? El software HP 3PAR Remote Copy proporciona a los centros de datos
empresariales y de nube una tecnologa de recuperacin ante desastres de nivel 1 y replicacin
autnoma que permite la proteccin y el uso compartido de los datos desde cualquier
aplicacin de forma simple, eficiente y asequible. El software Remote Copy reduce
significativamente el coste de la replicacin de datos remotos y la recuperacin ante desastres
aprovechando la tecnologa de copia ligera y permitiendo la replicacin con matrices de gama
media, todo flash y gama alta para ofrecer un rendimiento de coste exclusivo para la proteccin
de un conjunto ms amplio de aplicaciones.
Configuracin y pruebas en cuestin de minutos, lo que reduce la necesidad de servicios
profesionales. Con compatibilidad con replicacin a larga distancia sincrnica de varios
emplazamientos, peridica asincrnica y sincrnica, 3PAR Remote Copy ofrece una amplia
gama de opciones de replicacin para que los clientes consigan los objetivos de tiempo de
recuperacin estricta (RTO) y los objetivos de punto de recuperacin rpida (RPO).
Recursos
Solucin de replicacin simple y con una potencia nica
Ofrece una recuperacin ante desastres slida que puede configurarse y probarse en
minutos desde una nica consola de gestin de HP 3PAR.
Las capacidades de configuracin autnomas e integradas, nicas en el sistema de
almacenamiento HP 3PAR StoreServ, minimizan la necesidad de contratar servicios
profesionales comunes a las soluciones de replicacin de la competencia.
Proporciona configuraciones de rplica sincrnica a larga distancia, de varios modos y
de varios sitios, que permite a las organizaciones ahorrar en costes de hardware
cumpliendo con los objetivos de tiempo de recuperacin bajos (RTO) y los objetivos de
punto de recuperacin de prdida de datos cero (RPO), con una flexibilidad de
distancia completa.
Implementacin muy eficiente y flexible
Ofrece modos de replicacin peridicos sincrnicos o asincrnicos, uno a uno, de 1 a N
o configuracin de copia remota a larga distancia sincrnica, y puede tener licencia
solo para parte de la capacidad instalada para recuperacin ante desastres de
mltiples clientes flexible y eficiente.
Pag No3
El servidor virtual, la aplicacin y la integracin de la solucin en nube simplifican la

recuperacin de desastres
Ofrece puntos de recuperacin coherente de las aplicaciones para una recuperacin
rpida a travs de la integracin con HP 3PAR Recovery Manager para VMware
vSphere, Microsoft Hyper-V, Microsoft Exchange y Microsoft SQL y Oracle.
Inventario de activos informticos junto a las amenazas a las que son expuestos
Se han podido identificar para el caso de estudio 2Alcaldia de San Antonio el siguiente
inventariado de activos informticos asociados a las amenazas a los que son expuestos
Activo informtico
Bases de datos internas
Amenaza
Son las bases de datos las cuales hacen parte de cada una de
las secretarias de la alcalda de San Antonio
Las amenazas a las cuales se encuentran expuestos son:
Inyeccin de cdigo maliciosos SQL
Ingreso y acceso de intrusos y usuarios no autorizados por el
sistema ni por la base de datos
Presencia de virus informtico y gusanos
Pgina web interna 8Intranet)
Software oculto para realizar labores de espionaje, sabotaje,

robo ciberntico y vandalismo
Esta es la llamada herramienta intranet la cual facilita la
comunicacin interna entre los funcionarios y empleados de la
alcalda de San Antonio y facilita el proceso de comunicacin
entre secretarias; se ve expuesta a las siguientes amenazas
Virus informtico
Presencia y suplantacin de usuarios
Acceso de personas no autorizas por el sistema, la red LAN o
externos a la alcalda
Sabotaje, robo de informacin
Sitio web externo de la alcalda

de San Antonio
Labores de espionaje
A las amenazas a la cuales se ve enfrentado son:
Inyeccin de cdigo SQL maliciosos para modificar, eliminar y
robar informacin de bases de datos las cuales corran bajo el
sitio web de la alcalda
Suplantacin de usuarios y secretarios as como del alcalde
mayor de la alcalda de San Antonio para el acceso a datos
importantes y el poder conseguir reportes, boletines,
certificaciones de pago de impuestos correspondientes a la
secretario de Hacienda
Chai interno
Virus informtico
Est expuesto a las siguientes amenazas
Suplantacin de la identidad, acceso de usuarios internos de la
alcalda de San Antonio
Virus informtico
Pag No4
Robo de datos e informacin importante

