PLAN DE GESTIÓN O TRATAMIENTO DEL RIESGO DE LA ALCALDÍA DE SAN

ANTONIO

SUZETTE ANN BOWIE BRITTON

FICHA: 1966126

SERVICIO NACIONAL DE APRENDIZAJE-SENA

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

ABRIL DE 2020
 1. INTRODUCCIÓN

La gestión de riesgos es el proceso de identificar, analizar y responder a factores de riesgo a

lo largo de la vida de un proyecto y en beneficio de sus objetivos y usado de forma
adecuada implica el control de posibles eventos futuros; además, es proactiva, en lugar de
reactiva.

Para realizar un plan de gestión de riesgos en proyectos es necesario planificar la gestión de

riesgos, es decir, identificarlos realizando un análisis cualitativo y cuantitativo, planificar una
respuesta y establecer un seguimiento.

Este documento presenta el plan de gestión del riesgo a implementar en la ALCALDÍA DE

SAN ANTONIO - SENA, usando la identificación de las posibles acciones para contrarrestar
los riesgos y su impacto sobre los niveles de servicio que se definieron sobre las bases de
datos de la alcaldía y procesos asociados; y siguiendo la plantilla para definición del plan de
gestión o tratamiento del riesgo.
 2. OBJETIVOS

2. 1 OBJETIVO GENERAL

Con el desarrollo de este plan de gestión del riesgo aplicable a nuestro caso de estudio
Alcaldía de San Antonio” se pretende identificar los riesgos que tienen probabilidad de
impactar positiva o negativamente en el proyecto, así como planificar las respuestas a los
riesgos identificados con mayor probabilidad de ocurrencia, durante el ciclo de vida del
Proyecto. Incluyendo los procesos relacionados con la planificación de los riesgos, su
identificación y análisis, el planteamiento de respuestas a dichos riesgos y el seguimiento y
control de la gestión de los riesgos del proyecto en la búsqueda de incrementar la
probabilidad de ocurrencia de aquellos positivos y disminuir o eliminar la ocurrencia de
aquellos negativos.

2.2 OBJETIVOS ESPECÍFICOS

 Clasificar y documentar todos y cada uno de los activos informáticos que posee la
alcaldía de San Antonio en su infraestructura de hardware y de software
 Establecer los roles y responsabilidades en la gestión del riesgo
 Identificar los recueros y presupuestos necesarios para la ejecución del plan Documentar
la periodicidad de los eventos a ejecutar
 Clasificar los riesgos de acuerdo con una escala definida
 Presentar el inventario de activos informáticos junto a las amenazas a las que son
expuestos
 Documentar y consolidar en este documento un plan de recuperación antes desastre
realizado para la alcaldía de San Antonio en otras evidencias de aprendizaje
 3. PLAN DE GESTIÓN O TRATAMIENTO DEL RIESGO

3.1 ALCANCE DEL PLAN DE GESTIÓN DEL RIESGO (PGR)

En esta sección se define el alcance y propósito del plan de gestión del riesgo además de
proporcionar una visión general del contexto de la organización.

ALCANCE

Como parte del proceso para mejorar la infraestructura tecnológica en la alcaldía de San
Antonio del SENA, se hace necesario realizar un Plan de Gestión de Riesgos (PGR); teniendo
en cuenta todos los elementos de riesgos a los cuales está expuesta la infraestructura
tecnológica y la información guardada:

 Personal
 Hardware
 Software
 Elementos de Red
 Datos e información
 Documentación
 Suministro de energía
 Suministro de telecomunicaciones

El alcance de las medidas de protección depende del nivel de riesgo

 Alto riesgo: Medidas deben evitar el impacto y daño.

 Medio riesgo: Medidas solo mitigan la magnitud de daño, pero no evitan el impacto.

PROPÓSITO

Identificar los posibles riesgos a los que están expuestos los niveles de servicio que se
definieron sobre las bases de datos de la alcaldía y establecer un plan de acción a seguir en
caso de que se presenten, adicionalmente es importante socializar dichos riesgos y planes
de acción con los directivos involucrados; para lograr el equilibrio económico entre el
impacto del riesgo en la entidad y el costo de las medidas de protección
CONTEXTO DE LA ORGANIZACIÓN

A continuación, se resume la información de los recursos de tecnología y humanos con los que cuenta la ALCALDÍA DE SAN
ANTONIO DEL SENA, al momento de realizar el plan de gestión del riesgo (PGR):

Dependencia Recursos de Tecnología Recursos Humanos

Secretaría Escasos recursos en memoria y

General procesador
Microsoft ® Windows XP Service Pack
1
10 Microsoft® Office 2003 ®
computadoras Adobe® Reader ® Apoya los procesos para asistir
Antivirus Avast! ® 4.8, al alcalde de San Antonio del
Conectividad a internet limitada SENA en la planeación,
Acceso a recursos compartidos a organización, control ejecución
través de una intranet IP versión 4.0. 12 personas de los programas de su
administración. Vela por el
02 impresoras Matriz de punto cumplimiento de las normas
legales que regulan el
300 documentos en promedio para funcionamiento de la alcaldía
revisiones diarias y 100 procesos
documentales emitidos por esta
Sistema de secretaría a través de carpetas
información compartidas que permiten el acceso a
cualquier usuario sin la
administración de contraseñas y un
dominio en la red

Windows Vista Small Business Evaluar todos los programas y

Secretaría de Edition® campañas de la administración
Gobierno Microsoft Office 2007® municipal tendientes a
 10 Adobe® Reader ® garantizar los derechos civiles,
computadoras Antivirus Avast! ® 4.8, 30 personas sociales, vida, honra y bienes
Conectividad a internet limitada de los habitantes del Municipio
Acceso a recursos compartidos a Coordinar la política a seguir
través de una intranet IP versión 4.0. referente al control de precios,
pesos y medidas; rifas, juegos
y espectáculos;
Windows® XP Service Pack 1 establecimientos públicos, aseo
Microsoft Office 2007® y ornato; ventas ambulantes y
Adobe® Reader ® estacionarias, velando por el
12 Antivirus Avast! ® 4.8, cumplimiento de las
computadoras Conectividad a internet limitada disposiciones legales vigentes
Acceso a recursos compartidos a y aplicando las respectivas
través de una intranet IP versión 4.0. sanciones cuando se violen
dichas normas.
Windows Server 2003® l Además, deberá vigilar y
01 Servidor de Microsoft SqlServer 2005 Enterprise atender la reclusión de
Red Edition®. personas que se hallen a cargo
(Constantemente los funcionarios de de las autoridades de Policía
esta secretaria acceden a bases de Municipal; recibir y dar trámite
datos de consulta de los comerciantes a las querellas ordinarias o
de “San Antonio del SENA” que sumarias de statu quo;
tienen sus actividades de negocio instruir, tramitar y fallar las
debidamente registradas y querellas por contravenciones
formalizadas e infracciones a los códigos de
en cámara y comercio) tránsito; ejecutar el control
sobre avisos, vallas, pasacalles
Alrededor de 4000 registros diarios y carteles y sancionar a
son consultados y descargados a quienes violen las
archivos de Microsoft Excel® que disposiciones.
Sistema de posteriormente son validados y
información consolidados en reportes de
seguimiento semanal.

