• Author / Uploaded
• Samuel Araujo

Citation preview

PLAN DE GESTIÓN DE RIESGOS (PGR) JOSE NELSON ARAUJO DAZA

PLAN DE GESTIÓN O TRATAMIENTO DEL RIESGO En el ámbito empresarial se está dando mayor prioridad a salvar, proteger y custodiar el activo de la información, debido a que los sistemas de información y los avances tecnológicos están siendo implementados en todas las empresas del mundo. Los riesgos por desastres naturales, riesgos inherentes relacionados con procesos no adecuados en el tratamiento de la misma información, desconocimiento de normas y políticas de seguridad y el no cumplimiento de estas, suelen ser los temas más frecuentes y de mayor impacto presentes en las empresas. Una entidad sin un plan de gestión de riesgos está expuesta a perder su información. Todas las organizaciones deberían implementar planes para gestionar los riesgos que afectan a los sistemas de información, tecnologías de información y activos informáticos, considerando que en la actualidad los riesgos más comunes son generados por ataques dirigidos al software empresarial, afectando la disponibilidad e integridad de la información almacenada o transportada a través de los equipos de comunicación. Por esta razón hay que estar preparados para prevenir todo tipo de ataques o desastres, ya que cuando el costo de recuperación supera al costo de prevención es preferible tener implementados planes de gestión de riesgos que permitan la continuidad del negocio tras sufrir alguna pérdida o daño en la información de la entidad.

Riesgos comunes Hurto de información o de equipos informáticos. Hurto de información durante el cumplimiento de las funciones laborales, por intromisión Incendio en las instalaciones de la empresa por desastre natural o de manera intencional. Alteración de claves y de información. Pérdida de información. Baja Cobertura de

internet. Daño de equipos y de información Atrasos en la entrega de información Atrasos en asistencia técnica Fuga de información Manipulación indebida de información La alcaldía de San Antonio del SENA cuenta con las siguientes secretarias y dependencias, las cuales apoyan la gestión del alcalde Juan Pedro. A nivel tecnológico cada secretaria y/o dependencia tiene unas características particulares y unas limitaciones propias que a continuación se presentan de forma rápida, con el objetivo de tener un contexto general de la alcaldía para realizar el Plan de Gestión de Riesgos. Secretaría General Apoya los procesos para asistir al alcalde de San Antonio del SENA en la planeación, organización, control ejecución de los programas de su administración. Vela por el cumplimiento de las normas legales que regulan el funcionamiento de la alcaldía. Secretaría de Hacienda Recauda, registra y procesa la información económica de la administración municipal. Fija las políticas para el cobro de aportes, participaciones y servicios de la nación, departamento, instituciones oficiales y semioficiales. Expide certificados de Paz y Salvo por pago de impuesto Secretaría de Gobierno Evalúa los programas y campañas de la administración municipal para garantizar los derechos y bienes de los habitantes del municipio, recibe y da trámite a las querellas interpuestas por los ciudadanos. Secretaría de Planeación y Obras Públicas Trabaja con proyectos para el desarrollo social, direcciona los proyectos en materia de obras públicas, estratificación y actualización catastral. Trabaja en planes de prevención y atención de desastres. Secretaría Educación Representa y trabaja por la calidad y cobertura educativa. Orienta la elaboración y ejecución de proyectos educativos. Secretaría de Salud Vigila la salud pública, gestiona la prestación de servicios de salud y promoción de planes, programas, estrategias y proyectos en salud para el desarrollo del sector y del sistema general de seguridad social.

Secretaría de Deportes Recreación y Cultura Ejecuta programas destinados al aprovechamiento del tiempo libre por medio de prácticas deportivas, actividades recreativas y eventos culturales en espacios adecuados. Es importante la promoción, elaboración y ejecución de programas orientados a conservar los valores de la cultura local, así como la formación y el apoyo integral a los deportistas. Secretaría de Gestión Ambiental y Minería Gestiona las políticas para la conservación del medio ambiente y la protección de los recursos naturales. Ejerce control y vigilancia sobre el cumplimiento de las normas. Acompaña y asesora a la pequeña y mediana minería, en los procesos de tecnificación. Expide permisos de movilización forestal Oficina de Control Interno Vela por el control de la calidad, propende por determinar estrategias y realizar procedimientos para la verificación y evaluación. Genera informes que permiten identificar y controlar las debilidades, vulnerabilidades, riesgos, amenazas y fallas en los procesos misionales

1. Alcance del plan de gestión del riesgo (PGR) Define el alcance y propósito del plan de gestión del riesgo además de proporcionar una visión general del contexto de la organización.