Modificacin de datos y sabotaje
Equipos de red cableados
Usuarios no autorizados por el sistema los cuales puedan

eliminar datos, registros y reportes en las diferentes bases de
datos de cada una de las secretarias.
Estos hacen referencias a:
ROUTERS
TARJETAS DE RED
ENRRUTADORES
SIWCHES
CABLEADO
Estn expuestos a amenazas como:
Virus informticos potentes como son las bombas lgicas y los
troyanos que pueden inutilizar una red LAN y una
infraestructura tecnolgica por completo
Acceso de intrusos y usuarios no autorizados por los sistemas
ni por las bases de datos de las secretarias de la alcalda
Robo de datos, informacin, reportes, boletines, certificaciones
electrnicas de pago de impuestos as como el robo de bases
de datos completas
Instalacin de software espa por parte de usuarios mal
intencionados
Hackung de correos electrnicos, cuentas de usuarios,
contraseas, bases de datos y acceso a los sistemas de
informacin.
Equipos de re inalmbricos
Estos hacen referencias a:

ROUTERS
TARJETAS DE RED
ENRRUTADORES
SIWCHES
CABLEADO
Estn expuestos a amenazas como:
Virus informticos potentes como son las bombas lgicas y los
troyanos que pueden inutilizar una red LAN y una
infraestructura tecnolgica por completo
Acceso de intrusos y usuarios no autorizados por los sistemas
ni por las bases de datos de las secretarias de la alcalda
Robo de datos, informacin, reportes, boletines, certificaciones
electrnicas de pago de impuestos as como el robo de bases
de datos completas
Instalacin de software espa por parte de usuarios mal
intencionados
Hackung de correos electrnicos, cuentas de usuarios,
contraseas, bases de datos y acceso a los sistemas de
informacin.
Pag No5
Cortafuegos
Desactivacin y desonfiguiacion intencional de esta herramienta

por parte de usuarios mal intencionados
Las amenazas a las que se pueden enfrentar son:
Servidores
Acceso y manipulacin de estos equipos bien sea local,

remotamente o fsicamente por usuarios no autorizados y mal
intencionados quienes puedan acceder a la red LAN
Presencia de virus informticos
Daos en hardware como en discos duros, ventiladores
Interrupcin del suministro de energa elctrica
Reinicios inesperados de los equipos servidores
Estn expuestos a amenazas tales como:
Computadores
Presencia de virus informtico

Daos en hardware, software
Impresoras
Daos con los cartuchos y malas calibraciones para la

impresin
Daos en hardware
Memorias porttiles y
dispositivos de
almacenamiento externos
Descofiguracinoes en el software y los controladores que

manejan la impresora y hacen el puente de conexin con el
hardware de estos dispositivos
Presencia de virus informtico
Software maliciosos y espa
Roles y responsabilidades en la gestin del riesgo

Datos
Activo informtico
Bases de datos internas
Controles para minimizar

el riesgo
Esto hace referencia a las
diferentes bases de datos
que hacen parte de todas y
de cada una de las
secretarias de la alcalda del
municipio de San Antonio;
dichas bases de datos son
relacionales y fueron
desarrolladas por los
siguientes motor de base de
datos como son:
Impacto del dao

(1 bajo, 2 medio,3 alto)
1
MYSQL
SQL SERVER R2 2008
Planes para efectuar copias
de seguridad
Polticas y sistemas para
implementar seguridad y
proteccin de los datos, los
Pag No6
esquemas y estructuras de
estas bases de datos
Implementar encriptacin y
cifrado de datos
Documentar perfiles de
usuarios, contraseas,
accesos y privilegios en cada
una de las bases de datos
Bases de datos externas
Pgina web interna (Intranet)
Monitorear y hacer un
seguimiento peridico de los
servicios, estado en tiempo
real, conexiones,
concurrencia, trfico de red,
consumo en espacio de
disco entre otros aspectos
para verificar la operatividad
y continuidad en el
funcionamiento de estas
bases de datos.
Polticas y sistemas para
implementar seguridad y
proteccin de los datos, los
esquemas y estructuras de
estas bases de datos
Este es un servicio de
comunicacin interna dentro
de la alcalda el cual es
habilitado para cada uno de
los funcionarios y empleados
de las diferentes secretarias
que facilitaran el proceso de
trabajo interno y el
intercambio de informacin;
es necesario implementar
controles para disminuir los
daos o riesgos informticos
como son:
Configuracin de la red LAN