Windows Vista Small Business Recauda, registra y procesa la

Secretaría de Edition® información económica de la
Hacienda Microsoft Office 2007® administración municipal. Fija
Adobe® Reader ® las políticas para el cobro de
 20 Antivirus Avast! ® 4.8, aportes, participaciones y
computadoras Conectividad a internet limitada en 20 personas servicios de la nación,
horas pico departamento, instituciones
Acceso a recursos compartidos a oficiales y semioficiales. Expide
través de una intranet IP versión 4.0. certificados de Paz y Salvo por
pago de impuesto
Base de datos de consulta en
Oracle® 9i®

Microsoft® Windows
Secretaría de 14 XP Service Pack 1 con 1GB de RAM
Planeación y computadoras integradas en una red LAN
Obras
Públicas Microsoft® Windows Seven®
1GB de RAM
06 integradas en una red LAN Trabaja con proyectos para el
computadoras desarrollo social, direcciona los
Microsoft® Windows Server 2003® proyectos en materia de obras
con 10 licencias para acceso 20 personas públicas, estratificación y
Sistema de Información Geográfico actualización catastral. Trabaja
01 servidor (SIG) con acceso a la información via en planes de prevención y
Internet atención de desastres

En promedio se atienden 100

Sistema de solicitudes diarias de certificaciones y
información 400 consultas vía internet
Secretaría de 10 Windows® XP
Educación computadoras 512 MB de RAM

03 Touchscreen
computadoras Representa y trabaja por la
calidad y cobertura educativa.
Red Hat Enterprise Linux 10 personas Orienta la elaboración y
PostgresSQL ejecución de proyectos
Sistema de Información para los educativos
01 servidor procesos de: matrículas escolares,
VNC® traslados escolares y gestión de
 (Virtual alianzas con la educación superior
Network Sistema de Información Documental
Connection)
Secretaría de 15 equipos de Microsoft® office 2003®
Salud cómputo entre Adobe® Reader®
computadores Antivirus Avast! ® 4.8
de escritorio y Acceso a internet mediante un canal
equipos 512 K
portátiles Conectividad a internet limitada

01 impresora Laser Vigila la salud pública, gestiona

la prestación de servicios de
salud y promoción de planes,
La actualización de este sistema se 15 personas programas, estrategias y
realiza con registros provenientes de proyectos en salud para el
Sistema de documentos y planillas en Microsoft® desarrollo del sector y del
información Excel® que llegan desde los sistema general de seguridad
diferentes establecimientos de salud social
que se encuentran tanto en el área
urbana como rural; el número de
registros diarios es en promedio 100.

Secretaría de Windows® XP Ejecuta programas destinados

Deportes, 512 de memoria RAM al aprovechamiento del tiempo
Recreación y Microsoft® Office XP libre por medio de prácticas
Cultura 08 Adobe® Reader® deportivas, actividades
computadoras Antivirus Avast! ® 4.8 recreativas y eventos
Integradas en una red local culturales en espacios
Conectividad a internet limitada 10 personas adecuados. Es importante la
promoción, elaboración y
Laser ejecución de programas
01 impresora orientados a conservar los
valores de la cultura local, así
como la formación y el apoyo
integral a los deportistas
Secretaría de Windows® XP Service Pack 1 Gestiona las políticas para la
Gestión 07 Microsoft® Office 2003® conservación del medio
Ambiental y computadoras Interconectados en una red LAN ambiente y la protección de los
Minera Acceso a internet limitado recursos naturales. Ejerce
7 personas control y vigilancia sobre el
Proyección: Implementación de un cumplimiento de las normas.
Sistema de Información para la Acompaña y asesora a la
Gestión Ambiental. pequeña y mediana minería,
Actualmente: se reciben alrededor de en los procesos de
50 solicitudes diarias de expedición tecnificación. Expide permisos
de certificaciones y estas se realizan de movilización forestal.
manualmente.

Oficina 12 Windows® XP®, Vela por el control de la

Asesora de computadoras 512 M en memoria RAM calidad, propende por
Control determinar estrategias y
Interno realizar procedimientos para la
01 impresora Laser verificación y evaluación.
Genera informes que permiten
Windows Server 2003 con un 12 personas identificar y controlar las
Directorio Activo con aplicaciones debilidades, vulnerabilidades,
01 servidor para dar soporte a los estándares de riesgos, amenazas y fallas en
ISO 9000 e ISO 27000 los procesos misionales
Carpeta compartida con documentos
normalizados y estandarizados para
los diferentes procesos de la alcaldía
3.2 ROLES Y RESPONSABILIDADES

En esta sección se definen el número de miembros del equipo de gestión de riesgos junto con el
rol que desempeñarán y responsabilidades que tendrán asignadas.

En el momento de poner en marcha los procedimientos de recuperación, es importante tener

definido los roles y las responsabilidades que asume cada miembro del equipo:

3.2.1 ESTRUCTURA DEL EQUIPO DE RECUPERACIÓN

Las principales funciones de este equipo serán restablecer los servicios de cómputo mediante la
restauración de la infraestructura, software operativo, los sistemas, las telecomunicaciones y los
datos. Proveerá un enlace entre los esfuerzos de recuperación de la Dirección de Informática y
Tecnología y las áreas de negocio. El personal de la Dirección de Informática y Tecnología
también apoyará con el reporte de evaluación de daños en la infraestructura de tecnología.

