AA13-Ev1-Elaboración AA13-Ev1-Elaboración del Plan de Gestión de Riesgos (PGR)
CARMEN SOFIA MORA PEREZ LUZ MARY NIÑO MEDINA HUMBERTO RUIZ ROA
Presentado a: JAVIER ALVAREZ VARGAS
Servicio Nacional de Aprendizaje SENA Regional Distrito Capital. Centro de Servicios Financieros. Especialización en GESTION Y SEGURIDAD DE BASES DE DATOS (1564957) Fase Ejecución (Gaes 5) Abril 2018
Introducción
El objetivo del presente documento es mostrar el plan de gestión de riesgos el cual permite la identificación de las posibles acciones para contrarrestar los riesgos y su s u impacto sobre los niveles de servicio que se definieron sobre las bases de datos de la alcaldía y procesos asociados a la administración de esta. El plan pl an debe está basado en la información de los casos de estudio de la Alcaldía de San Antonio del Sena y contempla los siguientes puntos: • Alcance del plan de gestión del riesgo • Roles y responsabilidades • Presupuesto • Periodicidad • Categorías del riesgo • Inventario de activos expuestos
Introducción
El objetivo del presente documento es mostrar el plan de gestión de riesgos el cual permite la identificación de las posibles acciones para contrarrestar los riesgos y su s u impacto sobre los niveles de servicio que se definieron sobre las bases de datos de la alcaldía y procesos asociados a la administración de esta. El plan pl an debe está basado en la información de los casos de estudio de la Alcaldía de San Antonio del Sena y contempla los siguientes puntos: • Alcance del plan de gestión del riesgo • Roles y responsabilidades • Presupuesto • Periodicidad • Categorías del riesgo • Inventario de activos expuestos
Contexto de la Organización
La alcaldía de San Antonio del SENA cuenta con las siguientes secretarias y dependencias, las cuales apoyan la gestión del alcalde Juan Pedro. A nivel tecnológico cada secretaria y/o dependencia tiene unas características particulares y unas limitaciones propias que a continuación se presentan de forma rápida, con el objetivo de tener un contexto general de la alcaldía para realizar el Plan de Gestión de Riesgos.
-
Secretaría General
Apoya los procesos procesos para asistir al alcalde de San Antonio del SENA en la planeación, organización, control ejecución de los programas de su administración. Vela por el cumplimiento de las normas legales que regulan el funcionamiento de la alcaldía
-
Secretaría de Hacienda
Recauda, registra y procesa la información económica de la administración municipal. Fija las políticas para el cobro de aportes, participaciones y servicios de la nación, departamento, instituciones oficiales y semioficiales. Expide certificados de Paz y Salvo por pago de impuesto
-
Secretaría de Gobierno
Evalúa los programas y campañas de la administración municipal para garantizar los derechos y bienes de los habitantes del municipio, recibe y da trámite a las querellas interpuestas por los ciudadanos.
-
Secretaría de Planeación y Obras Públicas
Trabaja con proyectos para el desarrollo social, direcciona los proyectos en materia de obras públicas, estratificación y actualización catastral. Trabaja en planes de prevención y atención de desastres
-
Secretaría de Educación
Representa y trabaja por la calidad y cobertura educativa. Orienta la elaboración y ejecución de proyectos educativos
-
Secretaría de Salud
Vigila la salud pública, gestiona la prestación de servicios de salud y promoción de planes, programas, estrategias y proyectos en salud para el desarrollo del sector y del sistema general de seguridad social
-
Secretaría de Deportes Recreación y Cultura
Ejecuta programas destinados al aprovechamiento del tiempo libre por medio de prácticas deportivas, actividades recreativas y eventos culturales en espacios adecuados. Es importante la promoción, elaboración y ejecución de programas orientados a conservar los valores de la cultura local, así como la formación y el apoyo integral a los deportistas
-
Secretaría de Gestión Ambiental y Minería
Gestiona las políticas para la conservación del medio ambiente y la protección de los recursos naturales. Ejerce control y vigilancia sobre el cumplimiento de las normas. Acompaña y asesora a la pequeña y mediana minería, en los procesos de tecnificación. Expide permisos de movilización forestal.
-
Oficina de Control Interno
Vela por el control de la calidad, propende por determinar estrategias y realizar procedimientos para la verificación y evaluación. Genera informes que permiten identificar y controlar las debilidades, vulnerabilidades, riesgos, amenazas y fallas en los procesos misionales
Alcance del Plan de Gestión de Riesgos
Como parte del proceso para mejorar la infraestructura tecnológica en la alcaldía de San Antonio del SENA, se hace necesario realizar un Plan de Gestión de Riesgos (PGR). Es clave identificar los posibles riesgos a los que están expuestos los niveles de servicio que se definieron sobre las bases de datos de la alcaldía y establecer un plan de acción a seguir en caso que se presenten, adicionalmente es importante socializar dichos riesgos y planes de acción con los directivos del proyecto en este caso con la alcaldía de San Antonio del SENA en cabeza del señor alcalde Juan Pedro.