y de todos sus dispositivos
dando protocolos de
seguridad los cuales impidan
el ingreso de usuarios o
personas externas que no
laboren dentro de la alcalda
de San Antonio
Sitio web o pgina externa
Instalacin y puesta en
marcha de herramientas
para la supervisin y
actividades realizadas dentro
de la re LAN y en la internar
habilitada para esta alcalda.
Esta es la pgina web o sitio
el cual muestra al mundo la
imagen de la alcalda de San
Antonio; dando a los
Pag No7
usuarios y comunidad en
general servicios de
consultas, descarga de
certificaciones de salud,
pagos de impuestos,
comparendos, eventos
deportivos, dando a conocer
noticias actualizadas y
poniendo a disposicin foros,
chats, debates interactivos,
encuestas de opinin entre
otros aspectos; para
disminuir los riesgos
informticos de daos y
amenaza se deben
implementar las siguientes
recomendaciones:
Administrar, gestionar y
supervisar el funcionamiento
y operatividad del sitio web a
travs de herramientas
suministradas por el
proveedor de internet y el
hosting contratado por la
alcaida como puede ser el C
PANEL el cual verifique
criterios como:
Chat interno
Espacio en disco
Trafico de red
Usuarios, conectados
Concurrencias
Bases de datos creadas
Actividad de las bases de
datos
Cuentas de correos
electrnico institucionales
Creacin de dominios
Creacin y disponibilidad de
repositorios digitales
Disponibilidad de
complementos.
Complementos de seguridad
Servicios centrados con el
proveedor
Este es un medio de
comunicacin interna entre
secretarias y funcionarios el
cual deber ser usado con
estndares de buena
convivencia, respeto por los
dems as como principios
de confidencialidad en el
intercambio de informacin,
documentos, carpetas, bases
de datos y sistemas
informticos internos de esta
alcalda; para disminuir los
riesgos y amenazas
Pag No8
informticas de este tipo de

activo se debe implementar:
Labores peridicas de
mantenimientos y monitoreos
al comportamiento de este
servicio por parte del
departamento de sistemas e
ingenieros de esta alcalda
Documentar informacin de
todos y cada uno de los
usuarios, contraseas y
actividades realizadas en
este chat interno; para as
establecer los perfiles de
usuarios.
Chat externo
Bases de datos de
contraseas
Implementar polticas y
sistemas de seguridad en la
proteccin de los datos,
usuarios quienes hacen uso
de esta herramienta.
Labores peridicas de
mantenimientos y monitoreo
al comportamiento de este
servicio por parte del
departamento de sistemas e
ingenieros de esta alcalda
Documentar informacin de
usuarios, contraseas y
actividades realizadas en
este chat interno; para as
establecer los perfiles de
usuarios.
Estas bases de datos
representan fuentes de
consultas, cruces de datos
externos que se hacen
necesarios para cumplir los
objetivos misionales de la
alcalda de San Antonio; lo
cual representa riesgos
informticos los cuales se
pueden disminuir siguiendo o
poniendo en prctica
recomendaciones tales
como:
Implementar polticas de
seguridad, sistemas de
proteccin de los datos como
encriptacin y cifrados
Elaborar un log o bitcora de
actividades registradas por
los usuarios quienes
acceden internamente en las
Pag No9
diferentes secretarias de
esta alcalda a las bases de
datos; registrando datos
como:
Fecha
Hora
Usuario
Clave
Base de datos accedida
Actividades realizadas
Fecha y hora de cierre de
sesin y conexin con la
base de datos
Correo electrnico
planes para las copias de
respaldo de estas bases de
datos y bitcora de
actividades de usuarios.
Este servicio ser habilitado
y se podrn
crear cuentas de correo
electrnico nicamente
usando herramientas de
administracin del sitio web
de la alcalda de San Antonio
proporcionadas por la
empresa HOSTING ; estos
correos electrnicos sern
institucionales y no
personales en donde todos y
cada uno de los empleados y
funcionarios que laboran
dentro de esta alcalda
tendrn habilitada una
cuenta; para disminuir los
riesgos informticos se
deber implementar lo
siguiente:
El administrador del sitio web