3.2.2 EQUIPO DE RECUPERACIÓN

La conformación de equipo de recuperación de desastres tiene como objetivo establecer las

distintas responsabilidades para conseguir recuperación exitosa ante una emergencia, teniendo
en cuenta el plan establecido.

ROLES

El equipo de recuperación tiene las siguientes responsabilidades:

• Definir controles preventivos necesarios y viables, con el fin de disminuir la probabilidad

de ocurrencia.
• Establecer, probar, ajustar y actualizar el DRP.
• Recuperar los servicios en el menor tiempo posible y dentro de los tiempos establecidos.
• Realizar un informe acerca de las causas del desastre y en caso de ser necesario modificar
los controles y el DRP si así se requiere.

Teniendo en cuenta las responsabilidades, se conformaron los siguientes equipos de trabajo y se

establecieron sus funciones:
 a. Dirección Estratégica y Coordinación: Coordinador General del Plan
• Dirigir y coordinar las actividades de los demás equipos que conforman la brigada
de DRP.
• Manifestar la situación de emergencia, contingencia y restablecimiento.

• Determinar el nivel de desastre producido por una contingencia: total o mayor,

parcial, menor.
• Realizar y probar los planes de recuperación.
• Controlar la ejecución del plan de gestión o tratamiento del riesgo y realizar los
respectivos ajustes teniendo en cuenta los problemas y errores detectados durante
la ejecución de este

b. Recuperación de hardware: Líder de infraestructura - Proveedores Principales y

alternos

• Identificar el hardware que ha sido afectado por el plan de contingencia.

• Coordinar con los proveedores de hardware el cumplimiento de los contratos de
mantenimiento, garantías y niveles de soporte.
• Participar en las instalaciones de sistemas operativos que realizan los proveedores
Comprobar el funcionamiento del hardware que han sido restaurados o
remplazados por proveedores.
• Identificar los elementos de comunicaciones y centros de cómputo que han sido
afectados por el plan de contingencia.
• Suministrar los backups necesarios para la restauración de la información.
• Suministrar el software necesario para la restauración

c. Recuperación de software: Líder de aplicaciones y Base de datos

• Identificar servicios, procesos, bases de datos y aplicaciones que han sido

afectados por el plan de contingencia.
• Instalar, configurar y adecuar el software que ha sido afectado por la contingencia.

d. Equipo de comunicación a usuarios: Coordinador de operaciones

• Comunicar oficialmente a los usuarios, el plan de contingencia que será llevado a

cabo, el tiempo del restablecimiento de las condiciones normales.
• Realizar comunicados a los usuarios internos.

3.3 PRESUPUESTO

En esta sección se hace la estimación de los costos y recursos necesarios para ejecutar el plan de
gestión de riesgo con el fin de incluirlos dentro del presupuesto del SGSI.
El presupuesto para el plan de gestión o tratamiento del riesgo son los siguientes:

TIPO DE GASTO $

Costo del personal 6.662.012

Costo para funciones específicas 2.500.000
Oficina y otros gastos de apoyo 2.142.200
Costo Total 11.304.212

Costos directos del plan 22.609.800

Otros costos 798.000
Costo Total directo del plan 23.407.800

TOTAL DEL PRESUPUESTO 34.712.013

3.4 PERIODICIDAD

En esta sección se establece cuando y con qué frecuencia se realizará la revisión y actualización
de los procesos y procedimientos relacionados con la gestión del riesgo.

Los eventos a ejecutar después de desarrollado, documentado e implementado en la práctica

y en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través de la
realización de diferentes auditorias informáticas internas ejecutadas por personal interno
perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución
bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta
a las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas
vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una
probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de
esta dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el
responsable especializado en la administración de la red LAN.
3.5 CATEGORÍAS DEL RIESGO

3.5.1 CLASIFICACIÓN E IDENTIFICACÓN DEL RIESGO

En esta sección se muestra la estructura o escala detallada que se utilizara para realizar la
clasificación del riesgo.

El objetivo de la clasificación de riesgo es determinar hasta qué grado es factible combatir los
riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad económica
de una institución, sino también del entorno donde nos ubicamos. Los riesgos que no queremos o
podemos combatir se llaman riesgos restantes y no hay otra solución que aceptarlos.

Se usa la Matriz, que es la base en el método de Análisis de Riesgo con un grafo de riesgo,
usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño.

La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones

respectivamente:

 1 = Ninguna
 2 = Baja
 3 = Media
 4 = Alta

El Riesgo, que es el producto de la multiplicación Probabilidad de

Amenaza por Magnitud de Daño, lo cual crea las siguientes
categorías (o clasificación) del riesgo:

 Bajo Riesgo = 1 – 6 (verde)

 Medio Riesgo = 8 – 9 (amarillo)
 Alto Riesgo = 12 – 16 (rojo)

Estos riesgos se pueden dar en:

 La Información propiamente tal, en sus múltiples formatos (papel o digital, texto, imagen,
audio, video, etc.).
 Los Equipos/Sistemas que la soportan.
 Las Personas que la utilizan.

El propósito de la identificación del riesgo es determinar que podría suceder que cause una
perdida potencial, y llegar a comprender el cómo, donde, y por qué podría ocurrir está perdida,
las siguientes etapas deberían recolectar datos de entrada para esta actividad.
3.5.2 IDENTIFICACION DE LAS AMENAZAS

Una amenaza tiene el potencial de causar daños a activos tales como información, procesos y
sistemas y, por lo tanto, a la entidad. Las amenazas pueden ser de origen natural o humano y
podrían ser accidentales o deliberadas es recomendable identificar todos los orígenes de las
amenazas accidentales como deliberadas. Las amenazas se deberían identificar genéricamente y
por tipo (ej. Acciones no autorizadas, daño físico, fallas técnicas)

Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar diferentes
impactos dependiendo de los activos que se vean afectados.

A continuación, se describen las amenazas:

TIPO A ORIGEN
M
E
N
A
Z
A
Fuego A, D, E
Agua A, D, E
Contaminación A, D, E
Daño físico
Accidente Importante A, D, E
Destrucción del equipo o A, D, E
medios
Polvo, corrosión, A, D, E
congelamiento
Fenómenos climáticos E
Fenómenos sísmicos E
Eventos Fenómenos meteorológicos E
naturales Inundación E

Fallas en el sistema de E
Perdida de suministro de agua o aire
los acondicionado
servicios
Perdida de suministro de E
esenciales
energía
Falla en equipo de
telecomunicaciones
Perturbació Radiación electromagnética
n debida a Radiación térmica
la radiación Impulsos electromagnéticos
 Interceptación de señales de
interferencia comprometida
Espionaje remoto
Escucha encubierta
Hurto de medios o documentos
Compromiso Hurto de equipo
Recuperación de medios
reciclados o desechados
información
Divulgación
Datos provenientes de
fuentes no
confiables
Manipulación con hardware
Manipulación con software
Detección de la posición
Fallas del equipo
Mal funcionamiento del equipo
Saturación del sistema de
Fallas técnicas
información
Mal funcionamiento del
software
Incumplimiento en el
mantenimiento del sistema de
información.
D= Deliberadas, A= Accidentales, E= Ambientales

Es recomendable tener particular atención a las fuentes de amenazas humanas. Estas se

desglosan específicamente en la siguiente tabla:

FUENTE DE AMENAZA MOTIVACION ACCIONES AMENAZANTES

Pirata informático, Reto Ego  Piratería

intruso ilegal Rebelión  Ingeniería Social
Criminal de la Estatus  Intrusión, accesos forzados al
computación Dinero sistema
 Acceso no autorizado
 Destrucción de la  Crimen por computador
información  Acto fraudulento
Divulgación ilegal de  Soborno de la información
la información  Suplantación de identidad
Ganancia monetaria
 Intrusión en el sistema
Alteración no
autorizada de los
datos

Terrorismo Chantaje  Bomba/Terrorismo

Destrucción  Guerra de la información
Explotación  Ataques contra el sistema
Venganza  Penetración en el sistema
Ganancia política  Manipulación en el sistema
Cubrimiento de los
medios de
comunicación

Espionaje Industrial Ventaja competitiva  Ventaja de defensa

(inteligencia, Espionaje económico  Ventaja política
empresas, gobiernos
 Explotación económica
extranjeros, otros
intereses)  Hurto de información
 Intrusión en privacidad personal
 Ingeniería social
 Penetración en el sistema
 Acceso no autorizado al sistema
Intrusos (Empleados Curiosidad  Asalto a un empleado
con Ego  Chantaje
entrenamiento Inteligencia
 Observar información
deficiente, Ganancia monetaria
descontentos, Venganza  reservada
malintencionados, Errores y omisiones  Uso inadecuado del
negligentes, no intencionales (ej.  computador
deshonestos Error en el ingreso  Fraude y hurto
o despedidos) de datos, error de
 Soborno de información
programación)
 Ingreso de datos falsos o
corruptos
 Interceptación
 Código malicioso
 Venta de información personal
 Errores en el sistema
 Intrusión al sistema
 Sabotaje del sistema
 Acceso no autorizado al
sistema.
3.5.3 IDENTIFICACIÓN DE LAS VULNERABILIDADES

A continuación, se enunciarán vulnerabilidades conocidas y métodos para la valoración de esta:

TIPO DE ACTIVO VULNERABILIDADES AMENAZAS

Mantenimiento Incumplimiento en el
HARDWARE insuficiente/Instalación fallida mantenimiento del sistema de
de los medios de información.
almacenamiento
Ausencia de esquemas de Destrucción de equipos o medios.
reemplazo periódico
Susceptibilidad a la Polvo, corrosión y congelamiento
humedad, el polvo y la
suciedad
Sensibilidad a la Radiación electromagnética
radiación
electromagnética
Ausencia de un eficiente control Error en el uso
de cambios en la configuración

Susceptibilidad a las Pérdida del suministro de

variaciones de voltaje energía
Susceptibilidad a las Fenómenos meteorológicos
variaciones de temperatura

Almacenamiento sin Hurtos medios o

protección documentos.
Falta de cuidado en la Hurtos medios o documentos.
disposición final
Copia no controlada Hurtos medios o documentos.
SOFTWARE Ausencia o insuficiencia Abuso de los derechos
de pruebas de software
Defectos bien conocidos Abuso de los derechos
en el software
Ausencia de “terminación de Abuso de los derechos
sesión” cuando se abandona la
estación de
trabajo
Disposición o reutilización de Abuso de los derechos
los medios de
almacenamiento sin borrado
adecuado

Ausencias de pistas de Abuso de los derechos

auditoria
Asignación errada de los Abuso de los derechos
derechos de acceso
Software ampliamente Corrupción de datos
distribuido
En términos de tiempo Corrupción de datos
utilización de datos errados
en los programas de
aplicación
Interfaz de usuario compleja Error en el uso

Ausencia de Error en el uso

documentación
Configuración incorrecta Error en el uso
de parámetros
Fechas incorrectas Error en el uso
Ausencia de mecanismos de Falsificación de derechos
identificación y
autentificación, como la
autentificación de usuario

Tablas de contraseñas Falsificación de derechos

sin protección
Gestión deficiente de las Falsificación de derechos
contraseñas
Habilitación de servicios Procesamiento ilegal de
innecesarios datos
Software nuevo o Mal funcionamiento del
inmaduro software
Especificaciones incompletas Mal funcionamiento del
o no claras para los software
 desarrolladores
Ausencia de control de Mal funcionamiento del
cambios eficaz software
Descarga y uso no Manipulación con
controlado de software software
Ausencia de copias de Manipulación con
respaldo software
Ausencia de protección física Hurto de medios o documentos
de la edificación, puertas y
ventanas
Fallas en la producción Uso no autorizado del
de informes de gestión equipo
RED Ausencia de pruebas de envío o Negación de acciones
recepción de mensajes

Líneas de comunicación Escucha encubierta

sin protección
Tráfico sensible sin Escucha encubierta
protección
Conexión deficiente de los Fallas del equipo de
cables telecomunicaciones
Punto único de fallas Fallas del equipo de
telecomunicaciones
Ausencia de identificación y Falsificación de derechos
autentificación de emisor y
receptor

Arquitectura insegura de la red Espionaje remoto

Transferencia de Espionaje remoto

contraseñas en claro
Gestión inadecuada de la red Saturación del sistema de
(tolerancia a fallas en el información
enrutamiento)
Conexiones de red pública Uso no autorizado del
sin protección equipo
PERSONAL Ausencia del personal Incumplimiento en la
disponibilidad del personal

Procedimientos Destrucción de equipos y

inadecuados de medios
contratación
Entrenamiento Error en el uso
insuficiente en seguridad
 Uso incorrecto de Error en el uso
software y hardware
Falta de conciencia Error en el uso
acerca de la seguridad
Ausencia de Procesamiento ilegal de los
mecanismos de datos
monitoreo
Trabajo no supervisado del Hurto de medios o
personal externo o de documentos.
limpieza
 Ausencia de políticas para el Uso no autorizado del equipo
uso correcto de los medios de
telecomunicaciones y
mensajería

LUGAR Uso inadecuado o descuidado

del control de acceso físico a
las edificaciones y los
recintos

Ubicación en área
susceptible de inundación

Red energética inestable

Ausencia de protección
física de la edificación
(Puertas y ventanas)
ORGANIZACIÓN Ausencia de procedimiento
formal Abuso de los derechos
para el registro y retiro de
usuarios
Ausencia de proceso
formal para la revisión de los Abuso de los derechos
derechos de acceso
Ausencia de disposición en los
contratos con clientes o terceras
partes (con respecto a la Abuso de los derechos
seguridad)

Ausencia de
procedimientos de
monitoreo de los recursos Abuso de los derechos
de
procesamiento de la información

Ausencia de auditorias Abuso de los derechos

Ausencia de procedimientos
de identificación y Abuso de los derechos
valoración de riesgos

Ausencia de reportes de
Abuso de los derechos
fallas en los registros de
 administradores y
operadores
Respuesta inadecuada de Incumplimiento en el
mantenimiento del mantenimiento del
servicio sistema de información
Ausencia de acuerdos de nivel de
Incumplimiento en el
servicio o insuficiencia de los mantenimiento del sistema de
mismos información

Ausencia de Incumplimiento en el
procedimientos de mantenimiento del
control de cambios sistema de información
Ausencia de procedimiento
formal para la documentación Corrupción de datos
del MSPI

Ausencia de procedimiento
formal para la supervisión del Corrupción de datos
registro del MSPI

Ausencia de procedimiento
formal para la autorización de la Datos provenientes de fuentes
información disponible al no confiables
público

Ausencia de asignación
adecuada de responsabilidades
en seguridad de la información Negación de acciones

Ausencia de planes de
Falla del equipo
continuidad
Ausencia de políticas sobre el
uso de correo electrónico Error en el uso

Ausencia de procedimientos
para introducción del software
en los sistemas operativos Error en el uso

Ausencia de registros en
Error en el uso
bitácoras
 Ausencia de procedimientos
para el manejo de Error en el uso
información clasificada

Ausencia de
responsabilidad en
seguridad de la Error en el uso
información en la
descripción de los cargos

Ausencia de los procesos

disciplinarios definidos en caso
de incidentes de seguridad Hurto de equipo
de la información

Ausencia de política formal

sobre la utilización de Hurto de equipo
computadores portátiles

Ausencia de control de los

activos que se encuentran Hurto de equipo
fuera de las
instalaciones
Ausencia de política sobre
Hurto de medios o
limpieza de
documentos
escritorio y pantalla
Ausencia de autorización de los
recursos de procesamiento de Hurto de medios o
información documentos

Ausencia de mecanismos de
monitoreo establecidos para Hurto de medios o
las brechas en seguridad documentos

Ausencia de revisiones regulares

Uso no autorizado de equipo
por parte de la
gerencia
Ausencia de procedimientos
para la presentación de Uso no autorizado de equipo
informes sobre las debilidades
en la seguridad
 Ausencia de procedimientos del
cumplimiento de las Uso de software falsificado o
disposiciones con los derechos copiado
intelectuales.

3.6 INVENTARIO DE ACTIVOS EXPUESTOS

En esta sección se expone la relación de los activos especificando las amenazas a las que
se encuentran expuestos.

Se han podido identificar para el caso de estudio “Alcaldía de San Antonio” el siguiente
inventario de activos asociados a las amenazas a los que son expuestos:
INVENTARIO SOBRE LOS ACTIVOS EXPUESTOS

ACTIVO AMENAZA

Bases de datos internas Son las bases de datos las cuales hacen parte de cada una de las secretarias de la alcaldía de San Antonio. Las
amenazas a las cuales se encuentran expuestos son:
 Inyección de código maliciosos SQL
 Ingreso y acceso de intrusos y usuarios no autorizados por el sistema ni por la base de datos
 Presencia de virus informático y gusanos
 Software oculto para realizar labores de espionaje, sabotaje, robo cibernético y vandalismo

Página web interna Esta es la llamada herramienta intranet la cual facilita la comunicación interna entre los funcionarios y empleados
(Intranet) de la alcaldía de San Antonio y facilita el proceso de comunicación entre secretarias; se ve expuesta a las
siguientes amenazas:
 Virus informático
 Presencia y suplantación de usuarios
 Acceso de personas no autorizas por el sistema, la red LAN o externos a la alcaldía
 Sabotaje, robo de información Labores de espionaje
Sitio web externo de la A las amenazas a la cuales se ve enfrentado son:
alcaldía de San Antonio  Inyección de código SQL maliciosos para modificar, eliminar y robar información de bases de datos las cuales
corran bajo el sitio web de la alcaldía
 Suplantación de usuarios y secretarios, así como del alcalde mayor de la alcaldía de San Antonio para el acceso
a datos importantes y el poder conseguir reportes, boletines, certificaciones de pago de impuestos
correspondientes a la secretaria de Hacienda
 Virus informático
Chat interno Está expuesto a las siguientes amenazas:
 Suplantación de la identidad, acceso de usuarios internos de la alcaldía de San Antonio
 Virus informático
 Robo de datos e información importante Modificación de datos y sabotaje
 Usuarios no autorizados por el sistema los cuales puedan eliminar datos, registros y reportes en las diferentes
bases de datos de cada una de las secretarias
Equipos de red cableados Estos hacen referencias a routers, tarjetas de red, switches y cableado que están expuestos a amenazas como:
e inalámbricos  Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una
infraestructura tecnológica por completo
 Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la
alcaldía
 Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos, así como el
robo de bases de datos completas
 Instalación de software espía por parte de usuarios mal intencionados
 Hacking de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de
información.
 Desactivación y desconfiguración intencional de estas por parte de usuarios mal intencionados
Servidores/Computadores Las amenazas a las que se pueden enfrentar son:
de mesa y portátiles  Acceso y manipulación de estos equipos bien sea local, remotamente o físicamente por usuarios no autorizados
y mal intencionados quienes puedan acceder a la red LAN
 Presencia de virus informáticos
 Reinicios inesperados de los equipos
 Daños en hardware como en discos duros, ventiladores
 Interrupción del suministro de energía eléctrica Reinicios inesperados de los equipos servidores
Impresoras Las amenazas a las que se pueden enfrentar son:
 Daños con los cartuchos y malas calibraciones para la impresión
 Daños en hardware
 Desconfiguraciones en el software y los controladores que manejan la impresora y hacen el puente de conexión
con el hardware de estos dispositivos

Memorias portátiles y Las amenazas a las que se pueden enfrentar son:

dispositivos de  Presencia de virus informático
almacenamiento externos  Software maliciosos y espía
CONTROLES PARA MINIMIZAR LOS RIESGOS

DATOS

ACTIVO CONTROLES PARA MINIMIZAR EL RIESGO IMPACTO DE DAÑO

Bases de datos internas Esto hace referencia a las diferentes bases de datos que hacen parte de todas y de cada Bajo
una de las secretarias de la alcaldía del municipio detonio; dichas bases de datos
son relacionales y fueron desarrolladas por el motor de base de datos MYSQL SQL
SERVER R2 2008
Planes para efectuar copias de seguridad:
 Políticas y sistemas para implementar seguridad y protección de los datos, Los
esquemas y estructuras de estas bases de datos
 Documentar perfiles de usuarios, contraseñas, accesos y privilegios en cada una de las
bases de datos
 Monitorear y hacer un seguimiento periódico de los servicios, estado en tiempo real,
conexiones, concurrencia, tráfico de red, consumo en espacio de disco entre otros
aspectos para verificar la operatividad y continuidad en el funcionamiento de estas
bases de datos.
 Implementar encriptación y cifrado de datos

Bases de datos externas Políticas y sistemas para implementar seguridad y protección de los datos, los esquemas y Medio
estructuras de estas bases de datos

Página web interna Este es un servicio de comunicación interna dentro de la alcaldía el cual es habilitado para Medio
(Intranet)
cada uno de los funcionarios y empleados de las diferentes secretarias que facilitaran el
proceso de trabajo interno y el intercambio de información; es necesario implementar
controles para disminuir los daños o riesgos informáticos como son:
  Instalación y puesta en marcha de herramientas para la supervisión y actividades
realizadas dentro de la red LAN y en la internar habilitada para esta alcaldía.
 Configuración de la red LAN y de todos sus dispositivos dando protocolos de seguridad
los cuales impidan el ingreso de usuarios o personas externas que no laboren dentro de
la alcaldía de San Antonio del SENA

Sitio web o página Esta es la página web o sitio el cual muestra al mundo la imagen de la alcaldía de San Bajo
externa Antonio; dando a los usuarios y comunidad en general servicios de consultas, pagos de
impuestos, comparendos, eventos deportivos, descarga de certificaciones de salud, dando
a conocer noticias actualizadas y poniendo a disposición foros, chats, debates interactivos,
encuestas de opinión entre otros aspectos; para disminuir los riesgos informáticos de daños
y amenaza se deben implementar las siguientes recomendaciones:
 Administrar, gestionar y supervisar el funcionamiento y operatividad del sitio web a
través de herramientas suministradas por el proveedor de internet y el hosting
contratado por la alcaida como puede ser el C PANEL el cual verifique criterios como:
 Actividad de las bases de datos
 Espacio en disco
 Trafico de red
 Usuarios, conectados
 Servicios centrados con el proveedor
 Concurrencia
 Bases de datos creadas
 Cuentas de correos electrónicos institucionales
 Creación de dominios
 Creación y disponibilidad de repositorios digitales
 Disponibilidad de complementos.
• Complementos de seguridad

Chat interno Este es un medio de comunicación interna entre secretarias y funcionarios el cual deberá Medio
ser usado con estándares de buena convivencia, respeto por los demás así como principios
de confidencialidad en el intercambio de información, bases de datos, documentos,
carpetas y sistemas informáticos internos de esta alcaldía; para disminuir los riesgos y
amenazas informáticas de este tipo de activo se debe implementar:
 Implementar políticas y sistemas de seguridad en la protección de los datos, usuarios
 quienes hacen uso de esta herramienta.
 Labores periódicas de mantenimientos y monitoreo al comportamiento de este
servicio por parte del departamento de sistemas e ingenieros de esta alcaldía
 Documentar información de todos y cada uno de los usuarios, contraseñas
y actividades realizadas en este chat interno; para así establecer los perfiles de
usuarios.

Chat externo  Documentar información de todos y cada uno de los usuarios, contraseñas y Alto
actividades realizadas en este chat interno; para así establecer los perfiles de usuarios.
 Labores periódicas de mantenimientos y monitoreo al comportamiento de este servicio
por parte del departamento de sistemas de la alcaldía

Bases de datos de Estas bases de datos representan fuentes de consultas, cruces de datos externos que se Medio
contraseñas hacen necesarios para cumplir los objetivos misionales de la alcaldía de San Antonio del
SENA; lo cual representa riesgos informáticos los cuales se pueden disminuir siguiendo o
poniendo en práctica recomendaciones tales como:
 Implementar políticas de seguridad, sistemas de protección de los datos como
encriptación y cifrados
 Implementar políticas y planes para las copias de respaldo de estas bases de datos y
bitácora de actividades de usuarios.
 Elaborar un log o bitácora de actividades registradas por los usuarios quienes acceden
internamente en las diferentes secretarias de esta alcaldía a las bases de datos;
registrando datos como:
o Fecha
o Hora
o Usuario
o Clave
o Base de datos accedida
o Fecha y hora de cierre de sesión y conexión con la base de datos.
o Actividades realizadas

Correo electrónico Este servicio será habilitado y se podrán crear cuentas de correo electrónico únicamente Medio
usando herramientas de administración del sitio web de la alcaldía de San Antonio
proporcionadas por la empresa HOSTING; estos correos electrónicos serán institucionales y
no personales en donde todos y cada uno de los empleados y funcionarios que laboran
dentro de esta alcaldía tendrán habilitada una cuenta; para disminuir los riesgos
 informáticos se deberá implementar lo siguiente:
 El administrador del sitio web deberá pedir información del nuevo funcionario o persona
interna de la alcaldía que solicite una nueva cuenta como es
o Nombres completos Apellidos
o Secretaria donde labora
o Justificación del por qué necesita una nueva cuenta
o Fecha de la solicitud
 Es el administrador del sitio web el encargado de analizar y validar esta información y
crear la respectiva cuenta
 Se deberá documentar a todos los usuarios, nombres de los correos electrónico y los
usuarios que les dan para así hacer un seguimiento y monitoreo para garantizar la
operatividad y continuidad de este servicio.