Elementos a tener en cuenta
Se realiza una identificación de todos los elementos de riesgos a los cuales está expuesta la infraestructura tecnológica y la información guardada:
Personal
Hardware
Software
Datos e información
Documentación
Suministro de energía
Suministro de telecomunicaciones
Red
Plan de recuperación ante desastres (DRP) alcaldía de San Antonio del SENA
Es un proceso de recuperación que cubre los datos, el hardware y el s oftware crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o
causado por humanos. Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este artículo, el propósito es la protección de datos. Razones para recurrir a un plan de recuperación de desastres (DRP)
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:
Sistema y/o fallos del equipo.
Virus, amenazas y ataques informáticos.
Catástrofes.
Fuego.
Fallos en el suministro eléctrico.
Conmoción social o disturbios.
Ataques terroristas.
Interrupciones organizadas o deliberadas.
Error humano.
Cuestiones legales.
Huelgas de empleados.
Plan de protección
Se realizan las siguientes acciones como plan de protección:
Se hace copias de los archivos que son vitales para la alcaldía.
Al robo común se cierran las puertas de entrada y ventanas.
Al vandalismo, se cierra la puerta de entrada.
A la falla de los equipos, se realiza el mantenimiento de forma regular.
Al daño por virus, todo el software que llega se analiza en un sistema utilizando software
Se cuenta con muy buenos antivirus actualizados en todo momento A las equivocaciones, los empleados tienen buena formación. Cuando se requiere personal temporal se intenta conseguir a empleados debidamente preparados. Se realizan jornadas de capacitación al personal.
Al acceso no autorizado, se cierra la puerta de entrada. Se cuenta con seguridad perimetral y con un sistema de cerrado de televisión para revisar los ingresos y salidas
Se aseguran los equipos en caso de algún desastre natural como incendio, inundación, etc.
Los servidores que guardan la información están en la nube de tal forma que se garantiza contar con la información en todo momento y el proveedor se encarga de los backups de la información (OpenShift de RedHat)
Hay Cortafuegos muy bien configurados para el tráfico de red
Hay redundancia de componentes como routers, entre otros, por si falla algún componente entra a funcionar el componente de respaldo y de esa forma se garantiza la continuidad de los servicios en la alcaldía
Se cuentan con ups por si se presentan fallas en el suministro del fluido eléctrico
Se cuenta con software de monitoreo a varios niveles que permite medir el desempeño de la infraestructura tecnológica
Capacitaciones periódicas (bimensual) en diversos temas tecnológicos (seguridad información, sistemas de información que se usa, manejo de equipos, etc.) y de procesos con el objetivo de mitigar el riesgo si una persona deja la alcaldía.
Estrategias de recuperación
Se dispone las alternativas más prácticas para proceder en caso de un desastre. Todos los aspectos de la organización son analizados, incluyendo hardware, software, comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar varían según la función del equipo y pueden incluir duplicación de centros de datos, alquiler de equipos e instalaciones, contratos de almacenamiento y muchas más. Igualmente, se analiza los costos asociados. Para el caso de la alcaldía la información va a estar guardada en la nube, hay redundancia de componentes de hardware, hay personal capacitado constantemente con jornadas de capacitación bimensual y simulacros de diversos temas.
Se debe tener en cuenta un inventario de Hardware, impresoras, lectoras, scanner, módems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de uso institucional).
Se debe emplear los siguientes criterios sobre identificación y protección de equipos: Pólizas de seguros comerciales, como parte de la protección de los activos institucionales y considerando una restitución por equipos de mayor potencia, teniendo en cuenta la depreciación tecnológica. Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por ejemplo, etiquetar de color rojo los servidores, color amarillo a los PC con información importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin uso). Mantenimiento actualizado del inventario de los equipos de cómputo requerido como mínimo para el funcionamiento permanente de cada sistema en cada secretaria.
Obtención y almacenamiento de Copias de Seguridad (Backups)
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la alcaldía. Las copias de seguridad son las siguientes:
Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red.
Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los aplicativos institucionales).
Backup del software aplicativo: backups de los programas fuente y los programas ejecutables. Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecución del software aplicativos de la institución).
