• Author / Uploaded
• GALO JOSE MUNOZ MARTINEZ

Citation preview

AP6-AA13-EV1-Plan de gestión de riesgos (PGR)

PRESENTADO POR:

ELMER MICOLTA VALENCIA. GALO JOSE MUÑOS MARTINEZ.

TURORA VOCERA: ING. ANGELICA MARIA OTALVARO MARIN

SERVICIO NACIONAL DE APRENDIZAJE SENA ESPECIALIZACIÓN TECNOLOGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS COLOMBIA 2019

PLANTILLA PARA DEFINICIÓN DEL PLAN DE GESTIÓN O TRATAMIENTO DEL RIESGO El Plan de Gestión de Riesgos (PGR) describe la estructura utilizada por el Sistema de Gestión de la Seguridad de la Información (SGSI) para realizar la gestión de riesgo en la organización. El plan de Gestión de Riesgos debe incluir cómo mínimo los siguientes aspectos: 1. Alcance del plan de gestión del riesgo (PGR) Define el alcance y propósito del plan de gestión del riesgo además de proporcionar una visión general del contexto de la organización. 2. Roles y responsabilidades Numero de miembros del equipo de gestión de riesgos junto con el rol que desempeñaran y responsabilidades que tendrán asignadas. 3. Presupuesto Estimación de los costes y recursos necesarios para ejecutar el plan de gestión de riesgo con el fin de incluirlos dentro del presupuesto del SGSI. 4. Periodicidad Cronograma en donde se define cuando y con qué frecuencia se realizara la revisión y actualización de los procesos y procedimientos relacionados con la gestión del riesgo. 5. Categorías del riesgo Estructura o escala detallada que se utilizara para realizar la clasificación del riesgo. 6. Inventario de activos expuestos Relación de los activos especificando las amenazas a las que se encuentran expuestos. 7. Matriz de probabilidad e impacto1 Hoja de cálculo en la que se realiza una aproximación generalizada de los riesgos asociados con el manejo de la información en la organización (suministrada como materiales del programa y elaborada anteriormente). Desarrollo 1

La matriz suministrada es producto del trabajo realizado por Markus Erb en su publicación "Gestión de Riesgo en la Seguridad Informática" extraido el 1 de agosto de 2012 de http://protejete.wordpress.com/descargas/

Una vez citados claramente todos y cada uno de los objetivos propuestos en el desarrollo de este plan de gestión de riesgos informáticos, es en este preciso momento en donde vamos a dar inicio al desarrollo y cumplimiento de cada uno de los puntos y objetivos planteados inicialmente. Plan de recuperación antes desastres alcaldía de San Antonio: es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este artículo, el propósito es la protección de datos. Razones para recurrir a un DRP Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:           

Catástrofes. Fuego. Fallos en el suministro eléctrico. Ataques terroristas. Interrupciones organizadas o deliberadas. Sistema y/o fallos del equipo. Error humano. Virus, amenazas y ataques informáticos. Cuestiones legales. Huelgas de empleados. Conmoción social o disturbios.

Prevención ante los desastres Se deben implementar las siguientes medidas estudiando los posibles casos d caos y desastres tanto humanos, como informáticos y naturales que pueden afectar el normal trabajo de la alcaldía de San Antonio para nuestro caso de estudio como son: 

Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda más que los datos de una semana.

       

Incluir el software así como toda la información de datos, para facilitar la recuperación. Si es posible, usar una instalación remota de reserva para reducir al mínimo la pérdida de datos. Redes de Área de Almacenamiento (San) en múltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo electrónico. El suministro de energía ininterrumpido (SAI). La prevención de incendios - más alarmas, extintores accesibles. El software del antivirus. El seguro en el hardware.

El plan Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: "Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que hay que tomar en cuenta. Los más importantes son: 

   

El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperación; en el caso de la alcaldía de San Antonio se deberá contar con agendas electrónicas o en cuadernos que contengan todos los datos de contacto de todos y cada uno de los integrantes en este caso del departamento de sistemas para su posterior aviso dicha información deberá tener correo electrónico, no de teléfono celular, teléfono alterno, dirección de residencia; en cuanto a las funciones /o labores que deberán tener estas han debido estar documentadas y comentadas previo a la ocurrencia de un desastre ya que es más fácil que cada uno conozca sus labores, responsabilidades y esto aceleraría más la normalización de todo lo referente a infraestructura de hardware como de software. Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la posición remota de reserva (o Internet). Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico. Instalaciones: teniendo sitios calientes o sitios fríos para empresas más grandes. Instalaciones de recuperación móviles están también disponibles en muchos proveedores.