EQUIPOS

ACTIVO CONTROLES PARA MINIMIZAR EL RIESGO IMPACTO DE DAÑO

Equipos de red cableada Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: Medio
e inalámbrica enrutadores, tarjetas de red y switches. Para minimizar los riesgos y amenazas
informáticas se deberá implementar lo siguiente:
 Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento
periódico y en tiempo real del comportamiento de la red LAN y de los servicios
suministrados. Documentación de análisis, diseño e implementación de la red LAN de
esta alcaldía escribiendo aspectos de cableado, tecnología usada, arquitectura,
topología entre otros aspectos
 Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de
conectividad y seguridad en la protección de los datos y de la red LAN misma
 Realizar labores de mantenimientos preventivos y correctivos los cuales permitan
garantizar la operatividad de la red LAN

Cortafuegos Se deberán habilitar en todas y cada una de las estaciones de trabajo, nodos de la red Bajo
LAN así como en los equipos servidores los cuales harán parte de la infraestructura
tecnológica de la alcaldía de San Antonio
Servidores Estos son equipos de cómputo de gran potencia, importancia y sensibilidad para el Medio
funcionamiento del negocio ya que cumplen labores de respaldo de datos, alojamiento de
bases de datos, procesos de replicación, gestión y manejo del tráfico de red LAN,
alojamiento de la bodega de datos de la alcaldía de San Antonio así como el poder
atender solicitudes de consultas de múltiples usuarios de diferentes localidades o
secretarias. Para poder disminuir al máximo riesgos, amenazas y vulnerabilidades
informáticas se deberá implantar lo siguiente:
 Garantizar el suministro interrumpido 7X24 de energía eléctrica a estos equipos de
computo
 Implementar planes de mantenimientos preventivos y correctivos a estos equipos por
parte de personal técnico del departamento de sistemas de la alcaldía de San Antonio
documentado el paso a paso y los resultados obtenidos en este proceso.
 Instalar y poner en marcha herramientas para el monitoreo, supervisión y seguimiento
periódico del rendimiento y comportamiento real del sistema operativo de estos
equipos que para el caso de la alcaldía de San Antonio será WINDOWS SERVER 2012.
 Implementar políticas y planes de contingencias para respaldos y copia de datos
importantes de estos equipos en forma externa y remotamente usando dispositivos de
almacenamiento externos y servicios de alojamiento en los nueve privados
 Elaborar un inventariado completo dela condición de funcionamiento en software y en
hardware de estos equipos de cómputo para evaluar planes de escalonamiento y
 mejoramiento en hardware y software adecuando nuevos, mejores discos duros,
mejores herramientas de software, así como la aplicación e incremento de memoria
RAM.
Computadores Se deberá tener en cuenta lo siguiente: Medio
 Implementar labores de mantenimientos periódicos preventivos y correctivos por parte
el personal de soporte técnico de la dependencia de sistemas de la alcaldía de San
Antonio lo cual genere una documentación la cual se tenga en cuenta para el
mejoramiento constante en infraestructura y repotenciar los equipos de cómputo
existentes dentro de esta alcaldía.
 Programar copias de seguridad y respaldo de datos periódicos local o remotamente
Programas de En esta alcaldía se adquieren con regularidad programas para el diseño, Bajo
manejo de proyectos ejecución y programación de tareas de diferentes proyectos los cuales deberán ser
ejecutados por todas y cada una de las Secretarias de este despacho municipal para
disminuir riesgos informáticos, vulnerabilidades y sanciones se deberá implementar lo
siguiente:
 Responsabilidades del proveedor del servicio o programa informático.
 Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de
software si son de uso comercial
 Adquisición y contrato de licencia para el uso y explotación de este tipo de
programa informáticos a si sea de uso libre o gratuito; este tipo de contrato así
como los de uso comercial deberá tener asociados datos como.
o Fecha
o Nombre del producto o herramienta tecnológica Condiciones de uso
o Entidad, sitio web o empresa que facilita esta
o herramienta
Responsabilidades del usuario final
Programas de  Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de Bajo
producción de datos software si son de uso comercial
 Adquisición y contrato de licencia para el uso y explotación de este tipo de programa
informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso
comercial deberá tener asociados datos como.
o Fecha
o Nombre del producto o herramienta tecnológica Condiciones de uso
o Entidad, sitio web o empresa que facilita esta herramienta
o Responsabilidades del usuario final Responsabilidades del proveedor del servicio
o programa informático.
Impresoras Se deberán realizar labores periódicas de mantenimientos preventivos y correctivos a las Bajo
impresoras con las cuales cuenta la alcaldía de San Antonio; generada documentación
técnica la cual será tenida en cuenta el momento de adquirir nuevas y más modernas
impresoras y mejorar las ya existentes.
Memorias portátiles Se deberá realizar un análisis o escaneo en detalle ejecutando programas de antivirus y Bajo
de seguridad informática con los que cuenta la alcaldía de San Antonio para evitar:
 Software espía Presencia de virus informático Sabotaje
 Software malicioso
 Presencia de gusanos informáticos
3.7 PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP) ALCALDÍA DE SAN
ANTONIO DEL SENA

Es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para
que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural
o causado por humanos. Esto también debería incluir proyectos para enfrentarse a la
pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este
artículo, el propósito es la protección de datos.

3.7.1 RAZONES PARA RECURRIR A UN PLAN DE RECUPERACIÓN DE DESASTRES

(DRP)

Existen diferentes riesgos que pueden impactar negativamente las operaciones normales
de una organización. Una evaluación de riesgo debería ser realizada para ver que
constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:

 Sistema y/o fallos del equipo.

 Virus, amenazas y ataques informáticos.
 Catástrofes.
 Fuego.
 Fallos en el suministro eléctrico.
 Conmoción social o disturbios.
 Ataques terroristas.
 Interrupciones organizadas o deliberadas.
 Error humano.
 Cuestiones legales.
 Huelgas de empleados.

3.7.2 PLAN DE PROTECCIÓN

Se realizan las siguientes acciones como plan de protección:

 Se hace copias de los archivos que son vitales para la alcaldía.

 Al robo común se cierran las puertas de entrada y ventanas.
 Al vandalismo, se cierra la puerta de entrada.
 A la falla de los equipos, se realiza el mantenimiento de forma regular.
 Al daño por virus, todo el software que llega se analiza en un sistema utilizando
software
 Se cuenta con muy buenos antivirus actualizados en todo momento
 A las equivocaciones, los empleados tienen buena formación. Cuando se requiere
personal temporal se intenta conseguir a empleados debidamente preparados. Se
realizan jornadas de capacitación al personal.
 Al acceso no autorizado, se cierra la puerta de entrada. Se cuenta con seguridad
perimetral y con un sistema de cerrado de televisión para revisar los ingresos y
salidas
 Se aseguran los equipos en caso de algún desastre natural como incendio, inundación,
 etc.
 Los servidores que guardan la información están en la nube de tal forma que se
garantiza contar con la información en todo momento y el proveedor se encarga de
los backups de la información (OpenShift de RedHat)
 Hay Cortafuegos muy bien configurados para el tráfico de red
 Hay redundancia de componentes como routers, entre otros, por si falla algún
componente entra a funcionar el componente de respaldo y de esa forma se garantiza
la continuidad de los servicios en la alcaldía
 Se cuentan con ups por si se presentan fallas en el suministro del fluido eléctrico
 Se cuenta con software de monitoreo a varios niveles que permite medir el
desempeño de la infraestructura tecnológica
 Capacitaciones periódicas (bimensual) en diversos temas tecnológicos (seguridad
información, sistemas de información que se usa, manejo de equipos, etc.) y de
procesos con el objetivo de mitigar el riesgo si una persona deja la alcaldía.

3.7.3 ESTRATEGIAS DE RECUPERACIÓN

Se dispone las alternativas más prácticas para proceder en caso de un desastre. Todos los
aspectos de la organización son analizados, incluyendo hardware, software,
comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar
varían según la función del equipo y pueden incluir duplicación de centros de datos,
alquiler de equipos e instalaciones, contratos de almacenamiento y muchas más.
Igualmente, se analiza los costos asociados. Para el caso de la alcaldía la información va a
estar guardada en la nube, hay redundancia de componentes de hardware, hay personal
capacitado constantemente con jornadas de capacitación bimensual y simulacros de
diversos temas.

 Se debe tener en cuenta un inventario de Hardware, impresoras, lectoras, scanner,

módems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de
uso institucional).
 Se debe emplear los siguientes criterios sobre identificación y protección de equipos:
Pólizas de seguros comerciales, como parte de la protección de los activos
institucionales y considerando una restitución por equipos de mayor potencia,
teniendo en cuenta la depreciación tecnológica. Señalización o etiquetamiento de las
computadoras de acuerdo a la importancia de su contenido y valor de sus
componentes, para dar prioridad en caso de evacuación. Por ejemplo, etiquetar de
color rojo los servidores, color amarillo a los PC con información importante o
estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin uso).
Mantenimiento actualizado del inventario de los equipos de cómputo requerido como
mínimo para el funcionamiento permanente de cada sistema en cada secretaria.
 Obtención y almacenamiento de Copias de Seguridad (Backups)
 Se debe contar con procedimientos para la obtención de las copias de seguridad de
todos los elementos de software necesarios para asegurar la correcta ejecución de los
sistemas en la alcaldía. Las copias de seguridad son las siguientes:
o Backup del Sistema Operativo: o de todas las versiones de sistema operativo
instalados en la Red.
o Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo
de los aplicativos institucionales).
o Backup del software aplicativo: backups de los programas fuente y los programas
ejecutables. Backups de los datos (Base de datos, contraseñas y todo archivo
necesario para la correcta ejecución del software aplicativos de la institución).
3.8 MATRIZ DE PROBABILIDAD E IMPACTO

En esta sección se muestra el resultado del análisis de la hoja de cálculo en la que se

realiza una aproximación generalizada de los riesgos asociados con el manejo de la
información en la entidad.

Tomando como referencia la situación actual de los activos de información de la Alcaldía

de San Antonio del SENA, se identificaron los riesgos asociados a estos activos y se
procedió a cuantificar los riesgos de cada uno.

Como resultado de esta actividad se obtuvo el siguiente cuadro con el promedio aritmético
de los diferentes riesgos:

Se observa que los mayores riesgos se presentan en el grupo de activos asociados a la

Infraestructura de TI y al grupo de amenazas relacionadas con la Negligencia de usuarios
y decisiones Institucionales. Las amenazas que mayor impacto presentan son las
siguientes:

Las amenazas que mayor impacto presentan son las siguientes:

- Falta de inducción, capacitación y sensibilización sobre riesgos

- Unidades portables con información sin cifrado

- Transmisión no cifrada de datos críticos

- Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD

centralizada)

- Falta de definición de perfil, privilegios y restricciones del personal

- Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos)

- Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de

datos de control.

Estos resultados se deben a que en la Alcaldía de San Antonio del SENA se presentan
falencias importantes en la implementación de políticas de seguridad de la información y
en los procesos de inducción, capacitación y sensibilización sobre riesgos.
 4. CONCLUSIONES

La información que hace parte de una Entidad Pública es crucial para su correcto
desempeño dentro de la política pública y su relación con el ciudadano, sin importar qué
tipo de información se trate en la Entidad, ésta será parte primordial en el cumplimiento
de sus Objetivos, es por ello que resguardar todo tipo de Información de cualquier
posibilidad de alteración, mal uso, pérdida, entre otros muchos eventos, puede significar
un respaldo para el normal desarrollo de las actividades de una Entidad o de un Estado.

Luego de elegir cuáles controles son los más adecuados para tener un nivel de riesgo
aceptable para el o los procesos incluidos en el alcance, se debe diseñar un plan de
gestión o tratamiento de riesgos incluyendo los de Seguridad de la información, en el cual
se defina qué tratamiento se dará a los riesgos de acuerdo con las opciones entregadas en
la guía, qué acciones se implementarán, quienes serán los responsables de ésta
implementación.

Este plan plantea claramente cada acción, etapa y procedimientos que se ejecutarán para
poder ser monitoreado y lograr el seguimiento a la ejecución del mismo.