deber pedir informacin del
nuevo funcionario o persona
interna de la alcalda que
solicite una nueva cuenta
como es
Nombres completos
Apellidos
Secretaria donde labora
Justificacin del por qu
necesita una nueva cuenta
Fecha de la solicitud
Es el administrador del sitio
web el encargado de analizar
y validar esta informacin y
crear la respectiva cuenta
Se deber documentar a
todos los usuarios, nombres
Pag No10
de los correos electrnico y

los usuarios que les dan para
as hacer un seguimiento y
monitoreo para garantizar la
operatividad y continuidad de
este servicio.
Sistemas
Activo informtico
Equipos de red cableada
Controles para minimizar

el riesgo
Es la infraestructura de la red
LAN de la alcalda de San
Antonio la cual pude ser:
ROUTERS
SITWCHES
ENRRUTAODRES
TARJETAS DE RED
Impacto del dao (1 bajo, 2

medio,3 alto)
2
Para minimizar los riesgos y

amenazas informticas se
siguiente:
Documentacin de anlisis,
diseo e implementacin de
la red LAN de esta alcalda
escribiendo aspectos de
cableado, tecnologa usada,
arquitectura, topologa entre
otros aspectos
Realizar configuraciones a
los dispositivos de red lo cual
permita adoptar protocoles
de conectividad y seguridad
en la proteccin de los datos
y de la red LAN misma
Realizar labores de
mantenimientos preventivos
y correctivos los cuales
permitan garantizar la
operatividad de la red LAN
Equipos de red inalmbrica
Instalar y poner en marcha

herramientas tecnolgicas
para el monitoreo y
seguimiento peridico y en
tiempo real del
comportamiento de la red
LAN y de los servicios
suministrados.
Es la infraestructura de la red
LAN de la alcalda de San
Antonio la cual pude ser:
ROUTERS
SITWCHES
ENRRUTAODRES
TARJETAS DE RED
Pag No11
Para minimizar los riesgos y

amenazas informticas se
siguiente:
Documentacin de anlisis,
diseo e implementacin de
la red LAN de esta alcalda
escribiendo aspectos de
cableado, tecnologa usada,
arquitectura, topologa entre
otros aspectos
Realizar configuraciones a
los dispositivos de red lo cual
permita adoptar protocoles
de conectividad y seguridad
en la proteccin de los datos
y de la red LAN misma
Realizar labores de
y correctivos los cuales
permitan garantizar la
operatividad de la red LAN
Cortafuegos
Servidores