 

Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar horas más largas y más agotadoras. Debe haber un sistema de apoyo para aliviar un poco de tensión. La información de negocio. Las reservas deben estar almacenadas completamente separadas de la empresa (Cummings, Haag y 2005 McCubbrey). La seguridad y la fiabilidad de los datos es clave en ocasiones como estas.

Proceso de recuperación Después de la posible ocurrencia de algún tipo de desastre y este afectara a la alcaldía de San Antonio y todos sus servicios, manejo de información, infraestructura de hardware, de software y de red LAN se deberán seguir los siguientes pasos y recomendaciones.       

Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc. Llamar el abastecedor de software e instalar de nuevo el software. Recuperar los discos de almacenaje que estén fuera de sitio. Reinstalar todos los datos de la fuente de respaldo. Volver a ingresar los datos de las pasadas semanas. Tener estrategias periódicas de respaldos de base de datos. Monitorear el proceso.

Tecnología Para el proceso de recuperación de algún desastre a alcaldía de San Antonio deberá adquirir uno o varias de las siguientes herramientas tecnológicas como son:  Biblioteca de cinta virtual.  Software de réplica sincrónico.  Tecnología de almacenaje de réplica.  Servicio telefónico virtual PBX/HOSTED.  Backups remotos de reserva.  Protector de datos continúo.  Sistema para la administración de planes (Moebius).  Cloud. Podremos destacar como herramientas tecnológicas que debe adquirir la alcaldía de San Antonio el software de réplica de almacenamiento SQL Server.

Software de réplica de almacenamiento ¿Desea la capacidad de replicar datos en ubicaciones remotas para más eficiencia y rentabilidad? El software HP 3PAR Remote Copy proporciona a los centros de datos empresariales y de nube una tecnología de recuperación ante desastres de nivel 1 y replicación autónoma que permite la protección y el uso compartido de los datos desde cualquier aplicación de forma simple, eficiente y asequible. El software Remote Copy reduce significativamente el coste de la replicación de datos remotos y la recuperación ante desastres aprovechando la tecnología de copia ligera y permitiendo la replicación con matrices de gama media, todo flash y gama alta para ofrecer un rendimiento de coste exclusivo para la protección de un conjunto más amplio de aplicaciones. Configuración y pruebas en cuestión de minutos, lo que reduce la necesidad de servicios profesionales. Con compatibilidad con replicación a larga distancia sincrónica de varios emplazamientos, periódica asincrónica y sincrónica, 3PAR Remote Copy ofrece una amplia gama de opciones de replicación para que los clientes consigan los objetivos de tiempo de recuperación estricta (RTO) y los objetivos de punto de recuperación rápida (RPO). Recursos Solución de replicación simple y con una potencia única Ofrece una recuperación ante desastres sólida que puede configurarse y probarse en minutos desde una única consola de gestión de HP 3PAR. Las capacidades de configuración autónomas e integradas, únicas en el sistema de almacenamiento HP 3PAR StoreServ, minimizan la necesidad de contratar servicios profesionales comunes a las soluciones de replicación de la competencia. Proporciona configuraciones de réplica sincrónica a larga distancia, de varios modos y de varios sitios, que permite a las organizaciones ahorrar en costes de hardware cumpliendo con los objetivos de tiempo de recuperación bajos (RTO) y los objetivos de punto de recuperación de pérdida de datos cero (RPO), con una flexibilidad de distancia completa. Implementación muy eficiente y flexible Ofrece modos de replicación periódicos sincrónicos o asincrónicos, uno a uno, de 1 a N o configuración de copia remota a larga distancia sincrónica, y puede tener licencia solo para parte de la capacidad instalada para recuperación ante desastres de múltiples clientes flexible y eficiente.

El servidor virtual, la aplicación y la integración de la solución en nube simplifican la recuperación de desastres Ofrece puntos de recuperación coherente de las aplicaciones para una recuperación rápida a través de la integración con HP 3PAR Recovery Manager para VMware vSphere, Microsoft Hyper-V, Microsoft Exchange y Microsoft SQL y Oracle. Inventario de activos informáticos junto a las amenazas a las que son expuestos Se han podido identificar para el caso de estudio 2Alcaldia de San Antonio” el siguiente inventariado de activos informáticos asociados a las amenazas a los que son expuestos. Activo informático Bases de datos internas.