Alcances • Lograr el compromiso de la Alcaldía para emprender la implementación del plan de gestión del riesgo en la seguridad de la información. • Designar funciones de liderazgo para apoyar y asesorar el proceso de diseño e implementación del plan de gestión. • Capacitar al personal de la entidad en el proceso de plan de gestión del riesgo de la seguridad de la información. Limitaciones • Crear el rubro del presupuesto necesario para apoyar la implementación del plan de gestión del riesgo de la seguridad de la información en la Alcaldía.

Elementos a tener en cuenta Se realiza una identificación de todos los elementos de riesgos a los cuales está expuesta la infraestructura tecnológica y la información guardada: • Personal • Hardware • Software • Datos e información • Documentación • Suministro de energía • Suministro de telecomunicaciones • Red Plan de protección • • • • • •

Se realizan las siguientes acciones como plan de protección: Se hace copias de los archivos que son vitales para la alcaldía. Al robo común se cierran las puertas de entrada y ventanas. Al vandalismo, se cierra la puerta de entrada. A la falla de los equipos, se realiza el mantenimiento de forma regular. Al daño por virus, todo el software que llega se analiza en un sistema

• • • • • • • • • • • • • • • • •

utilizando software Se cuenta con muy buenos antivirus actualizados en todo momento A las equivocaciones, los empleados tienen buena formación. Cuando se requiere personal temporal se intenta conseguir a empleados debidamente preparados. Se realizan jornadas de capacitación al personal. Al acceso no autorizado, se cierra la puerta de entrada. Se cuenta con seguridad perimetral y con un sistema de cerrado de televisión para revisar los ingresos y salidas Se aseguran los equipos en caso de algún desastre natural como incendio, inundación, etc. Los servidores que guardan la información están en la nube de tal forma que se garantiza contar con la información en todo momento y el proveedor se encarga de los backups de la información (OpenShift de RedHat) Hay Cortafuegos muy bien configurados para el tráfico de red Hay redundancia de componentes como routers, entre otros, por si falla algún componente entra a funcionar el componente de respaldo y de esa forma se garantiza la continuidad de los servicios en la alcaldía Se cuentan con ups por si se presentan fallas en el suministro del fluido eléctrico Se cuenta con software de monitoreo a varios niveles que permite medir el desempeño de la infraestructura tecnológica Capacitaciones periódicas (bimensual) en diversos temas tecnológicos (seguridad información, sistemas de información que se usa, manejo de equipos, etc.) y de procesos con el objetivo de mitigar el riesgo si una persona deja la alcaldía

Estrategias de recuperación Se dispone las alternativas más prácticas para proceder en caso de un desastre. Todos los aspectos de la organización son analizados, incluyendo hardware, software, comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar varían según la función del equipo y pueden incluir duplicación de centros de datos, alquiler de equipos e instalaciones, contratos de almacenamiento y muchas más. Igualmente, se analiza los costos asociados. Para el caso de la alcaldía la información va a estar guardada en la nube, hay redundancia de componentes de hardware, hay personal capacitado constantemente con jornadas de capacitación bimensual y simulacros de diversos temas.

Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la alcaldía. Las copias de seguridad son las siguientes: • Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red. • Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los aplicativos institucionales). • Backup del software aplicativo: backups de los programas fuente y los programas ejecutables. Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecución del software aplicativos de la institución).

