AA13 EV1 PLAN DE GESTION DEL RIESGO
Objetivos y alcances del plan de gestión del riesgo Con el desarrollo de este plan de gestión del riesgo aplicable a nuestro caso de estudio Alcaldía de San Antonio” se pretende cumplir con los siguientes propósitos: Clasificar y documentar todos y cada uno de los activos informáticos que posee la alcaldía de San Antonio en su infraestructura de hardware y de software Establecer los roles y responsabilidades en la gestión del riesgo Identificar los recueros y presupuestos necesarios para la ejecución del plan Documentar la periocidad de los eventos a ejecutar Clasificar los riesgos de acuerdo a una escala definida Presentar el inventario de activos informáticos junto a las amenazas a las que son expuestos Documentar y consolidar en este documento un plan de recuperación antes desastre realizado para la alcaldía de San Antonio en otras evidencias de aprendizaje Desarrollo Una vez citados claramente todos y cada uno de los objetivos propuestos en el desarrollo de este plan de gestión de riesgos informáticos, es en este preciso momento en donde vamos a dar inicio al desarrollo y cumplimiento de cada uno de los puntos y objetivos planteados inicialmente. Plan de recuperación antes desastres alcaldía de San Antonio: es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este artículo, el propósito es la protección de datos. Razones para recurrir a un DRP Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:
Catástrofes. Fuego. Fallos en el suministro eléctrico. Ataques terroristas. Interrupciones organizadas o deliberadas. Sistema y/o fallos del equipo. Error humano. Virus, amenazas y ataques informáticos. Cuestiones legales. Huelgas de empleados. Conmoción social o disturbios. Prevención ante los desastres
Se deben implementar las siguientes medidas estudiando los posibles casos d caos y desastres tanto humanos, como informáticos y naturales que pueden afectar el normal trabajo de la alcaldía de San Antonio para nuestro caso de estudio como son:
Pag No1
AA13 EV1 PLAN DE GESTION DEL RIESGO
Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda más que los datos de una semana. Incluir el software así como toda la información de datos, para facilitar la recuperación. Si es posible, usar una instalación remota de reserva para reducir al mínimo la pérdida de datos. Redes de Área de Almacenamiento (San) en múltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo electrónico. El suministro de energía ininterrumpido (SAI). La prevención de incendios - más alarmas, extintores accesibles. El software del antivirus. El seguro en el hardware. El plan
Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: "Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que hay que tomar en cuenta. Los más importantes son:
El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperación; en el caso de la alcaldía de San Antonio se deberá contar con agendas electrónicas o en cuadernos que contengan todos los datos de contacto de todos y cada uno de los integrantes en este caso del departamento de sistemas para su posterior aviso dicha información deberá tener correo electrónico, no de teléfono celular, teléfono alterno, dirección de residencia; en cuanto a las funciones /o labores que deberán tener estas han debido estar documentadas y comentadas previo a la ocurrencia de un desastre ya que es más fácil que cada uno conozca sus labores, responsabilidades y esto aceleraría más la normalización de todo lo referente a infraestructura de hardware como de software. Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la posición remota de reserva (o Internet). Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico. Instalaciones: teniendo sitios calientes o sitios fríos para empresas más grandes. Instalaciones de recuperación móviles están también disponibles en muchos proveedores. Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar horas más largas y más agotadoras. Debe haber un sistema de apoyo para aliviar un poco de tensión. La información de negocio. Las reservas deben estar almacenadas completamente separadas de la empresa (Cummings, Haag y 2005 McCubbrey). La seguridad y la fiabilidad de los datos es clave en ocasiones como estas Proceso de recuperación
Después de la posible ocurrencia de algún tipo de desastre y este afectara a la alcaldía de San Antonio y todos sus servicios, manejo de información, infraestructura de hardware, de software y de red LAN se deberán seguir los siguientes pasos y recomendaciones.
Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc. Llamar el abastecedor de software e instalar de nuevo el software. Recuperar los discos de almacenaje que estén fuera de sitio. Reinstalar todos los datos de la fuente de respaldo. Volver a ingresar los datos de las pasadas semanas. Tener estrategias periódicas de respaldos de base de datos. Monitorear el proceso. Pag No2
AA13 EV1 PLAN DE GESTION DEL RIESGO
Tecnología Para el proceso de recuperación de algún desastre a alcaldía de San Antonio deberá adquirir uno o varias de las siguientes herramientas tecnológicas como son:
Biblioteca de cinta virtual. Software de réplica sincrónico. Tecnología de almacenaje de réplica. Servicio telefónico virtual PBX/HOSTED. Backups remotos de reserva. Protector de datos continúo. Sistema para la administración de planes (Moebius). Cloud
Podremos destacar como herramientas tecnológicas que debe adquirir la alcaldía de San Antonio el software de réplica de almacenamiento HP 3PAR Remote Copy Software de réplica de almacenamiento ¿Desea la capacidad de replicar datos en ubicaciones remotas para más eficiencia y rentabilidad? El software HP 3PAR Remote Copy proporciona a los centros de datos empresariales y de nube una tecnología de recuperación ante desastres de nivel 1 y replicación autónoma que permite la protección y el uso compartido de los datos desde cualquier aplicación de forma simple, eficiente y asequible. El software Remote Copy reduce significativamente el coste de la replicación de datos remotos y la recuperación ante desastres aprovechando la tecnología de copia ligera y permitiendo la replicación con matrices de gama media, todo flash y gama alta para ofrecer un rendimiento de coste exclusivo para la protección de un conjunto más amplio de aplicaciones. Configuración y pruebas en cuestión de minutos, lo que reduce la necesidad de servicios profesionales. Con compatibilidad con replicación a larga distancia sincrónica de varios emplazamientos, periódica asincrónica y sincrónica, 3PAR Remote Copy ofrece una amplia gama de opciones de replicación para que los clientes consigan los objetivos de tiempo de recuperación estricta (RTO) y los objetivos de punto de recuperación rápida (RPO). Recursos Solución de replicación simple y con una potencia única Ofrece una recuperación ante desastres sólida que puede configurarse y probarse en minutos desde una única consola de gestión de HP 3PAR. Las capacidades de configuración autónomas e integradas, únicas en el sistema de almacenamiento HP 3PAR StoreServ, minimizan la necesidad de contratar servicios profesionales comunes a las soluciones de replicación de la competencia. Proporciona configuraciones de réplica sincrónica a larga distancia, de varios modos y de varios sitios, que permite a las organizaciones ahorrar en costes de hardware cumpliendo con los objetivos de tiempo de recuperación bajos (RTO) y los objetivos de punto de recuperación de pérdida de datos cero (RPO), con una flexibilidad de distancia completa. Implementación muy eficiente y flexible Ofrece modos de replicación periódicos sincrónicos o asincrónicos, uno a uno, de 1 a N o configuración de copia remota a larga distancia sincrónica, y puede tener licencia solo para parte de la capacidad instalada para recuperación ante desastres de múltiples clientes flexible y eficiente.