Amenaza Son las bases de datos las cuales hacen parte de cada una de las secretarias de la alcaldía de San Antonio. Las amenazas a las cuales se encuentran expuestos son:

Página web interna 10 Intranet.



Inyección de código malicioso SQL.



Ingreso y acceso de intrusos y usuarios no autorizados por el sistema ni por la base de datos.



Presencia de virus informático y gusanos.



Software oculto para realizar labores de espionaje, sabotaje, robo cibernético y vandalismo. Esta es la llamada herramienta intranet la cual facilita la comunicación interna entre los funcionarios y empleados de la alcaldía de San Antonio y facilita el proceso de comunicación entre secretarias; se ve expuesta a las siguientes amenazas.





Virus informático.

Sitio web externo de la alcaldía de San Antonio.

Chai interno.



Presencia usuarios.

y

suplantación

de



Acceso de personas no autorizas por el sistema, la red LAN o externos a la alcaldía.



Sabotaje, robo de información.

 Labores de espionaje. A las amenazas a la cuales se ve enfrentado son: 

Inyección de código SQL maliciosos para modificar, eliminar y robar información de bases de datos las cuales corran bajo el sitio web de la alcaldía.



Suplantación de usuarios y secretarios así como del alcalde mayor de la alcaldía de San Antonio para el acceso a datos importantes y el poder conseguir reportes, boletines, certificaciones de pago de impuestos correspondientes a la secretaria de Hacienda.

 Virus informático. Está expuesto a las siguientes amenazas. 

Suplantación de la identidad, acceso de usuarios internos de la alcaldía de San Antonio.



Virus informático.



Robo de datos importante.



Modificación de datos y sabotaje.



Usuarios no autorizados por el sistema los cuales puedan eliminar datos, registros y reportes en las diferentes bases de datos de cada

e

información

Equipos de red cableados.

una de las secretarias. Estos hacen referencias a: ROUTERS TARJETAS DE RED ENRRUTADORES SIWCHES CABLEADO Están expuestos a amenazas como: 

Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo.



Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía.



Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas.



Instalación de software espía por parte de usuarios males intencionados.

Hackung de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de información. Estos hacen referencias a: ROUTERS TARJETAS DE RED ENRRUTADORES SIWCHES CABLEADO 

Equipos de re inalámbricos.

Están expuestos a amenazas como: 

Virus informáticos potentes como son las bombas lógicas y los

troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo. 

Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía.



Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas.



Instalación de software espía por parte de usuarios males intencionados.

Hackung de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de información.  Desactivación y desconfiguiación intencional de esta herramienta por parte de usuarios mal intencionados. Las amenazas a las que se pueden enfrentar son: 

Cortafuegos.

Servidores.



Acceso y manipulación de estos equipos bien sea local, remotamente o físicamente por usuarios no autorizados y mal intencionados quienes puedan acceder a la red LAN.



Presencia de virus informáticos.



Daños en hardware como en discos duros, ventiladores.



Interrupción del energía eléctrica.



Reinicios

suministro

inesperados

de

de los

Computadores.

Impresoras.

Memorias portátiles y dispositivos de almacenamiento externos

equipos servidores. Están expuestos a amenazas tales como: 

Presencia de virus informático.

 

Daños en hardware, software. Daños con los cartuchos y malas calibraciones para la impresión.



Daños en hardware.





Desconfiguracinoes en el software y los controladores que manejan la impresora y hacen el puente de conexión con el hardware de estos dispositivos. Presencia de virus informático.



Software malicioso y espía.

Roles y responsabilidades en la gestión del riesgo Datos Activo informático Bases de datos internas.

Controles para minimizar el riesgo Esto hace referencia a las diferentes bases de datos que hacen parte de todas y de cada una de las secretarias de la alcaldía del municipio de San Antonio; dichas bases de datos son relacionales y fueron desarrolladas por los siguientes motor de base de datos como son: MYSQL SQL SERVER R2 2014 Planes para efectuar copias de seguridad. Políticas y sistemas para