Consta de 1. Desarrollar una política de continuidad Todas las actividades deben estar alineadas con los objetivos de continuidad del negocio, por lo que un punto de partida puede ser el desarrollo de una política encargada de establecer el marco de operación de los planes, así como la clasificación de los sistemas o aplicaciones para identificar aquellos que sean considerados como críticos. Políticas (Normas y Procedimientos) Se debe establecer procedimientos, normas y determinación de responsabilidades en la obtención de los "Backups" o Copias de Seguridad. Se debe considerar: Periodicidad de cada tipo de Backus, los backups de los sistemas informáticos se realizan de manera diferente. Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción de curso y registro de Actas se realiza Backus diario, para los demás periodos se realiza el Backus semanal. Sistema de Ingresos: Backus diario Sistema de Tramite Documentario: Backus diario. Sistema de Abastecimientos: Backus semanal Sistema de Control de Asistencia del personal: Backus semanal. Sistema de Banco de Preguntas, Backus periodo examen. Respaldo de información de movimiento entre los periodos que no se sacan backups: días no laborales, feriados, etc. En estos días es posible programar un Backus automático. Se realizan las siguientes acciones: Se hace copias de los archivos que son vitales para la institución. Al robo común se cierran las puertas de entrada y ventanas Al vandalismo, se cierra la puerta de entrada. A la falla de los equipos, se realiza el mantenimiento de forma regular. Al daño por virus, todo el software que llega se analiza en un sistema utilizando software antivirus. A las equivocaciones, los empleados tienen buena formación. Cuando se requiere personal temporal se intenta conseguir a empleados debidamente preparados. A terremotos, no es posible proteger la instalación frente a estos fenómenos. El presente Plan de contingencias da pautas al respecto. Al acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen de llave de bloqueo del teclado.

2.

Realizar una evaluación de riesgos

Llevar a cabo una evaluación de riesgos permite identificar, analizar y evaluar las amenazas que podrían afectar a la organización, especialmente aquellos que puedan provocar un evento que se incluya en la categoría de desastre. Interpretación de Riesgos: Se realiza una interpretación de todos los elementos de riesgos a los cuales está expuesto el conjunto de equipos informáticos y la información procesada, y que deben ser protegidos. Bienes susceptibles de un daño. Se identifican los siguientes afectos a riesgos: Personal, Hardware, Software, Datos e información, Documentación, Suministro de energía eléctrica, Suministro de telecomunicaciones. Daños: Los posibles daños pueden referirse a la Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones, naturales o humanas. Imposibilidad de acceso a los recursos informáticos, sean estos por cambios involuntarios o intencionales, tales como cambios de claves de acceso, eliminación o borrado físico/lógico de información clave, proceso de información no deseado. Divulgación de información a instancias fuera de la institución y que afecte su patrimonio estratégico, sea mediante Robo o Infidencia. Fuentes de daño: Las posibles fuentes de daño que pueden causar la no operación normal de la compañía son: Acceso no autorizado: Ruptura de las claves de acceso al sistema computacionales Desastres Naturales: Movimientos telúricos Inundaciones Fallas en los equipos de soporte (causadas por el ambiente, la red de energía eléctrica, no acondicionamiento atmosférico necesario) Fallas de Personal Clave: por los siguientes inconvenientes, Enfermedad, Accidentes Renuncias abandono de sus puestos de trabajo entre otros. Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla en el hardware de Red (Switches, cableado de la Red, Router, Firewalls). Fallas en la seguridad: En este se abarca el estudio del hardware, software, la ubicación física de la estación su utilización, con el objeto de identificar los posibles resquicios en la seguridad que pudieran suponer un peligro. Las fallas en la seguridad de la información y por consiguiente de los equipos informáticos, es una cuestión que llega a afectar, incluso, a la vida privada de la persona, de ahí que resulte obvio el interés creciente sobre este aspecto. 1. Realizar un análisis de impacto En este paso se definen principalmente los objetivos de recuperación para los sistemas que soportan los procesos de negocio. Se define el Tiempo Objetivo de Recuperación (RTO por sus siglas en inglés), que es el período permitido para la recuperación de una función o recurso de negocio a un nivel aceptable luego de un desastre, y el Punto Objetivo de Recuperación (RPO) que describe la antigüedad máxima de los datos para su restauración, con base en los requisitos del negocio.