herramientas tecnolgicas
para el monitoreo y
seguimiento peridico y en
tiempo real del
comportamiento de la red
LAN y de los servicios
suministrados.
Se debern habilitar en todas
y cada una de las estaciones
de trabajo, nodos de la red
LAN as como en los equipos
servidores los cuales harn
parte de la infraestructura
tecnolgica d la alcalda de
San Antonio
Estos son equipos de
cmputo de gran potencia,
importancia y sensibilidad
para el funcionamiento del
negocio ya que cumplen
labores de respaldo de
datos, alojamiento de bases
de datos, procesos de
replicacin, gestin y manejo
del trfico de red LAN,
alojamiento de la bodega de
datos de la alcalda de San
Antonio as como el poder
atender solicitudes de
consultas de mltiples
usuarios de diferentes
localidades o secretarias.
Para poder disminuir al
mximo riesgos, amenazas y
Pag No12
vulnerabilidades informticas
se deber implantar lo
siguiente:
Garantizar el suministro
interrumpido 7X24 de
energa elctrica a estos
equipos de computo
Implementar planes de
y correctivos a estos equipos
por parte de personal tcnico
del departamento de
sistemas de la alcalda de
San Antonio documentado el
paso a paso y los resultados
obtenidos en este proceso.
herramientas para el
monitoreo, supervisin y
seguimiento peridico del
rendimiento y
comportamiento real del
sistema operativo de estos
equipos que para el caso de
la alcalda de San Antonio
ser WINDOWS SERVER
2012.
planes de contingencias para
respaldos y copia de datos
importantes de estos equipos
en forma externa y
remotamente usando
dispositivos de
almacenamiento externos y
servicios de alojamiento en
la nueve privada
Computadores
Elaborar un inventariado
completo de la condiciones
de funcionamiento en
software y en hardware de
estos equipos de cmputo
para evaluar planes de
escalonamiento y
mejoramiento en hardware y
software adecuando nuevos,
mejores discos duros,
mejores herramientas de
software as como la
aplicacin e incremento de
memoria RAM.
Se deber tener en cuenta lo
siguiente:
Implementar labores de
Pag No13
mantenimientos peridicos
preventivos y correctivos por
parte el personal de soporte
tcnico de la pdependicai de
sistemas de la alcalda de
San Antonio lo cual genere
una documentacin la cual
se tenga en cuenta para el
mejoramiento constante en
infraestructura y repotenciar
los equipos de cmputo
existentes dentro de esta
alcalda.
Programas de manejo de
proyectos
Programar copias de
seguridad y respaldo de
datos peridicos local o
remotamente usando
herramientas como SYNC
TOY
En esta alcalda se
adquieren con regularidad
programas para el diseo,
ejecucin y programacin de
tareas de diferentes
proyectos los cuales debern
ser ejecutados por todas y
cada una de las secretarias
de este despacho municipal
para disminuir riesgos
informticos,
vulnerabilidades i sanciones
se deber implementar lo
siguiente:
Adquisicin de contratos de
licenciamiento para el uso y
explotacin de este tipo de
software si son de uso
comercial
Adquisicin y contrato de
licencia para el uso y
programa informticos a si
sea de uso libre o gratuito;
este tipo de contrato as
como los de uso comercial
deber tener asociados
datos como.
Fecha
Nombre del producto o
herramienta tecnolgica
Condiciones de uso
Entidad, sitio web o empresa
que facilita esta herramienta
Pag No14
Responsabilidades del
usuario final
Programas de produccin de
datos
proveedor del servicio o
programa informtico.
Adquisicin de contratos de
licenciamiento para el uso y
software si son de uso
comercial
Adquisicin y contrato de
licencia para el uso y
programa informticos a si
sea de uso libre o gratuito;
este tipo de contrato as
como los de uso comercial
deber tener asociados
datos como.
Fecha
Nombre del producto o
herramienta tecnolgica
Condiciones de uso
Entidad, sitio web o empresa
que facilita esta herramienta
usuario final
Impresoras
Memorias porttiles
proveedor del servicio o
programa informtico.
Se debern realizar labores
peridicas de
y correctivos a las
impresoras con las cuales
cuenta la alcalda de San
Antonio; generado
documentacin tcnica la
cual ser tenida en cuenta el
momento de adquirir nuevas
y ms modernas impresoras
y mejorar las ya existentes.
Se deber realizar un
anlisis o escaneo en detalle
ejecutando programas de
antivirus y de seguridad
informtica con los que
cuenta la alcalda de San
Antonio para evitar:
Presencia de virus
Pag No15
informtico
Presencia de gusanos
informticos
Sabotaje
Software malicioso
Software espa
Personal
Responsable
Alcalde mayor de San
Antonio
Funciones
Es la mxima autoridad del
municipio de San Antonio y
sus funciones son:
Cumplimiento
Si
Implementar polticas para el

mejoramiento de la vida de
habientes del municipio
Implementar, liderar y
coordinar proyectos con la
secretaria de gobierno
Liderar proyectos y planes
de mejoramiento en las
secretarios de hacienda,
salud, medio ambiente,
deportes y reaccin
Presentar al consejo
municipal informes de
gestin de su gobierno
Hacer un buen uso de la
infraestructura tecnolgica
de la alcalda de San Antonio
y de los diferentes equipos
de computo
Secretario de Hacienda
Dar a conocer al
departamento de sistemas
nuevas necesidades,
problemticas y
requerimientos a ser
solucionadas con la ayuda
de nuevas tecnologas y
mejorar las que ya se tienen.
Hacer buen uso de la
infraestructura tecnolgica y
de los equipos de cmputo
de la secretaria de Hacienda
SI
Liderar e implementar
proyectos y planes de
mejoramiento en esta
secretaria para el beneficio
Pag No16
del municipio
Secretario de Gobierno
Dar a conocer al
nuevas necesidades,
problemticas y
de la secretaria de Gobierno
SI
del municipio
Secretario de Medio
Ambiente
Dar a conocer al
nuevas necesidades,
problemticas y
de la secretaria de Medio
Ambiente
SI
del municipio
Secretario de Salud
Dar a conocer al
nuevas necesidades,
problemticas y
de la secretaria de Salud
SI
del municipio
Pag No17
Secretario de Deportes y
Recreacin
Dar a conocer al
nuevas necesidades,
problemticas y
de la secretaria de
Recreacin y Deportes
SI
del municipio
Jefe de Sistemas
Dar a conocer al
nuevas necesidades,
problemticas y
Es la persona encargada de:
Liderar y gerencia proyectos
informticos
SI
Definir polticas y sistemas

de seguridad para la
proteccin de los datos, las
bases de datos, los sistemas
informticos y la red LAN
Supervisar la administracin
y mantenimiento de las
bases de datos de esta
alcalda lo cual garantice su
operatividad y continuidad
Coordinar el desarrollo de
sistemas de informacin y
nievas herramientas
tecnolgicas a ser
implementadas por esta
alcalda.
Administrador de Base de
Datos Alcalda de San
Antonio
Supervisar la
implementacin de planes
para copias de seguridad y
respaldo de datos que
realice el administrador de
base de datos
Administrar, mantener y
garantizar la operatividad,
funcionabilidad y continuidad
SI
Pag No18
Informtica Soporte Tcnico
de las bases de datos de

esta alcalda
Efectuar planes de
y correctivos a los
computadores, servidores e
infraestructura de la red LAN
de la alcalda del municipio
de San Antonio.
Recueros y presupuestos necesarios para la ejecucin del plan

Un mtodo sencillo para elaborar un plan de trabajo es organizar la informacin recopilada
sobre lo que se desea hacer en una secuencia jerarquizada: comience por el objetivo, despus
pase a los resultados que contribuyen a la consecucin de dicho objetivo y, por ltimo, a las
tareas que permitirn lograr los resultados. A continuacin se muestra un plan de trabajo
parcial correspondiente a uno de los diversos objetivos posibles:
Entre los recueros necesarios para ejecutar este plan de gestin de riesgos informticos
tenemos los siguientes:
Acceso a computadores y servidores de la alcalda de San Antonio (Solo usuarios autorizados
y personal del departamento de sistemas)
Acceso a la red LAN (Departamento de sistemas y usuarios internos)
Adquisicin de software especializado y herramientas tecnolgicas para el monitoreo constante
de la elaboracin y documentacin de este tipo de planes; as como el poder permitirle a
personal del rea de sistemas realizar auditoras internas para evaluar cmo responde las
diferentes secretarias a las amenazas y riesgos informticos detectados con anterioridad.
Periocidad de los eventos a ejecutar
Los eventos a ejecutar despus de desarrollado, documentado e implementado en la prctica y
en las diferentes secretarias de la alcalda de San Antonio; sern validado a travs de la
realizacin de diferentes auditorias informticas internas ejecutadas por personal interno
perteneciente al departamento de sistemas de esta alcalda, con una frecuencia de ejecucin
bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a
las amenazas y/o riesgos informticos detectados previamente pudiendo analizar su estas
vulnerabilidades se han podido disminuir a lo mximo o si se sigue presentado una
probabilidad de ocurrencia media o alta, esta labor ser liderada por el jefe de sistemas de esta
dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el
responsable especializado en la administracin de la red LAN
Pag No19
Herramientas software para realizar auditoras informticas recomiendas

Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la
relacionada a los sistemas informticos, la cual si no se cuenta con las herramientas
adecuadas puede llegar a ser bastante exhaustiva por toda la informacin que se debe
recopilar por cada uno de los equipos.
Normalmente cuando se hace auditoria a un equipo de cmputo es necesario conocer con el
mayor detalle posible cada una de las caractersticas del mismo, sus componentes y el
software que all est instalado, sus respectivas licencias y cualquier otra informacin que
pueda ser clave para ser analizada por el auditor, algo que si se hace de forma manual puede
ser bastante complejo y demorado, por eso la importancia de recurrir a herramientas de
software que faciliten el trabajo.
WinAudit es un software muy sencillo, liviano, gratuito y adems portable, que de manera
rpida nos ofrece un completo anlisis de cualquier computador que funcione bajo el sistema
Windows.
Al descargar WinAudit lo primero que se destaca es su pequeo tamao de apenas 1,6 MB,
seguido de que no es necesario instalarlo para poderlo utilizar, facilitando as que podamos
llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que vayamos a
analizar. Como si fuera poco, esta herramienta es totalmente gratuita y de cdigo abierto.
El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de inmediato la
herramienta empieza a analizar todo el hardware y software de nuestra mquina, listando cada
uno de los componentes, sus caractersticas especficas, programas instalados con todos
los detalles posibles para cada uno de ellos, y una gran cantidad de informacin extra con la
que seguramente se puede disponer de un informe completo, que podremos guardar en
formato HTML, CSV o RTF.
Actividades de proteccin sobre los datos
A veces es prcticamente imposible poder garantizar un sistema o una proteccin 100%
segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante
adoptar este tipo de polticas y medidas de seguridad informtica y proteccin de la informacin
en este caso de la alcalda de San Antonio para as disminuir al mximo estos riesgos; pero en
Pag No20
casos o escenarios posibles donde un intruso o usuario no autorizado por los sistemas y bases
de datos relacionales de la alcalda de San Antonio tiene acceso a datos importantes y a la red
LAN se puede considera la opcin de poner otra barrera ms de seguridad en mi opinin se
puede implementar procesos de encriptacin y cifrado de datos y registros en el caso de las
bases de datos de cada una de las secretarias de la alcalda de San Antonio, as a pesar de
que un usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga
acceso a informacin sensible y delicada de muy poco le servira ya que esta informacin
estara encriptado o cifrada lo cual no le permitira usarla para ningn fin, uso u objetivo de
sabotaje ya que para los seres humanos datos encriptados y cifrados son prcticamente
incomprensibles.
Encriptacin es el proceso mediante el cual cierta informacin o texto sin formato es cifrado de
forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su
interpretacin. Es una medida de seguridad utilizada para que al momento de almacenar o
transmitir informacin sensible sta no pueda ser obtenida con facilidad por terceros.
Opcionalmente puede existir adems un proceso de des encriptacin a travs del cual la
informacin puede ser interpretada de nuevo a su estado original, aunque existen mtodos de
encriptacin que no pueden ser revertidos. El trmino encriptacin es traduccin literal del
ingls y no existe en el idioma espaol. La forma ms correcta de utilizar este trmino sera
cifrado.
Criptologia: La encriptacin como proceso forma parte de la criptologa, ciencia que estudia
los sistemas utilizados para ocultar la informacin.
La criptologa es la ciencia que estudia la transformacin de un determinado mensaje en un
cdigo de forma tal que a partir de dicho cdigo solo algunas personas sean capaces de
recuperar el mensaje original.
La mayora de los algoritmos modernos del cifrado se basan en una de las siguientes dos
categoras de procesos:
Problemas matemticos que son simples pero que tienen una inversa que se cree (pero no se
prueba) que es complicada
Secuencias o permutaciones que son en parte definidos por los datos de entradas.
Pag No21
Usos de la Encriptacin
Algunos de los usos ms comunes de la encriptacin son el almacenamiento y transmisin de
informacin sensible como contraseas, nmeros de

identificacin legal, nmeros de tarjetas de crdito, reportes administrativo-contables y
conversaciones privadas, entre otros.
Como sabemos, en un Sistema de Comunicacin de Datos, es de vital importancia asegurar
que la Informacin viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el
no repudio de la misma entre otros aspectos
Estas caractersticas solo se pueden asegurar utilizando las Tcnicas de Firma Digital
Encriptada y la Encriptacin de Datos.
Otros mtodos para la proteccin de los datos generados por las bases de datos de la alcalda
de San Antonio serian:
Almacenamiento en dispositivos externos
Almacenamiento en la nube remotamente de datos e informacin sensible
Discos duros espejo
Fragmentacin de bases de datos
Implementar bases de datos distribuidas en todas y cada una de las secretarias.
Pag No22
Referencias bibliogrficas.
En esta parte del documento de anlisis de riesgos se van a adjuntar todas y cada una las
fuentes bibliogrficas las cuales fueron tenidas en cuenta al momento de construir este informe
y poder dar solucin a la evidencia de aprendizaje planteada como son:
Anlisis de riesgo informtico
https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico#Proceso_de_an.C
3.A1lisis_de_riesgos_inform.C3.A1ticos
Anlisis de riesgo informtico, seguridad informtica http://redyseguridad.fip.unam.mx/proyectos/seguridad/AnalisisRiesgos.php
Gestin del riesgo en la seguridad
https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
Que es y por qu hacer anlisis de riesgo http://www.welivesecurity.com/la-es/2012/08/16/enque-consiste-analisis-riesgos/
Tutorial de la seguridad de la informacin http://redyseguridad.fip.unam.mx/proyectos/tsi/capi/Cap5.html
Seguridad informtica https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
Polticas de seguridad informtica gestin integral www.gestionintegral.com.co/.../Polticas-deSeguridad-Informtica-2013
Manual de polticas y estndares en seguridad informtica www.intenalco.edu.co/MP_V01.pdf
Polticas y normas de seguridad informtica
www.cvs.gov.co/.../Politicas_de_Seguridad_Informatica_CVS_2011-.pd
Ejemplos de polticas de seguridad informtica en una organizacin
https://prezi.com/.../ejemplos-de-politicas-de-seguridad-informatica-en-u...
Seguridad informtica, polticas de respaldo y soporte
https://www.youtube.com/watch?v=OagvKpKJpWc
Seguridad informtica, acceso fsico, polticas y estndares
https://www.youtube.com/watch?v=gzgXELz85RI
Herramientas para la supervisin y gestin de WINDOWS SERVER 2012 R2
https://administracionsistemasoperativos201415.wordpress.com/2015/03/02/herramientas-parala-supervision-y-gestion-de-windows-server-2012-r2/
Encriptacin de datos http://encripdedatos.blogspot.com.co/
Pag No23