Inventario de activos informáticos junto a las amenazas a las que son expuestos
Se han podido identificar para el caso de estudio 2 Alcaldía de San Antonio” el siguiente inventariado de activos informáticos asociados a las amenazas a los que son expuestos
Activo informático
Bases de datos internas
Amenazas
Son las bases de datos las cuales hacen parte de cada una de las secretarias de la alcaldía de San Antonio Las amenazas a las cuales se encuentran expuestos son:
Ingreso y acceso de intrusos y usuarios no autorizados por el sistema ni por la base de datos
Inyección de código maliciosos SQL
Software oculto para realizar labores de espionaje,
sabotaje, robo cibernético y vandalismo
Página web interna (Intranet)
Presencia de virus informático y gusanos
Esta es la llamada herramienta intranet la cual facilita la comunicación interna entre los funcionarios y empleados de la alcaldía de San Antonio y facilita el proceso de comunicación entre secretarias; se ve expuesta a las siguientes amenazas:
Acceso de personas no autorizas por el sistema, la red LAN o externos a la alcaldía
Virus informático
Labores de espionaje
Presencia y suplantación de usuarios
Sabotaje, robo de información
Sitio web externo de la alcaldía A las amenazas a la cuales se ve enfrentado son: de San Antonio
Virus informático
Inyección de código SQL maliciosos para modificar, eliminar y robar información de bases de datos las cuales corran bajo el sitio web de la alcaldía
Suplantación de usuarios y secretarios así como del alcalde mayor de la alcaldía de San Antonio del SENA para el acceso a datos importantes y el poder
conseguir
certificaciones
de
reportes, pago
de
boletines, impuestos
correspondientes a la secretario de Hacienda Chai interno
Está expuesto a las siguientes amenazas:
Virus informático
Suplantación de la identidad, acceso de usuarios internos de la alcaldía de San Antonio
Robo de datos e información importante
Modificación de datos y sabotaje
Usuarios no autorizados por el sistema los cuales puedan eliminar datos, registros y reportes en las diferentes bases de datos de cada una de las secretarias.
Robo de datos e información importante
Usuarios no autorizados por el sistema los cuales puedan eliminar datos, registros y reportes en las diferentes bases de datos de cada una de las secretarias.
Equipos de red cableados
Modificación de datos y sabotaje
Estos hacen referencias a:
ENRUTADORES
ROUTERS
TARJETAS DE RED
CABLEADO
SWITCHES
Están expuestos a amenazas como:
Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía
Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo
Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas
Hacking de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de información.
Instalación de software espía por parte de usuarios mal intencionados
Equipos de re inalámbricos
Estos hacen referencias a:
ENRUTADORES
ROUTERS
TARJETAS DE RED
CABLEADO
SWITCHES
Están expuestos a amenazas como:
Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía
Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo
Instalación de software espía por parte de usuarios mal intencionados
Hacking de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de información.
Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas
Cortafuegos
Desactivación y desconfiguración intencional de esta herramienta por parte de usuarios mal intencionados
Servidores
Las amenazas a las que se pueden enfrentar son:
Presencia de virus informáticos
Acceso y manipulación de estos equipos bien sea local, remotamente o físicamente por usuarios no autorizados y mal intencionados quienes puedan acceder a la red LAN
Daños en hardware como en discos duros, ventiladores
Reinicios inesperados de los equipos servidores
Computadores
Interrupción del suministro de energía eléctrica
Están expuestos a amenazas tales como:
Impresoras
Daños en hardware, software
Presencia de virus informático
Daños con los cartuchos y malas calibraciones para la impresión
Descofiguraciones
en
el
software
y
los
controladores que manejan la impresora y hacen el puente de conexión con el hardware de estos dispositivos
Daños en hardware
y
Software maliciosos y espía
dispositivos de almacenamiento
Presencia de virus informático
Memorias externos
portátiles
Roles y responsabilidades
El momento de poner en marcha los procedimientos de recuperación, es importante tener definido los roles y las responsabilidades que asume cada miembro del equipo:
Estructura del equipo de recuperación (organigrama general) Las principales funciones de este equipo serán restablecer los servicios de cómputo mediante la restauración de la infraestructura, software operativo, los sistemas, las telecomunicaciones y los datos. Proveerá un enlace entre los esfuerzos de recuperación de la Dirección de Informática y Tecnología y las áreas de negocio. El personal de la DIT también apoyará con el reporte de evaluación de daños en la infraestructura de tecnología.
Equipo de recuperación La conformación de equipo de recuperación de desastres tiene como objetivo establecer las distintas responsabilidades para conseguir recuperación exitosa ante una emergencia, teniendo en cuenta el DRP establecido.
Roles El equipo de DRP tiene las siguientes responsabilidades:
Definir controles preventivos necesarios y viables, con el fin de disminuir la
probabilidad de ocurrencia. Establecer, probar, ajustar y actualizar el DRP.