Impacto del daño (1 bajo, 2 medio,3 alto) 1

Implementar seguridad y protección de los datos, los esquemas y estructuras de estas bases de datos. Implementar encriptación y cifrado de datos. Documentar perfiles de usuarios, contraseñas, accesos y privilegios en cada una de las bases de datos. Monitorear y hacer un seguimiento periódico de los servicios, estado en tiempo real, conexiones, concurrencia, tráfico de red, consumo en espacio de disco entre otros aspectos para verificar la operatividad y continuidad en el funcionamiento de estas bases de datos. Bases de datos externas. Políticas y sistemas para implementar seguridad y protección de los datos, los esquemas y estructuras de estas bases de datos. Página web interna Este es un servicio de (Intranet) comunicación interna dentro de la alcaldía el cual es habilitado para cada uno de los funcionarios y empleados de las diferentes secretarias que facilitaran el proceso de trabajo interno y el intercambio de información; es necesario implementar controles para disminuir los daños o riesgos informáticos como son: Configuración de la red LAN

2

2

y de todos sus dispositivos dando protocolos de seguridad los cuales impidan el ingreso de usuarios o personas externas que no laboren dentro de la alcaldía de San Antonio.

Sitio web o página externa.

Instalación y puesta en marcha de herramientas para la supervisión y actividades realizadas dentro de la re LAN y en la internar habilitada para esta alcaldía. Esta es la página web o sitio el cual muestra al mundo la imagen de la alcaldía de San Antonio; dando a los usuarios y comunidad en general servicios de consultas, descarga de certificaciones de salud, pagos de impuestos, comparendos, eventos deportivos, dando a conocer noticias actualizadas y poniendo a disposición foros, chats, debates interactivos, encuestas de opinión entre otros aspectos; para disminuir los riesgos informáticos de daños y amenaza se deben implementar las siguientes recomendaciones: Administrar, gestionar y supervisar el funcionamiento y operatividad del sitio web a través de herramientas suministradas por el

1

proveedor de internet y el hosting contratado por la alcaida como puede ser el C PANEL el cual verifique criterios como:

Chat interno.

Espacio en disco Trafico de red Usuarios, conectados Concurrencias Bases de datos creadas Actividad de las bases de Datos Cuentas de correos electrónico institucionales Creación de dominios Creación y disponibilidad de repositorios digitales Disponibilidad de complementos. Complementos de seguridad Servicios centrados con el proveedor. Este es un medio de comunicación interna entre secretarias y funcionarios el cual deberá ser usado con estándares de buena convivencia, respeto por los demás así como principios de confidencialidad en el intercambio de información, documentos, carpetas, bases de datos y sistemas informáticos internos de esta alcaldía; para disminuir los riesgos y amenazas informáticas de este tipo de activo se debe implementar: Labores periódicas de mantenimientos y monitoreo al comportamiento de este servicio por parte del departamento de sistemas e ingenieros de esta alcaldía. Documentar información de

1

todos y cada uno de usuarios, contraseñas actividades realizadas este chat interno; para establecer los perfiles usuarios.

Implementar políticas y sistemas de seguridad en la protección de los datos, usuarios quienes hacen uso de esta herramienta. Labores periódicas de mantenimientos y monitoreo al comportamiento de este servicio por parte del departamento de sistemas e ingenieros de esta alcaldía.

Chat externo.

Bases de contraseñas.

los y en así de

datos

Documentar información de todos y cada uno de los usuarios, contraseñas y actividades realizadas en este chat interno; para así establecer los perfiles de usuarios. de Estas bases de datos representan fuentes de consultas, cruces de datos externos que se hacen necesarios para cumplir los objetivos misionales de la alcaldía de San Antonio; lo cual representa riesgos informáticos los cuales se pueden disminuir siguiendo o poniendo en práctica recomendaciones tales como: Implementar políticas de seguridad, sistemas de protección de los datos como encriptación y cifrados.

3

2

Elaborar un log o bitácora de actividades registradas por los usuarios quienes acceden internamente en las diferentes secretarias de esta alcaldía a las bases de datos; registrando datos como: Fecha Hora Usuario Clave Base de datos accedida Actividades realizadas Fecha y hora de cierre de sesión y conexión con la base de datos

Correo electrónico

Implementar políticas y planes para las copias de respaldo de estas bases de datos y bitácora de actividades de usuarios. Este servicio será habilitado y se podrán crear cuentas de correo electrónico únicamente usando herramientas de administración del sitio web de la alcaldía de San Antonio proporcionadas por la empresa HOSTING ; estos correos electrónicos serán institucionales y no personales en donde todos y cada uno de los empleados y funcionarios que laboran dentro de esta alcaldía tendrán habilitada una cuenta; para disminuir los riesgos informáticos se deberá implementar lo siguiente:

2

El administrador del sitio web deberá pedir información del nuevo funcionario o persona interna de la alcaldía que solicite una nueva cuenta como es Nombres completos, Apellidos Secretaria donde labora Justificación del por qué necesita una nueva cuenta Fecha de la solicitud. Es el administrador del sitio web el encargado de analizar y validar esta información y crear la respectiva cuenta. Se deberá documentar a todos los usuarios, nombres de los correos electrónico y los usuarios que les dan para así hacer un seguimiento y monitoreo para garantizar la operatividad y continuidad de este servicio.