AA13 EV1 Plan Gestion Del Riesgo

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

AA13 EV1 Plan Gestion Del Riesgo

Hochgeladen von

Copyright:

Verfügbare Formate

AA13 EV1 PLAN DE GESTION DEL RIESGO

Objetivos y alcances del plan de gestin del riesgo

AA13 EV1 PLAN DE GESTION DEL RIESGO

Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:

Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.

AA13 EV1 PLAN DE GESTION DEL RIESGO

Biblioteca de cinta virtual.

AA13 EV1 PLAN DE GESTION DEL RIESGO

El servidor virtual, la aplicacin y la integracin de la solucin en nube simplifican la

Pgina web interna 8Intranet)

Software oculto para realizar labores de espionaje, sabotaje,

Sitio web externo de la alcalda

AA13 EV1 PLAN DE GESTION DEL RIESGO

Robo de datos e informacin importante

Equipos de red cableados

Usuarios no autorizados por el sistema los cuales puedan

Estos hacen referencias a:

AA13 EV1 PLAN DE GESTION DEL RIESGO

Desactivacin y desonfiguiacion intencional de esta herramienta

Acceso y manipulacin de estos equipos bien sea local,

Presencia de virus informtico

Daos con los cartuchos y malas calibraciones para la

Descofiguracinoes en el software y los controladores que

Roles y responsabilidades en la gestin del riesgo

Controles para minimizar

Impacto del dao

AA13 EV1 PLAN DE GESTION DEL RIESGO

Bases de datos externas

Pgina web interna (Intranet)

Configuracin de la red LAN

Sitio web o pgina externa

AA13 EV1 PLAN DE GESTION DEL RIESGO

AA13 EV1 PLAN DE GESTION DEL RIESGO

informticas de este tipo de

AA13 EV1 PLAN DE GESTION DEL RIESGO

El administrador del sitio web

AA13 EV1 PLAN DE GESTION DEL RIESGO

de los correos electrnico y

Controles para minimizar

Impacto del dao (1 bajo, 2

Para minimizar los riesgos y

Equipos de red inalmbrica

Instalar y poner en marcha

AA13 EV1 PLAN DE GESTION DEL RIESGO

Para minimizar los riesgos y

Instalar y poner en marcha

AA13 EV1 PLAN DE GESTION DEL RIESGO

AA13 EV1 PLAN DE GESTION DEL RIESGO

AA13 EV1 PLAN DE GESTION DEL RIESGO

AA13 EV1 PLAN DE GESTION DEL RIESGO

Implementar polticas para el

AA13 EV1 PLAN DE GESTION DEL RIESGO

AA13 EV1 PLAN DE GESTION DEL RIESGO

Definir polticas y sistemas

AA13 EV1 PLAN DE GESTION DEL RIESGO

Informtica Soporte Tcnico

de las bases de datos de

Recueros y presupuestos necesarios para la ejecucin del plan

AA13 EV1 PLAN DE GESTION DEL RIESGO

Herramientas software para realizar auditoras informticas recomiendas

AA13 EV1 PLAN DE GESTION DEL RIESGO

AA13 EV1 PLAN DE GESTION DEL RIESGO

informacin sensible como contraseas, nmeros de

AA13 EV1 PLAN DE GESTION DEL RIESGO