Pag No3
AA13 EV1 PLAN DE GESTION DEL RIESGO
El servidor virtual, la aplicación y la integración de la solución en nube simplifican la recuperación de desastres Ofrece puntos de recuperación coherente de las aplicaciones para una recuperación rápida a través de la integración con HP 3PAR Recovery Manager para VMware vSphere, Microsoft Hyper-V, Microsoft Exchange y Microsoft SQL y Oracle. Inventario de activos informáticos junto a las amenazas a las que son expuestos Se han podido identificar para el caso de estudio 2Alcaldia de San Antonio” el siguiente inventariado de activos informáticos asociados a las amenazas a los que son expuestos Activo informático Bases de datos internas
Amenaza Son las bases de datos las cuales hacen parte de cada una de las secretarias de la alcaldía de San Antonio Las amenazas a las cuales se encuentran expuestos son: Inyección de código maliciosos SQL Ingreso y acceso de intrusos y usuarios no autorizados por el sistema ni por la base de datos Presencia de virus informático y gusanos
Página web interna 8Intranet)
Software oculto para realizar labores de espionaje, sabotaje, robo cibernético y vandalismo Esta es la llamada herramienta intranet la cual facilita la comunicación interna entre los funcionarios y empleados de la alcaldía de San Antonio y facilita el proceso de comunicación entre secretarias; se ve expuesta a las siguientes amenazas Virus informático Presencia y suplantación de usuarios Acceso de personas no autorizas por el sistema, la red LAN o externos a la alcaldía Sabotaje, robo de información
Sitio web externo de la alcaldía de San Antonio
Labores de espionaje A las amenazas a la cuales se ve enfrentado son: Inyección de código SQL maliciosos para modificar, eliminar y robar información de bases de datos las cuales corran bajo el sitio web de la alcaldía Suplantación de usuarios y secretarios así como del alcalde mayor de la alcaldía de San Antonio para el acceso a datos importantes y el poder conseguir reportes, boletines, certificaciones de pago de impuestos correspondientes a la secretario de Hacienda
Chai interno
Virus informático Está expuesto a las siguientes amenazas Suplantación de la identidad, acceso de usuarios internos de la alcaldía de San Antonio Virus informático Pag No4
AA13 EV1 PLAN DE GESTION DEL RIESGO
Robo de datos e información importante Modificación de datos y sabotaje
Equipos de red cableados
Usuarios no autorizados por el sistema los cuales puedan eliminar datos, registros y reportes en las diferentes bases de datos de cada una de las secretarias. Estos hacen referencias a: ROUTERS TARJETAS DE RED ENRRUTADORES SIWCHES CABLEADO Están expuestos a amenazas como: Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas Instalación de software espía por parte de usuarios mal intencionados Hackung de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de información.
Equipos de re inalámbricos
Estos hacen referencias a: ROUTERS TARJETAS DE RED ENRRUTADORES SIWCHES CABLEADO Están expuestos a amenazas como: Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas Instalación de software espía por parte de usuarios mal intencionados Hackung de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de información. Pag No5
AA13 EV1 PLAN DE GESTION DEL RIESGO
Cortafuegos
Desactivación y desonfiguiacion intencional de esta herramienta por parte de usuarios mal intencionados Las amenazas a las que se pueden enfrentar son:
Servidores
Acceso y manipulación de estos equipos bien sea local, remotamente o físicamente por usuarios no autorizados y mal intencionados quienes puedan acceder a la red LAN Presencia de virus informáticos Daños en hardware como en discos duros, ventiladores Interrupción del suministro de energía eléctrica Reinicios inesperados de los equipos servidores Están expuestos a amenazas tales como:
Computadores
Presencia de virus informático Daños en hardware, software Impresoras
Daños con los cartuchos y malas calibraciones para la impresión Daños en hardware
Memorias portátiles y dispositivos de almacenamiento externos
Descofiguracinoes en el software y los controladores que manejan la impresora y hacen el puente de conexión con el hardware de estos dispositivos Presencia de virus informático Software maliciosos y espía
Roles y responsabilidades en la gestión del riesgo Datos Activo informático Bases de datos internas
Controles para minimizar el riesgo Esto hace referencia a las diferentes bases de datos que hacen parte de todas y de cada una de las secretarias de la alcaldía del municipio de San Antonio; dichas bases de datos son relacionales y fueron desarrolladas por los siguientes motor de base de datos como son:
Impacto del daño (1 bajo, 2 medio,3 alto) 1
MYSQL SQL SERVER R2 2008 Planes para efectuar copias de seguridad Políticas y sistemas para implementar seguridad y protección de los datos, los Pag No6
AA13 EV1 PLAN DE GESTION DEL RIESGO
esquemas y estructuras de estas bases de datos Implementar encriptación y cifrado de datos Documentar perfiles de usuarios, contraseñas, accesos y privilegios en cada una de las bases de datos
Bases de datos externas
Página web interna (Intranet)
Monitorear y hacer un seguimiento periódico de los servicios, estado en tiempo real, conexiones, concurrencia, tráfico de red, consumo en espacio de disco entre otros aspectos para verificar la operatividad y continuidad en el funcionamiento de estas bases de datos. Políticas y sistemas para implementar seguridad y protección de los datos, los esquemas y estructuras de estas bases de datos Este es un servicio de comunicación interna dentro de la alcaldía el cual es habilitado para cada uno de los funcionarios y empleados de las diferentes secretarias que facilitaran el proceso de trabajo interno y el intercambio de información; es necesario implementar controles para disminuir los daños o riesgos informáticos como son:
2
2
Configuración de la red LAN y de todos sus dispositivos dando protocolos de seguridad los cuales impidan el ingreso de usuarios o personas externas que no laboren dentro de la alcaldía de San Antonio
Sitio web o página externa
Instalación y puesta en marcha de herramientas para la supervisión y actividades realizadas dentro de la re LAN y en la internar habilitada para esta alcaldía. Esta es la página web o sitio el cual muestra al mundo la imagen de la alcaldía de San Antonio; dando a los
1
Pag No7
AA13 EV1 PLAN DE GESTION DEL RIESGO
usuarios y comunidad en general servicios de consultas, descarga de certificaciones de salud, pagos de impuestos, comparendos, eventos deportivos, dando a conocer noticias actualizadas y poniendo a disposición foros, chats, debates interactivos, encuestas de opinión entre otros aspectos; para disminuir los riesgos informáticos de daños y amenaza se deben implementar las siguientes recomendaciones: Administrar, gestionar y supervisar el funcionamiento y operatividad del sitio web a través de herramientas suministradas por el proveedor de internet y el hosting contratado por la alcaida como puede ser el C PANEL el cual verifique criterios como:
Chat interno
Espacio en disco Trafico de red Usuarios, conectados Concurrencias Bases de datos creadas Actividad de las bases de datos Cuentas de correos electrónico institucionales Creación de dominios Creación y disponibilidad de repositorios digitales Disponibilidad de complementos. Complementos de seguridad Servicios centrados con el proveedor Este es un medio de comunicación interna entre secretarias y funcionarios el cual deberá ser usado con estándares de buena convivencia, respeto por los demás así como principios de confidencialidad en el intercambio de información, documentos, carpetas, bases de datos y sistemas informáticos internos de esta alcaldía; para disminuir los riesgos y amenazas
2
Pag No8
AA13 EV1 PLAN DE GESTION DEL RIESGO
informáticas de este tipo de activo se debe implementar: Labores periódicas de mantenimientos y monitoreos al comportamiento de este servicio por parte del departamento de sistemas e ingenieros de esta alcaldía Documentar información de todos y cada uno de los usuarios, contraseñas y actividades realizadas en este chat interno; para así establecer los perfiles de usuarios.
Chat externo
Bases de datos de contraseñas
Implementar políticas y sistemas de seguridad en la protección de los datos, usuarios quienes hacen uso de esta herramienta. Labores periódicas de mantenimientos y monitoreo al comportamiento de este servicio por parte del departamento de sistemas e ingenieros de esta alcaldía Documentar información de todos y cada uno de los usuarios, contraseñas y actividades realizadas en este chat interno; para así establecer los perfiles de usuarios. Estas bases de datos representan fuentes de consultas, cruces de datos externos que se hacen necesarios para cumplir los objetivos misionales de la alcaldía de San Antonio; lo cual representa riesgos informáticos los cuales se pueden disminuir siguiendo o poniendo en práctica recomendaciones tales como:
3
2
Implementar políticas de seguridad, sistemas de protección de los datos como encriptación y cifrados Elaborar un log o bitácora de actividades registradas por los usuarios quienes acceden internamente en las Pag No9
AA13 EV1 PLAN DE GESTION DEL RIESGO
diferentes secretarias de esta alcaldía a las bases de datos; registrando datos como: Fecha Hora Usuario Clave Base de datos accedida Actividades realizadas Fecha y hora de cierre de sesión y conexión con la base de datos
Correo electrónico
Implementar políticas y planes para las copias de respaldo de estas bases de datos y bitácora de actividades de usuarios. Este servicio será habilitado y se podrán crear cuentas de correo electrónico únicamente usando herramientas de administración del sitio web de la alcaldía de San Antonio proporcionadas por la empresa HOSTING ; estos correos electrónicos serán institucionales y no personales en donde todos y cada uno de los empleados y funcionarios que laboran dentro de esta alcaldía tendrán habilitada una cuenta; para disminuir los riesgos informáticos se deberá implementar lo siguiente:
2
El administrador del sitio web deberá pedir información del nuevo funcionario o persona interna de la alcaldía que solicite una nueva cuenta como es Nombres completos Apellidos Secretaria donde labora Justificación del por qué necesita una nueva cuenta Fecha de la solicitud Es el administrador del sitio web el encargado de analizar y validar esta información y crear la respectiva cuenta Se deberá documentar a todos los usuarios, nombres Pag No10
AA13 EV1 PLAN DE GESTION DEL RIESGO
de los correos electrónico y los usuarios que les dan para así hacer un seguimiento y monitoreo para garantizar la operatividad y continuidad de este servicio. Sistemas Activo informático Equipos de red cableada
Controles para minimizar el riesgo Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: ROUTERS SITWCHES ENRRUTAODRES TARJETAS DE RED
Impacto del daño (1 bajo, 2 medio,3 alto) 2
Para minimizar los riesgos y amenazas informáticas se deberá implementar lo siguiente: Documentación de análisis, diseño e implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado, tecnología usada, arquitectura, topología entre otros aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN
Equipos de red inalámbrica
Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: ROUTERS SITWCHES ENRRUTAODRES TARJETAS DE RED
3
Pag No11
AA13 EV1 PLAN DE GESTION DEL RIESGO
Para minimizar los riesgos y amenazas informáticas se deberá implementar lo siguiente: Documentación de análisis, diseño e implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado, tecnología usada, arquitectura, topología entre otros aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN
Cortafuegos
Servidores
Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. Se deberán habilitar en todas y cada una de las estaciones de trabajo, nodos de la red LAN así como en los equipos servidores los cuales harán parte de la infraestructura tecnológica d la alcaldía de San Antonio Estos son equipos de cómputo de gran potencia, importancia y sensibilidad para el funcionamiento del negocio ya que cumplen labores de respaldo de datos, alojamiento de bases de datos, procesos de replicación, gestión y manejo del tráfico de red LAN, alojamiento de la bodega de datos de la alcaldía de San Antonio así como el poder atender solicitudes de consultas de múltiples usuarios de diferentes localidades o secretarias. Para poder disminuir al máximo riesgos, amenazas y
1
2
Pag No12
AA13 EV1 PLAN DE GESTION DEL RIESGO
vulnerabilidades informáticas se deberá implantar lo siguiente: Garantizar el suministro interrumpido 7X24 de energía eléctrica a estos equipos de computo Implementar planes de mantenimientos preventivos y correctivos a estos equipos por parte de personal técnico del departamento de sistemas de la alcaldía de San Antonio documentado el paso a paso y los resultados obtenidos en este proceso. Instalar y poner en marcha herramientas para el monitoreo, supervisión y seguimiento periódico del rendimiento y comportamiento real del sistema operativo de estos equipos que para el caso de la alcaldía de San Antonio será WINDOWS SERVER 2012. Implementar políticas y planes de contingencias para respaldos y copia de datos importantes de estos equipos en forma externa y remotamente usando dispositivos de almacenamiento externos y servicios de alojamiento en la nueve privada
Computadores
Elaborar un inventariado completo de la condiciones de funcionamiento en software y en hardware de estos equipos de cómputo para evaluar planes de escalonamiento y mejoramiento en hardware y software adecuando nuevos, mejores discos duros, mejores herramientas de software así como la aplicación e incremento de memoria RAM. Se deberá tener en cuenta lo siguiente:
2
Implementar labores de Pag No13
AA13 EV1 PLAN DE GESTION DEL RIESGO
mantenimientos periódicos preventivos y correctivos por parte el personal de soporte técnico de la pdependicai de sistemas de la alcaldía de San Antonio lo cual genere una documentación la cual se tenga en cuenta para el mejoramiento constante en infraestructura y repotenciar los equipos de cómputo existentes dentro de esta alcaldía.
Programas de manejo de proyectos
Programar copias de seguridad y respaldo de datos periódicos local o remotamente usando herramientas como SYNC TOY En esta alcaldía se adquieren con regularidad programas para el diseño, ejecución y programación de tareas de diferentes proyectos los cuales deberán ser ejecutados por todas y cada una de las secretarias de este despacho municipal para disminuir riesgos informáticos, vulnerabilidades i sanciones se deberá implementar lo siguiente:
1
Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de software si son de uso comercial Adquisición y contrato de licencia para el uso y explotación de este tipo de programa informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Fecha Nombre del producto o herramienta tecnológica Condiciones de uso Entidad, sitio web o empresa que facilita esta herramienta Pag No14
AA13 EV1 PLAN DE GESTION DEL RIESGO
Responsabilidades del usuario final
Programas de producción de datos
Responsabilidades del proveedor del servicio o programa informático. Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de software si son de uso comercial
1
Adquisición y contrato de licencia para el uso y explotación de este tipo de programa informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Fecha Nombre del producto o herramienta tecnológica Condiciones de uso Entidad, sitio web o empresa que facilita esta herramienta Responsabilidades del usuario final
Impresoras
Memorias portátiles
Responsabilidades del proveedor del servicio o programa informático. Se deberán realizar labores periódicas de mantenimientos preventivos y correctivos a las impresoras con las cuales cuenta la alcaldía de San Antonio; generado documentación técnica la cual será tenida en cuenta el momento de adquirir nuevas y más modernas impresoras y mejorar las ya existentes. Se deberá realizar un análisis o escaneo en detalle ejecutando programas de antivirus y de seguridad informática con los que cuenta la alcaldía de San Antonio para evitar:
1
1
Presencia de virus Pag No15
AA13 EV1 PLAN DE GESTION DEL RIESGO
informático Presencia de gusanos informáticos Sabotaje Software malicioso Software espía Personal Responsable Alcalde mayor de San Antonio
Funciones Es la máxima autoridad del municipio de San Antonio y sus funciones son:
Cumplimiento Si
Implementar políticas para el mejoramiento de la vida de todos y cada uno de los habientes del municipio Implementar, liderar y coordinar proyectos con la secretaria de gobierno Liderar proyectos y planes de mejoramiento en las secretarios de hacienda, salud, medio ambiente, deportes y reacción Presentar al consejo municipal informes de gestión de su gobierno Hacer un buen uso de la infraestructura tecnológica de la alcaldía de San Antonio y de los diferentes equipos de computo
Secretario de Hacienda
Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Hacienda
SI
Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio Pag No16
AA13 EV1 PLAN DE GESTION DEL RIESGO
del municipio
Secretario de Gobierno
Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Gobierno
SI
Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio
Secretario de Medio Ambiente
Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Medio Ambiente
SI
Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio
Secretario de Salud
Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Salud
SI
Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio
Pag No17
AA13 EV1 PLAN DE GESTION DEL RIESGO
Secretario de Deportes y Recreación
Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Recreación y Deportes
SI
Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio
Jefe de Sistemas
Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Es la persona encargada de: Liderar y gerencia proyectos informáticos
SI
Definir políticas y sistemas de seguridad para la protección de los datos, las bases de datos, los sistemas informáticos y la red LAN Supervisar la administración y mantenimiento de las bases de datos de esta alcaldía lo cual garantice su operatividad y continuidad Coordinar el desarrollo de sistemas de información y nievas herramientas tecnológicas a ser implementadas por esta alcaldía.
Administrador de Base de Datos Alcaldía de San Antonio
Supervisar la implementación de planes para copias de seguridad y respaldo de datos que realice el administrador de base de datos Administrar, mantener y garantizar la operatividad, funcionabilidad y continuidad
SI
Pag No18
AA13 EV1 PLAN DE GESTION DEL RIESGO
Informática Soporte Técnico
de las bases de datos de esta alcaldía Efectuar planes de mantenimientos preventivos y correctivos a los computadores, servidores e infraestructura de la red LAN de la alcaldía del municipio de San Antonio.
Recueros y presupuestos necesarios para la ejecución del plan Un método sencillo para elaborar un plan de trabajo es organizar la información recopilada sobre lo que se desea hacer en una secuencia jerarquizada: comience por el objetivo, después pase a los resultados que contribuyen a la consecución de dicho objetivo y, por último, a las tareas que permitirán lograr los resultados. A continuación se muestra un plan de trabajo parcial correspondiente a uno de los diversos objetivos posibles:
Entre los recueros necesarios para ejecutar este plan de gestión de riesgos informáticos tenemos los siguientes: Acceso a computadores y servidores de la alcaldía de San Antonio (Solo usuarios autorizados y personal del departamento de sistemas) Acceso a la red LAN (Departamento de sistemas y usuarios internos) Adquisición de software especializado y herramientas tecnológicas para el monitoreo constante de la elaboración y documentación de este tipo de planes; así como el poder permitirle a personal del área de sistemas realizar auditorías internas para evaluar cómo responde las diferentes secretarias a las amenazas y riesgos informáticos detectados con anterioridad. Periocidad de los eventos a ejecutar Los eventos a ejecutar después de desarrollado, documentado e implementado en la práctica y en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través de la realización de diferentes auditorias informáticas internas ejecutadas por personal interno perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de esta dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el responsable especializado en la administración de la red LAN
Pag No19
AA13 EV1 PLAN DE GESTION DEL RIESGO
Herramientas software para realizar auditorías informáticas recomiendas Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la relacionada a los sistemas informáticos, la cual si no se cuenta con las herramientas adecuadas puede llegar a ser bastante exhaustiva por toda la información que se debe recopilar por cada uno de los equipos. Normalmente cuando se hace auditoria a un equipo de cómputo es necesario conocer con el mayor detalle posible cada una de las características del mismo, sus componentes y el software que allí está instalado, sus respectivas licencias y cualquier otra información que pueda ser clave para ser analizada por el auditor, algo que si se hace de forma manual puede ser bastante complejo y demorado, por eso la importancia de recurrir a herramientas de software que faciliten el trabajo. WinAudit es un software muy sencillo, liviano, gratuito y además portable, que de manera rápida nos ofrece un completo análisis de cualquier computador que funcione bajo el sistema Windows.
Al descargar WinAudit lo primero que se destaca es su pequeño tamaño de apenas 1,6 MB, seguido de que no es necesario instalarlo para poderlo utilizar, facilitando así que podamos llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que vayamos a analizar. Como si fuera poco, esta herramienta es totalmente gratuita y de código abierto. El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de inmediato la herramienta empieza a analizar todo el hardware y software de nuestra máquina, listando cada uno de los componentes, sus características específicas, programas instalados con todos los detalles posibles para cada uno de ellos, y una gran cantidad de información extra con la que seguramente se puede disponer de un informe completo, que podremos guardar en formato HTML, CSV o RTF. Actividades de protección sobre los datos A veces es prácticamente imposible poder garantizar un sistema o una protección 100% segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante adoptar este tipo de políticas y medidas de seguridad informática y protección de la información en este caso de la alcaldía de San Antonio para así disminuir al máximo estos riesgos; pero en Pag No20
AA13 EV1 PLAN DE GESTION DEL RIESGO
casos o escenarios posibles donde un intruso o usuario no autorizado por los sistemas y bases de datos relacionales de la alcaldía de San Antonio tiene acceso a datos importantes y a la red LAN se puede considera la opción de poner otra barrera más de seguridad en mi opinión se puede implementar procesos de encriptación y cifrado de datos y registros en el caso de las bases de datos de cada una de las secretarias de la alcaldía de San Antonio, así a pesar de que un usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga acceso a información sensible y delicada de muy poco le serviría ya que esta información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin, uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados son prácticamente incomprensibles. Encriptación es el proceso mediante el cual cierta información o texto sin formato es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. Opcionalmente puede existir además un proceso de des encriptación a través del cual la información puede ser interpretada de nuevo a su estado original, aunque existen métodos de encriptación que no pueden ser revertidos. El término encriptación es traducción literal del inglés y no existe en el idioma español. La forma más correcta de utilizar este término sería cifrado. Criptologia: La encriptación como proceso forma parte de la criptología, ciencia que estudia los sistemas utilizados para ocultar la información. La criptología es la ciencia que estudia la transformación de un determinado mensaje en un código de forma tal que a partir de dicho código solo algunas personas sean capaces de recuperar el mensaje original.
La mayoría de los algoritmos modernos del cifrado se basan en una de las siguientes dos categorías de procesos: Problemas matemáticos que son simples pero que tienen una inversa que se cree (pero no se prueba) que es complicada Secuencias o permutaciones que son en parte definidos por los datos de entradas.
Pag No21
AA13 EV1 PLAN DE GESTION DEL RIESGO
Usos de la Encriptación Algunos de los usos más comunes de la encriptación son el almacenamiento y transmisión de
información sensible como contraseñas, números de identificación legal, números de tarjetas de crédito, reportes administrativo-contables y conversaciones privadas, entre otros. Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos. Otros métodos para la protección de los datos generados por las bases de datos de la alcaldía de San Antonio serian: Almacenamiento en dispositivos externos Almacenamiento en la nube remotamente de datos e información sensible Discos duros espejo Fragmentación de bases de datos Implementar bases de datos distribuidas en todas y cada una de las secretarias.
Pag No22
AA13 EV1 PLAN DE GESTION DEL RIESGO
Referencias bibliográficas. En esta parte del documento de análisis de riesgos se van a adjuntar todas y cada una las fuentes bibliográficas las cuales fueron tenidas en cuenta al momento de construir este informe y poder dar solución a la evidencia de aprendizaje planteada como son: Análisis de riesgo informático https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico#Proceso_de_an.C 3.A1lisis_de_riesgos_inform.C3.A1ticos Análisis de riesgo informático, seguridad informática http://redyseguridad.fip.unam.mx/proyectos/seguridad/AnalisisRiesgos.php Gestión del riesgo en la seguridad https://protejete.wordpress.com/gdr_principal/analisis_riesgo/ Que es y por qué hacer análisis de riesgo http://www.welivesecurity.com/la-es/2012/08/16/enque-consiste-analisis-riesgos/ Tutorial de la seguridad de la información http://redyseguridad.fip.unam.mx/proyectos/tsi/capi/Cap5.html Seguridad informática https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica Políticas de seguridad informática gestión integral www.gestionintegral.com.co/.../Políticas-deSeguridad-Informática-2013 Manual de políticas y estándares en seguridad informática www.intenalco.edu.co/MP_V01.pdf Políticas y normas de seguridad informática www.cvs.gov.co/.../Politicas_de_Seguridad_Informatica_CVS_2011-.pd Ejemplos de políticas de seguridad informática en una organización https://prezi.com/.../ejemplos-de-politicas-de-seguridad-informatica-en-u... Seguridad informática, políticas de respaldo y soporte https://www.youtube.com/watch?v=OagvKpKJpWc Seguridad informática, acceso físico, políticas y estándares https://www.youtube.com/watch?v=gzgXELz85RI Herramientas para la supervisión y gestión de WINDOWS SERVER 2012 R2 https://administracionsistemasoperativos201415.wordpress.com/2015/03/02/herramientas-parala-supervision-y-gestion-de-windows-server-2012-r2/ Encriptación de datos http://encripdedatos.blogspot.com.co/
Pag No23