2. Roles y responsabilidades Numero de miembros del equipo de gestión de riesgos junto con el rol que desempeñarán y responsabilidades que tendrán asignadas. • Estructura del equipo de recuperación (organigrama general) Las principales funciones de este equipo serán restablecer los servicios de cómputo mediante la restauración de la infraestructura, software operativo, los sistemas, las telecomunicaciones y los datos. • Equipo de recuperación La conformación de equipo de recuperación de desastres tiene como objetivo establecer las distintas responsabilidades para conseguir recuperación exitosa ante una emergencia, teniendo en cuenta el DRP establecido. Roles del equipo de DRP tiene las siguientes responsabilidades: • Definir controles preventivos necesarios y viables, con el fin de disminuir la probabilidad de ocurrencia. • Establecer, probar, ajustar y actualizar el DRP. • Recuperar los servicios en el menor tiempo posible y dentro de los tiempos establecidos. Teniendo en cuenta las responsabilidades se conformaron los siguientes equipos de trabajos: a. Dirección Estratégica y Coordinación (DEC): Coordinador General del Plan • Dirigir y coordinar las actividades de los demás equipos que conforman la brigada de DRP. • Manifestar la situación de emergencia, contingencia y restablecimiento. • Determinar el nivel de desastre producido por una contingencia: total o mayor, parcial, menor. • Realizar y probar los planes de recuperación. • Controlar la ejecución del DRP y realizar los respectivos ajustes teniendo en • cuenta los problemas y errores detectados durante la ejecución del mismo b. Recuperación de hardware (RH): Líder de infraestructura - Proveedores Principales y alternos • Identificar el hardware que ha sido afectado por el plan de contingencia. • Coordinar con los proveedores de hardware el cumplimiento de los contratos de mantenimiento, garantías y niveles de soporte. • Participar en las instalaciones de sistemas operativos que realizan los

• proveedores Comprobar el funcionamiento del hardware que han sido restaurados remplazados por proveedores. • Identificar los elementos de comunicaciones y centros de cómputo que han sido afectados por el plan de contingencia. • Suministrar los backups necesarios para la restauración de la información. • Suministrar el software necesario para la restauración. c. Recuperación de software (RS): Líder de aplicaciones y Base de datos • Identificar servicios, procesos, bases de datos y aplicaciones que han sido afectados por el plan de contingencia. • Instalar, configurar y adecuar el software que ha sido afectado por la contingencia. d. Equipo de comunicación a usuarios (CU): Coordinador de operaciones • Comunicar oficialmente a los usuarios, el plan de contingencia que será llevado a cabo, el tiempo del restablecimiento de las condiciones normales. • Realizar comunicados a los usuarios internos.

RESPONSABLE FUNCIONES CUMPLIMIENTO Alcalde mayor de San Antonio Es la máxima autoridad del municipio de San Antonio y sus funciones son: Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Implementar políticas para el mejoramiento de la vida de todos y cada uno de los habientes del municipio Implementar, liderar y coordinar proyectos con la secretaria de gobierno Liderar proyectos y planes de mejoramiento en las Secretarios de hacienda, salud, medio ambiente, deportes y reacción Presentar al consejo municipal informes de gestión de su gobierno Hacer un buen uso de la infraestructura tecnológica de la alcaldía de San Antonio y de los diferentes equipos de cómputo Secretario de Hacienda Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Hacienda Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio Secretario de Deportes y Recreación Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Recreación y Deportes Liderar e implementar proyectos y

planes de mejoramiento en esta secretaria para el beneficio del municipio Jefe de Sistemas Es la persona encargada de: Supervisar la implementación de planes para copias de seguridad y respaldo de datos que realice el administrador de base de datos Liderar y gerencia proyectos informáticos Definir políticas y sistemas de seguridad para la protección de los datos, las bases de datos, los sistemas informáticos y la red LAN Supervisar la administración y mantenimiento de las bases de datos de esta alcaldía lo cual garantice su operatividad y continuidad Coordinar el desarrollo de sistemas de información y nievas herramientas tecnológicas a ser implementadas por esta alcaldía. Administrador de Base de Datos Administrar, mantener y garantizar la operatividad, funcionabilidad y continuidad de las bases de datos de esta alcaldía

3. Presupuesto Estimación de los costes y recursos necesarios para ejecutar el plan de gestión de riesgo con el fin de incluirlos dentro del presupuesto del SGSI.

Entre los recuSros necesarios para ejecutar este plan de gestión de riesgos informáticos, están los siguientes: • Acceso a computadores y servidores de la alcaldía de San Antonio (Solo usuarios autorizados y personal del departamento de sistemas) • Adquisición de software especializado y herramientas tecnológicas para el monitoreo constante de la elaboración y documentación de este tipo de planes; así como el poder permitirle a personal del área de sistemas realizar auditorías internas para evaluar cómo responde las diferentes secretarias a las amenazas y riesgos informáticos detectados con anterioridad. • Acceso a la red LAN (Departamento de sistemas y usuarios internos)

4. Periodicidad donde se define cuando y con qué frecuencia se realizará la revisión y actualización de los procesos y procedimientos relacionados con la gestión del riesgo.

Los eventos a ejecutar después de desarrollado, documentado e implementado en la práctica y en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través de la realización de diferentes auditorias informáticas internas ejecutadas por personal interno perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar sus estas vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de esta dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el responsable especializado en la administración de la red LAN.

A veces es prácticamente imposible poder garantizar un sistema o una protección

100% segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante adoptar este tipo de políticas y medidas de seguridad informática y protección de la información en este caso de la alcaldía de San Antonio para así disminuir al máximo estos riesgos; pero en casos o escenarios posibles donde un intruso o usuario no autorizado por los sistemas y bases de datos relacionales de la alcaldía de San Antonio tiene acceso a datos importantes y a la red LAN se puede considera la opción de poner otra barrera más de seguridad en mi opinión se puede implementar procesos de encriptación y cifrado de datos y registros en el caso de las bases de datos de cada una de las secretarias de la alcaldía de San Antonio, así a pesar de que un usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga acceso a información sensible y delicada de muy poco le serviría ya que esta información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin, uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados son prácticamente incomprensibles.

5. Categorías del riesgo Estructura o escala detallada que se utilizara para realizar la clasificación del riesgo.

6. Inventario de activos expuestos Relación de los activos especificando las amenazas a las que se encuentran expuestos. Activos HARDWARE Computador (administración) Computador (formación educativa) Computador (formación educativa) Servidor Blade Servidor rack Sistema de almacenamiento san Sistema de seguridad para red Impresora Switch LOCAL

CARACTERÍSTICAS

Activos SOFTWARE WINDOWS 10 PRO PARA EMPRESAS

CARACTERISTICAS

Acceso a internet e intranet, generación de informes, cálculos, presentaciones, acceso a base de datos. Antivirus - firewall Desarrollo de software, paquetes funcionales: documentos presentación hojas de cálculo, acceso a la red local, internet. Antivirus. Procesos contables y financieros; paquetes funcionales: documentos presentación hojas de cálculo, acceso a la red local, internet. Antivirus. Hpe proliant bl660c gn9 Dell Hp

Cisco Epson Cisco EDIFICO INMUEBLE

Procesador compatible de 1 GHz o más rápido 1 GB de RAM para 32-bit; 2 GB para 64 bits Hasta 20 GB de espacio en disco disponible Resolución de pantalla de 800 x 600 o más. Procesador de gráficos DirectX® 9 con controlador WDDM

OFFICE 2019 PARA EMPRESAS

Acceso a Internet (es posible que se apliquen cargos) PC: Cuenta Microsoft • Acceso a Internet • Windows 10 •1.6 GHz, procesador de 2 núcleos• 4 GB, 2 GB (32 bit) RAM • 4 GB de espacio disponible en disco • Resolución de pantalla 1280×768.

WINODWS DEFENDER

Windows 10 pro.

Windows 10 VISUAL STUDIO Procesador de 1.8 GHz o más rápido. Quad-core o mejor PROFESSIONAL recomendado 2019 2 GB de RAM; Se recomiendan 8 GB de RAM (mínimo de 2,5 GB si se ejecuta en una máquina virtual) Espacio en el disco duro: mínimo de 800 MB hasta 210 GB de espacio disponible, según las características instaladas; Las instalaciones típicas requieren 20-50 GB de espacio libre. EBP CONTABILIDAD PYME

Windows 7 • Procesador Intel core 2GHz o equivalente • Memoria: 1 Gb • Pantalla: resolución 1024x768 en 16 bits • Espacio libre del disco: 2 Gb BASE DE DATOS Procesador AMD64 o Intel EM64T ORACLE 19C 2 Gb de RAM Conección a Internet Adaptador de video de 256 colores con resolución 1024x768 10,5 Gb de espacio en disco disponible (6 Gb software + 4,5 Gb DB) WINDOWS Procesador de 1,4 GHz de 64 bits SERVER 2019 512 MB (2 GB para la opción de instalación Servidor con experiencia de escritorio) Mínimo: 32 GB espacio libre