Recuperar los servicios en el menor tiempo posible y dentro de los tiempos
establecidos.
Realizar un informe acerca de las causas del desastre y en caso de ser necesario
modificar los controles y el DRP si así se requiere.
Teniendo en cuenta las responsabilidades, se conformaron los siguientes equipos de trabajo y se establecieron sus funciones:
a. Dirección Estratégica y Coordinación(DEC): Coordinador General del Plan Dirigir y coordinar las actividades de los demás equipos que conforman la
brigada de DRP. Manifestar la situación de emergencia, contingencia y restablecimiento.
Determinar el nivel de desastre producido por una contingencia: total o mayor,
parcial, menor. Realizar y probar los planes de recuperación.
Controlar la ejecución del DRP y realizar los respectivos ajustes teniendo en
cuenta los problemas y errores detectados durante la ejecución del mismo b. Recuperación de hardware (RH): Líder de infraestructura - Proveedores Principales y alternos Identificar el hardware que ha sido afectado por el plan de contingencia.
Coordinar con los proveedores de hardware el cumplimiento de l os contratos de
mantenimiento, garantías y niveles de soporte.
Participar en las instalaciones de sistemas operativos que realizan los
proveedores Comprobar el funcionamiento del hardware que han sido restaurados o remplazados por proveedores. Identificar los elementos de comunicaciones y centros de cómputo que han sido
afectados por el plan de contingencia. Suministrar los backups necesarios para la restauración de la información.
Suministrar el software necesario para la restauración
c. Recuperación de software (RS): Líder de aplicaciones y Base de datos Identificar servicios, procesos, bases de datos y aplicaciones que han sido
afectados por el plan de contingencia. Instalar, configurar y adecuar el software que ha sido afectado por la
contingencia. d. Equipo de comunicación a usuarios (CU): Coordinador de operaciones Comunicar oficialmente a los usuarios, el plan de contingencia que será llevado
a cabo, el tiempo del restablecimiento de las condiciones normales. Realizar comunicados a los usuarios internos.
Fases de recuperación de desastres
Se recogen en este apartado las principales estrategias alternativas de recuperación y los tiempos estimados de restauración de los servicios. La restauración de copias de seguridad de datos conforme a la política y procedimientos aprobados por la Dirección, las alianzas y acuerdos de colaboración Con proveedores alternativos para la sustitución urgente de componentes o elementos de hardware fallidos, la utilización y mantenimiento de grupos
electrógenos y sistemas de alimentación ininterrumpidos (UPS) que cubran eventuales cortes en el suministro de energía eléctrica y la flexibilidad para utilizar la sede alternativa de SIAP, ubicada geográficamente con capacidad para la recuperación de procesos críticos
El restablecimiento de los sistemas tanto físicos como lógicos incluyendo instalaciones alternativas o
Sitio Alternativo con Infraestructura que pueda soportar temporalmente los diferentes sistemas
o
Equipos de Cómputo con Hardware con características similares
o
Proveedor de Servicios de Hardware y Software
Prioridades de Recuperación
La recuperación de los datos que contemple los procedimientos y planes de seguridad o
Recuperación de Máquinas Virtuales si las hay
o
Recuperación de Copias de Seguridad
Prioridad Alta Canales de comunicación - WAN
Canal de Internet Local: Servidor de Internet
Infraestructura de Red Local: Servidor de Dominio
Herramientas de Gestión de Servicios y su infraestructura de apoyo: Servidores y
Bases de Datos: Servidor BD Infraestructura de apoyo (Telefonía/telecomunicaciones y aplicaciones) : Servidor
Mesa de Ayuda
Prioridad Media Correo electrónico: Servidor de Correo
Servidor PROXY
Plan de retorno a la normalidad: La meta de la recuperación y restauración es recobrar la operatividad de la organización manteniendo la entrega de productos y servicios críticos. E n esta etapa se incluyen las siguientes actividades:
o
Decidir donde reiniciar operaciones : Es necesario establecer si las facilidades estropeadas se pueden reparar o si es necesario mantenerse en el sitio alterno
o
Adquirir los recursos adicionales para restaurar por completo la operación
Es importante contar también con una estrategia de revisión y actualización del plan, ya que con la evolución del negocio y sus necesidades, probablemente se deban replantear las estrategias. Esto debido a la adquisición de nuevas aplicaciones o cambio en la definición de procesos críticos.
Inventario sobre los activos informáticos expuestos Activo informático
Controles para minimizar el riesgo
Impacto del daño
Bases de datos
Esto hace referencia a las diferentes bases de Bajo
internas
datos que hacen parte de todas y de cada una de las secretarias de la alcaldía del municipio de San Antonio; dichas bases de datos son relacionales y fueron desarrolladas por los siguientes motor de base de datos como son: MYSQL SQL SERVER R2 2008 Planes para efectuar copias de seguridad:
Políticas y sistemas para implementar seguridad y protección de los datos, los esquemas y estructuras de estas bases de datos
Documentar
perfiles
de
usuarios,
contraseñas, accesos y privilegios en cada una de las bases de datos
Monitorear y hacer un seguimiento periódico de los servicios, estado en tiempo real, conexiones, concurrencia, tráfico de red, consumo en espacio de disco entre otros aspectos para verificar la operatividad y continuidad en el funcionamiento de estas bases de datos.
Implementar encriptación y cifrado de datos
Bases de datos
Políticas y sistemas para implementar seguridad Medio
externas
y protección de los datos, los esquemas y estructuras de estas bases de datos
Página web interna Este es un servicio de comunicación interna Medio (Intranet)
dentro de la alcaldía el cual es habilitado para cada uno de los funcionarios y empleados de las
diferentes secretarias que facilitaran el proceso de trabajo interno y el intercambio de información; es necesario implementar controles para disminuir los daños o riesgos informáticos como son:
Instalación
y
herramientas
puesta para
en
la
marcha
de
supervisión
y
actividades realizadas dentro de la re LAN y en la internar habilitada para esta alcaldía.
Configuración de la red LAN y de todos sus dispositivos dando protocolos de seguridad los cuales impidan el ingreso de usuarios o personas externas que no laboren dentro de la alcaldía de San Antonio del SENA
Sitio web o página Esta es la página web o sitio el cual muestra al Bajo externa
mundo la imagen de la alcaldía de San Antonio; dando a los usuarios y comunidad en general servicios de consultas, pagos de impuestos, comparendos, eventos deportivos, descarga de certificaciones de salud, dando a conocer noticias actualizadas y poniendo a disposición foros, chats, debates interactivos, encuestas de opinión entre otros aspectos; para disminuir los riesgos informáticos de daños y amenaza se deben implementar las siguientes recomendaciones:
Administrar, gestionar y supervisar el funcionamiento y operatividad del sitio web
a
través
de
herramientas
suministradas por el proveedor de internet y el hosting contratado por la alcaida como puede ser el C PANEL el cual verifique criterios como:
Actividad de las bases de datos
Espacio en disco
Trafico de red
Usuarios, conectados
Servicios centrados con el proveedor
Concurrencia
Bases de datos creadas
Cuentas
de
correos
electrónico
institucionales
Creación de dominios
Creación y disponibilidad de repositorios digitales
Chat interno
Disponibilidad de complementos.
Complementos de seguridad
Este es un medio de comunicación interna entre Medio secretarias y funcionarios el cual deberá ser usado con estándares de buena convivencia, respeto por los demás así como principios de confidencialidad
en
el
intercambio
de
información, bases de datos, documentos, carpetas y sistemas informáticos internos de esta alcaldía; para disminuir los riesgos y amenazas informáticas de este tipo de activo se debe implementar:
Implementar
políticas
y
sistemas
de
seguridad en la protección de los datos, usuarios
quienes
hacen
uso
de
esta
herramienta.
Labores periódicas de mantenimientos y monitoreo
al
comportamiento
de
este
servicio por parte del departamento de sistemas e ingenieros de esta alcaldía
Documentar información de todos y cada
uno
de
los
usuarios,
contraseñas
y
actividades realizadas en este chat interno; para así establecer los perfiles de usuarios. Chat externo
Documentar información de todos y cada Alto uno
de
los
usuarios,
contraseñas
y
actividades realizadas en este chat interno; para así establecer los perfiles de usuarios.
Labores periódicas de mantenimientos y monitoreo
al
comportamiento
de
este
servicio por parte del departamento de sistemas de la alcaldía Bases de datos de Estas bases de datos representan fuentes de Medio contraseñas
consultas, cruces de datos externos que se hacen necesarios para cumplir los objetivos misionales de la alcaldía de San Antonio del SENA; lo cual representa riesgos informáticos los cuales se pueden disminuir siguiendo o poniendo en práctica recomendaciones tales como:
Implementar políticas de seguridad, sistemas de protección de los datos como encriptación y cifrados
Implementar políticas y planes para las copias de respaldo de estas bases de datos y bitácora de actividades de usuarios.
Elaborar un log o bitácora de actividades registradas por los usuarios quienes acceden internamente en las diferentes secretarias de esta alcaldía a las bases de datos; registrando datos como: o
Fecha
o
Hora
o
Usuario
o
Clave
o
Base de datos accedida
o
Fecha y hora de cierre de sesión y conexión con la base de datos.
o
Correo electrónico
Actividades realizadas
Este servicio será habilitado y se podrán
Medio
crear cuentas de correo electrónico únicamente usando herramientas de administración del sitio web
de
la
alcaldía
de
San
Antonio
proporcionadas por la empresa HOSTING ; estos correos electrónicos serán institucionales y no personales en donde todos y cada uno de los empleados y funcionarios que laboran dentro de esta alcaldía tendrán habilitada una cuenta; para disminuir los riesgos informáticos se deberá implementar lo siguiente: El administrador del sitio web deberá pedir información del nuevo funcionario o persona interna de la alcaldía que solicite una nueva cuenta como es Nombres completos Apellidos Secretaria donde labora Justificación del por qué necesita una nueva cuenta Fecha de la solicitud Es el administrador del sitio web el encargado de analizar y validar esta información y crear la respectiva cuenta Se deberá documentar a todos los usuarios, nombres de los correos electrónico y los usuarios que les dan para así hacer un seguimiento y monitoreo para garantizar la operatividad y continuidad de este servicio.
Inventario de Equipos expuestos Activo informático
Controles para minimizar el riesgo
Impacto del daño
Equipos de red
Es la infraestructura de la red LAN de la alcaldía
cableada
de San Antonio la cual pude ser:
ENRUTADORES
ROUTERS
TARJETAS DE RED
SWITCHES
Para
minimizar
los
riesgos
y
Medio
amenazas
informáticas se deberá implementar lo siguiente: Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. Documentación
de
análisis,
diseño
e
implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado, tecnología usada,
arquitectura,
topología
entre
otros
aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN Equipos de red
Es la infraestructura de la red LAN de la alcaldía
inalámbrica
de San Antonio la cual pude ser:
ENRUTADORES
ROUTERS
TARJETAS DE RED
SWITCHES
Para
minimizar
los
riesgos
y
amenazas
Alto
informáticas se deberá implementar lo siguiente: Documentación
de
análisis,
diseño
e
implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado, tecnología usada,
arquitectura,
topología
entre
otros
aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. Cortafuegos
Se deberán habilitar en todas y cada una de las Bajo estaciones de trabajo, nodos de la red LAN así como en los equipos servidores los cuales harán parte de la infraestructura tecnológica d la alcaldía de San Antonio
Servidores
Estos son equipos de cómputo de gran potencia, Medio importancia
y
sensibilidad
para
el
funcionamiento del negocio ya que cumplen labores de respaldo de datos, alojamiento de bases de datos, procesos de replicación, gestión y manejo del tráfico de red LAN, alojamiento de la bodega de datos de la alcaldía de San Antonio así como el poder atender solicitudes de consultas de múltiples usuarios de diferentes localidades o secretarias. Para poder disminuir al máximo riesgos, amenazas y
vulnerabilidades
informáticas
se
deberá
implantar lo siguiente: Garantizar el suministro interrumpido 7X24 de energía eléctrica a estos equipos de computo Implementar
planes
de
mantenimientos
preventivos y correctivos a estos equipos por parte de personal técnico del departamento de sistemas de la alcaldía de San Antonio documentado el paso a paso y los resultados obtenidos en este proceso. Instalar y poner en marcha herramientas para el monitoreo, supervisión y seguimiento periódico del rendimiento y comportamiento real del sistema operativo de estos equipos que para el caso de la alcaldía de San Antonio será WINDOWS SERVER 2012. Implementar políticas y planes de contingencias para respaldos y copia de datos importantes de estos equipos en forma externa y remotamente usando dispositivos de almacenamiento externos y servicios de alojamiento en la nueve privada Elaborar un inventariado completo de la condiciones de funcionamiento en software y en hardware de estos equipos de cómputo para evaluar
planes
de
escalonamiento
y
mejoramiento en hardware y software adecuando nuevos,
mejores
discos
duros,
mejores
herramientas de software así como la aplicación e incremento de memoria RAM. Computadores
Se deberá tener en cuenta lo siguiente: Implementar
labores
de
mantenimientos
periódicos preventivos y correctivos por parte el personal de soporte técnico de la dependencia de
Medio
sistemas de la alcaldía de San Antonio lo cual genere una documentación la cual se tenga en cuenta para el mejoramiento constante en infraestructura y repotenciar los equipos de cómputo existentes dentro de esta alcaldía. Programar copias de seguridad y respaldo de datos periódicos local o remotamente Programas de
En esta alcaldía se adquieren con regularidad Bajo
manejo de proyectos programas
para
el
diseño,
ejecución
y
programación de tareas de diferentes proyectos los cuales deberán ser ejecutados por todas y cada una de las secretarias de este despacho municipal para disminuir riesgos informáticos, vulnerabilidades
y
sanciones
se
deberá
implementar lo siguiente: Responsabilidades del proveedor del servicio o programa informático. Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de software si son de uso comercial Adquisición y contrato de licencia para el uso y explotación
de
este
tipo
de
programa
informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Fecha Nombre del producto o herramienta tecnológica Condiciones de uso Entidad, sitio web o empresa que facilita esta herramienta Responsabilidades del usuario final Programas de
Adquisición de contratos de licenciamiento para Bajo
producción de datos
el uso y explotación de este tipo de software si
son de uso comercial Adquisición y contrato de licencia para el uso y explotación
de
este
tipo
de
programa
informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Fecha Nombre del producto o herramienta tecnológica Condiciones de uso Entidad, sitio web o empresa que facilita esta herramienta Responsabilidades del usuario final Responsabilidades del proveedor del servicio o programa informático. Impresoras
Se deberán realizar labores periódicas de Bajo mantenimientos preventivos y correctivos a las impresoras con las cuales cuenta la alcaldía de San Antonio; generado documentación técnica la cual será tenida en cuenta el momento de adquirir nuevas y más modernas impresoras y mejorar las ya existentes.