Sistemas Activo informático Equipos de red cableada.

Controles para minimizar el riesgo Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: ROUTERS SITWCHES ENRRUTAODRES TARJETAS DE RED Para minimizar los riesgos y amenazas informáticas se deberá implementar lo

Impacto del daño (1 bajo, 2 medio,3 alto) 2

siguiente: Documentación de análisis, diseño e implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado, tecnología usada, arquitectura, topología entre otros aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma. Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN.

Equipos de red inalámbrica

Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: ROUTERS SITWCHES ENRRUTAODRES TARJETAS DE RED Para minimizar los riesgos y amenazas informáticas se deberá implementar lo siguiente: Documentación de análisis,

3

diseño e implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado, tecnología usada, arquitectura, topología entre otros aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma. Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN.

Cortafuegos.

Servidores

Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. Se deberán habilitar en todas y cada una de las estaciones de trabajo, nodos de la red LAN así como en los equipos servidores los cuales harán parte de la infraestructura tecnológica d la alcaldía de San Antonio. Estos son equipos de cómputo de gran potencia, importancia y sensibilidad para el funcionamiento del negocio ya que cumplen labores de respaldo de datos, alojamiento de bases

1

2

de datos, procesos de replicación, gestión y manejo del tráfico de red LAN, alojamiento de la bodega de datos de la alcaldía de San Antonio así como el poder atender solicitudes de consultas de múltiples usuarios de diferentes localidades o secretarias. Para poder disminuir al máximo riesgos, amenazas y vulnerabilidades informáticas se deberá implantar lo siguiente: Garantizar el suministro interrumpido 24X7 de energía eléctrica a estos equipos de cómputo. Implementar planes de mantenimientos preventivos y correctivos a estos equipos por parte de personal técnico del departamento de sistemas de la alcaldía de San Antonio documentado el paso a paso y los resultados obtenidos en este proceso. Instalar y poner en marcha herramientas para el monitoreo, supervisión y seguimiento periódico del rendimiento y comportamiento real del sistema operativo de estos equipos que para el caso de la alcaldía de San Antonio será SQL SERVER 2014.

Implementar políticas y planes de contingencias para respaldos y copia de datos importantes de estos equipos en forma externa y remotamente usando dispositivos de almacenamiento externos y servicios de alojamiento en la nueve privada.

Computadores.

Elaborar un inventariado completo de la condiciones de funcionamiento en software y en hardware de estos equipos de cómputo para evaluar planes de escalonamiento y mejoramiento en hardware y software adecuando nuevos, mejores discos duros, mejores herramientas de software así como la aplicación e incremento de memoria RAM. Se deberá tener en cuenta lo siguiente: Implementar labores de mantenimientos periódicos preventivos y correctivos por parte el personal de soporte técnico de la dependencia de sistemas de la alcaldía de San Antonio lo cual genere una documentación la cual se tenga en cuenta para el mejoramiento constante en infraestructura y repotenciar los equipos de cómputo existentes dentro de esta alcaldía. Programar

copias

de

2

seguridad y respaldo de datos periódicos local o remotamente usando herramientas como las Nubes o Cloud. Programas de manejo de En esta alcaldía se proyectos adquieren con regularidad programas para el diseño, ejecución y programación de tareas de diferentes proyectos los cuales deberán ser ejecutados por todas y cada una de las secretarias de este despacho municipal para disminuir riesgos informáticos, vulnerabilidades i sanciones se deberá implementar lo siguiente: Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de software si son de uso comercial. Adquisición y contrato de licencia para el uso y explotación de este tipo de programa informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Fecha. Nombre del producto herramienta tecnológica.

o

Condiciones de uso. Entidad, sitio web o empresa que facilita esta.

1

herramienta Responsabilidades usuario final.

del

Responsabilidades del proveedor del servicio o programa informático. Programas de producción Adquisición de contratos de de datos. licenciamiento para el uso y explotación de este tipo de software si son de uso comercial.

1

Adquisición y contrato de licencia para el uso y explotación de este tipo de programa informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Fecha. Nombre del producto herramienta tecnológica.

o

Condiciones de uso. Entidad, sitio web o empresa que facilita esta herramienta. Responsabilidades usuario final.