Memorias portátiles
Se deberá realizar un análisis o escaneo en Bajo detalle ejecutando programas de antivirus y de seguridad informática con los que cuenta la alcaldía de San Antonio para evitar: Software espía Presencia de virus informático Sabotaje Software malicioso Presencia de gusanos informáticos
DIAGRAMA DE LA RED
Sistema de detección de humo y alarma para incendios, con conexiones de agua para bomberos
Sistema Cerrado de Cámaras y alarma conectada a la policía del sector, servicios públicos completos y rutas de fácil acceso
Funciones del personal de la alcaldía Responsable
Funciones
Alcalde mayor de San
Es la máxima autoridad del municipio de San
Antonio
Antonio y sus funciones son:
Cumplimiento
Si
Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Implementar políticas para el mejoramiento de la vida de todos y cada uno de los habientes del municipio Implementar, liderar y coordinar proyectos con la secretaria de gobierno Liderar proyectos y planes de mejoramiento en las secretarios de hacienda, salud, medio ambiente, deportes y reacción Presentar al consejo municipal informes de gestión de su gobierno Hacer un buen uso de la infraestructura tecnológica de la alcaldía de San Antonio y de los diferentes equipos de computo Secretario de
Dar a conocer al departamento de sistemas nuevas
Hacienda
necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Hacienda Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio
Si
Secretario de
Dar a conocer al departamento de sistemas nuevas
Deportes y
necesidades, problemáticas y requerimientos a ser
Recreación
solucionadas con la ayuda de nuevas tecnologías y
Si
mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Recreación y Deportes Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio Jefe de Sistemas
Es la persona encargada de:
Si
Supervisar la implementación de planes para copias de seguridad y respaldo de datos que realice el administrador de base de datos Liderar y gerencia proyectos informáticos Definir políticas y sistemas de seguridad para la protección de los datos, las bases de datos, los sistemas informáticos y la red LAN Supervisar la administración y mantenimiento de las bases de datos de esta alcaldía lo cual garantice su operatividad y continuidad Coordinar el desarrollo de sistemas de información y
nievas
herramientas
tecnológicas
a
ser
implementadas por esta alcaldía. Administrador de
Administrar, mantener y garantizar la operatividad, Si
Base de Datos
funcionabilidad y continuidad de las bases de datos de esta alcaldía
Informática Soporte
Efectuar planes de mantenimientos preventivos y Si
Técnico
correctivos a los computadores, servidores e infraestructura de la red LAN de la alcaldía del municipio de San Antonio.
Secretario de
Dar a conocer al departamento de sistemas nuevas
Gobierno
necesidades, problemáticas y requerimientos a ser
Si
solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Gobierno Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio Secretario de Medio Dar a conocer al departamento de sistemas nuevas Ambiente
Si
necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Medio Ambiente Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio
Secretario de Salud
Dar a conocer al departamento de sistemas nuevas Si necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Salud Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio
Recursos y presupuestos necesarios para la ejecución del plan
Un método sencillo para elaborar un plan de trabajo es organizar la información recopilada sobre lo que se desea hacer en una secuencia jerarquizada: comience por el objetivo, después pase a los resultados que contribuyen a la consecución de dicho objetivo y, por último, a las tareas que permitirán lograr los resultados. A continuación se muestra un plan de trabajo parcial correspondiente a uno de los diversos objetivos posibles:
Entre los recueros necesarios para ejecutar este plan de gestión de riesgos informáticos tenemos los siguientes:
Acceso a computadores y servidores de la alcaldía de San Antonio (Solo usuarios autorizados y personal del departamento de sistemas)
Adquisición de software especializado y herramientas tecnológicas para el monitoreo constante de la elaboración y documentación de este tipo de planes; así como el poder permitirle a personal del área de sistemas realizar auditorías internas para evaluar cómo responde las diferentes secretarias a las amenazas y riesgos informáticos detectados con anterioridad.
Acceso a la red LAN (Departamento de sistemas y usuarios internos)
Periodicidad de los eventos a ejecutar
Los eventos a ejecutar después de desarrollado, documentado e implementado en la práctica y en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través de la realización de diferentes auditorias informáticas internas ejecutadas por personal interno perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de esta dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el responsable especializado en la administración de la red LAN
Herramientas software para realizar auditorías informáticas recomiendas
Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la relacionada a los sistemas informáticos, la cual si no se cuenta con las herramientas adecuadas puede llegar a ser bastante exhaustiva por toda la información que se debe recopilar por cada uno de los equipos. Normalmente cuando se hace auditoria a un equipo de cómputo es necesario conocer con el mayor detalle posible cada una de las características del mismo, sus componentes y el software que allí está instalado, sus respectivas licencias y cualquier otra información que pueda ser clave para ser analizada por el auditor, algo que si se hace de forma manual puede ser bastante complejo y demorado, por eso la importancia de recurrir a herramientas de software que faciliten el trabajo.
WinAudit es un software muy sencillo, liviano, gratuito y además portable, que de
manera rápida nos ofrece un completo análisis de cualquier computador que funcione bajo el sistema Windows.
Al descargar WinAudit lo primero que se destaca es su pequeño tamaño de apenas 1,6 MB, seguido de que no es necesario instalarlo para poderlo utilizar, facilitando así que podamos llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que vayamos a analizar. Como si fuera poco, esta herramienta es totalmente gratuita y de código abierto. El uso de WinAudit es bastante simple , solo basta con ejecutarlo y de inmediato la
herramienta empieza a analizar todo el hardware y software de nuestra máquina, listando cada uno de los componentes, sus características específicas, programas instalados con todos los detalles posibles para cada uno de ellos, y una gran cantidad de información extra con la que seguramente se puede disponer de un informe completo, que podremos guardar en formato HTML, CSV o RTF.
Actividades de protección sobre los datos
A veces es prácticamente imposible poder garantizar un sistema o una protección 100% segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante adoptar este tipo de políticas y medidas de seguridad informática y protección de la información en este caso de la alcaldía de San Antonio para así disminuir al máximo estos riesgos; pero en casos o escenarios posibles donde un intruso o usuario no autorizado por los sistemas y bases de datos relacionales de la alcaldía de San Antonio tiene acceso a datos importantes y a la red LAN se puede considera la opción de poner otra barrera más de seguridad en mi opinión se puede implementar procesos de encriptación y cifrado de datos y registros en el caso de las bases de datos de cada una de las secretarias de la alcaldía de San Antonio, así a pesar de que un usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga acceso a información sensible y delicada de muy poco le serviría ya que esta información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin, uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados son prácticamente incomprensibles.
Encriptación es el proceso mediante el cual cierta información o texto sin formato es cifrado
de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. Opcionalmente puede existir además un proceso de des encriptación a través del cual la información puede ser interpretada de nuevo a su estado original, aunque existen métodos de encriptación que no pueden ser revertidos. El término encriptación es traducción literal del
inglés y no existe en el idioma español. La forma más correcta de utilizar este término sería cifrado.
En un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos. Otros métodos para la protección de los datos generados por las bases de datos de la alcaldía de San Antonio serian:
Almacenamiento en dispositivos externos
Almacenamiento en la nube remotamente de datos e información sensible
Discos duros espejo
Fragmentación de bases de datos
Implementar bases de datos distribuidas en todas y cada una de las secretarias.
Conclusiones
Contar con un plan de gestión de riesgos (PGR) es esencial en la alcaldía para garantizar la continuidad en la prestación de los servicios a los usuarios en lo referente a la infraestructura tecnológica. Es importante contar también con una estrategia de revisión y actualización del plan, ya que con la evolución del negocio y sus necesidades, probablemente se deban replantear las estrategias. Esto debido a la adquisición de nuevas aplicaciones o cambio en la definición de procesos críticos.
Es clave la socialización con el alcalde de los riesgos que se pueden presentar y que pueden afectar el core del negocio, en este caso los servicios que presta la alcaldía a la comunidad, con el fin de estar preparados a todo nivel en ca so que se presente y tener un plan de acción que solucione la dificultad lo más rápido posible.