Impresoras.

del

Responsabilidades del proveedor del servicio o programa informático. Se deberán realizar labores periódicas de mantenimientos preventivos y correctivos a las impresoras con las cuales cuenta la alcaldía de San

1

Discos duros portables.

Antonio; generado documentación técnica la cual será tenida en cuenta el momento de adquirir nuevas y más modernas impresoras y mejorar las ya existentes. Se deberá realizar un análisis o escaneo en detalle ejecutando programas de antivirus y de seguridad informática con los que cuenta la alcaldía de San Antonio para evitar: Presencia informático.

de

Presencia de informáticos.

1

virus gusanos

Sabotaje. Software malicioso. Software espía.

Personal Responsable Alcalde mayor de Antonio.

Funciones San Es la máxima autoridad del municipio de San Antonio y sus funciones son: Implementar políticas para el mejoramiento de la vida de todos y cada uno de los habientes del municipio Implementar, liderar y coordinar proyectos con la secretaria de gobierno Liderar proyectos y planes de mejoramiento en las

Cumplimiento Si

secretarias de hacienda, salud, medio ambiente, deportes y reacción. Presentar al consejo municipal informes de gestión de su gobierno. Hacer un buen uso de la infraestructura tecnológica de la alcaldía de San Antonio y de los diferentes equipos de cómputo.

Secretario de Hacienda.

Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la Infraestructura tecnológica y de los equipos de cómputo de la secretaria de Hacienda.

Si

Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio.

Secretario de Gobierno.

Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y

Si

de los equipos de cómputo de la secretaria de Gobierno. Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio.

Secretario de Medio Ambiente.

Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Medio Ambiente.

Si

Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio.

Secretario de Salud.

Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Salud. Liderar

e

implementar

Si

proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio.

Secretario de Deportes y Recreación.

Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Recreación y Deportes.

Si

Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio.

Jefe de Sistemas.

Dar a conocer al departamento de sistemas nuevas necesidades, problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Es la persona encargada de: Liderar y gerencia proyectos informáticos. Definir políticas y sistemas de seguridad para la protección de los datos, las bases de datos, los sistemas informáticos y la red LAN.

Si

Supervisar la administración y mantenimiento de las bases de datos de esta alcaldía lo cual garantice su operatividad y continuidad. Coordinar el desarrollo de sistemas de información y nievas herramientas tecnológicas a ser implementadas por esta alcaldía. Supervisar la implementación de planes para copias de seguridad y respaldo de datos que realice el administrador de base de datos Administrador de Base de Administrar, mantener y Datos Alcaldía de San garantizar la operatividad, Antonio. funcionabilidad y continuidad de las bases de datos de esta alcaldía. Informática Soporte Efectuar planes de Técnico. mantenimientos preventivos y correctivos a los computadores, servidores e infraestructura de la red LAN de la alcaldía del municipio de San Antonio.

Si

Si

Periocidad de los eventos a ejecutar Los eventos a ejecutar después de desarrollado, documentado e implementado en la práctica y en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través de la realización de diferentes auditorias informáticas internas ejecutadas por personal interno perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de esta dependencia junto a otros ingenieros de sistemas, el

administrador de base de dato y el responsable especializado en la administración de la red LAN. Actividades de protección sobre los datos A veces es prácticamente imposible poder garantizar un sistema o una protección 100% segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante adoptar este tipo de políticas y medidas de seguridad informática y protección de la información en este caso de la alcaldía de San Antonio para así disminuir al máximo estos riesgos; pero en casos o escenarios posibles donde un intruso o usuario no autorizado por los sistemas y bases de datos relacionales de la alcaldía de San Antonio tiene acceso a datos importantes y a la red LAN se puede considera la opción de poner otra barrera más de seguridad en mi opinión se puede implementar procesos de encriptación y cifrado de datos y registros en el caso de las bases de datos de cada una de las secretarias de la alcaldía de San Antonio, así a pesar de que un usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga acceso a información sensible y delicada de muy poco le serviría ya que esta información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin, uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados son prácticamente incomprensibles.

BIBLIOGRÁFICAS. https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform %C3%A1tico#Proceso_de_an.C3.A1lisis_de_riesgos_inform.C3.A1ticos

https://protejete.wordpress.com/gdr_principal/analisis_riesgo/ https://www.welivesecurity.com/la-es/2012/08/16/en-que-consisteanalisis-riesgos/ https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica