AA13 EV1 Plan Gestion Del Riesgo

May 30, 2018 | Author: Danilo Jose Guerrero Vence | Category: Computer Network, Cryptography, Software, Computer Hardware, Backup
Report this link


Description

AA13 EV1 PLAN DE GESTION DEL RIESGOObjetivos y alcances del plan de gestión del riesgo Con el desarrollo de este plan de gestión del riesgo aplicable a nuestro caso de estudio Alcaldía de San Antonio” se pretende cumplir con los siguientes propósitos: Clasificar y documentar todos y cada uno de los activos informáticos que posee la alcaldía de San Antonio en su infraestructura de hardware y de software Establecer los roles y responsabilidades en la gestión del riesgo Identificar los recueros y presupuestos necesarios para la ejecución del plan Documentar la periocidad de los eventos a ejecutar Clasificar los riesgos de acuerdo a una escala definida Presentar el inventario de activos informáticos junto a las amenazas a las que son expuestos Documentar y consolidar en este documento un plan de recuperación antes desastre realizado para la alcaldía de San Antonio en otras evidencias de aprendizaje Desarrollo Una vez citados claramente todos y cada uno de los objetivos propuestos en el desarrollo de este plan de gestión de riesgos informáticos, es en este preciso momento en donde vamos a dar inicio al desarrollo y cumplimiento de cada uno de los puntos y objetivos planteados inicialmente. Plan de recuperación antes desastres alcaldía de San Antonio: es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este artículo, el propósito es la protección de datos. Razones para recurrir a un DRP Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:            Catástrofes. Fuego. Fallos en el suministro eléctrico. Ataques terroristas. Interrupciones organizadas o deliberadas. Sistema y/o fallos del equipo. Error humano. Virus, amenazas y ataques informáticos. Cuestiones legales. Huelgas de empleados. Conmoción social o disturbios. Prevención ante los desastres Se deben implementar las siguientes medidas estudiando los posibles casos d caos y desastres tanto humanos, como informáticos y naturales que pueden afectar el normal trabajo de la alcaldía de San Antonio para nuestro caso de estudio como son: Pag No1 AA13 EV1 PLAN DE GESTION DEL RIESGO          Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda más que los datos de una semana. Incluir el software así como toda la información de datos, para facilitar la recuperación. Si es posible, usar una instalación remota de reserva para reducir al mínimo la pérdida de datos. Redes de Área de Almacenamiento (San) en múltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo electrónico. El suministro de energía ininterrumpido (SAI). La prevención de incendios - más alarmas, extintores accesibles. El software del antivirus. El seguro en el hardware. El plan Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: "Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que hay que tomar en cuenta. Los más importantes son:       El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperación; en el caso de la alcaldía de San Antonio se deberá contar con agendas electrónicas o en cuadernos que contengan todos los datos de contacto de todos y cada uno de los integrantes en este caso del departamento de sistemas para su posterior aviso dicha información deberá tener correo electrónico, no de teléfono celular, teléfono alterno, dirección de residencia; en cuanto a las funciones /o labores que deberán tener estas han debido estar documentadas y comentadas previo a la ocurrencia de un desastre ya que es más fácil que cada uno conozca sus labores, responsabilidades y esto aceleraría más la normalización de todo lo referente a infraestructura de hardware como de software. Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la posición remota de reserva (o Internet). Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico. Instalaciones: teniendo sitios calientes o sitios fríos para empresas más grandes. Instalaciones de recuperación móviles están también disponibles en muchos proveedores. Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar horas más largas y más agotadoras. Debe haber un sistema de apoyo para aliviar un poco de tensión. La información de negocio. Las reservas deben estar almacenadas completamente separadas de la empresa (Cummings, Haag y 2005 McCubbrey). La seguridad y la fiabilidad de los datos es clave en ocasiones como estas Proceso de recuperación Después de la posible ocurrencia de algún tipo de desastre y este afectara a la alcaldía de San Antonio y todos sus servicios, manejo de información, infraestructura de hardware, de software y de red LAN se deberán seguir los siguientes pasos y recomendaciones.        Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc. Llamar el abastecedor de software e instalar de nuevo el software. Recuperar los discos de almacenaje que estén fuera de sitio. Reinstalar todos los datos de la fuente de respaldo. Volver a ingresar los datos de las pasadas semanas. Tener estrategias periódicas de respaldos de base de datos. Monitorear el proceso. Pag No2 Protector de datos continúo. Software de réplica sincrónico. El software Remote Copy reduce significativamente el coste de la replicación de datos remotos y la recuperación ante desastres aprovechando la tecnología de copia ligera y permitiendo la replicación con matrices de gama media. que permite a las organizaciones ahorrar en costes de hardware cumpliendo con los objetivos de tiempo de recuperación bajos (RTO) y los objetivos de punto de recuperación de pérdida de datos cero (RPO).AA13 EV1 PLAN DE GESTION DEL RIESGO Tecnología Para el proceso de recuperación de algún desastre a alcaldía de San Antonio deberá adquirir uno o varias de las siguientes herramientas tecnológicas como son:         Biblioteca de cinta virtual. lo que reduce la necesidad de servicios profesionales. Las capacidades de configuración autónomas e integradas. minimizan la necesidad de contratar servicios profesionales comunes a las soluciones de replicación de la competencia. Proporciona configuraciones de réplica sincrónica a larga distancia. con una flexibilidad de distancia completa. de varios modos y de varios sitios. Backups remotos de reserva. Configuración y pruebas en cuestión de minutos. eficiente y asequible. 3PAR Remote Copy ofrece una amplia gama de opciones de replicación para que los clientes consigan los objetivos de tiempo de recuperación estricta (RTO) y los objetivos de punto de recuperación rápida (RPO). uno a uno. Servicio telefónico virtual PBX/HOSTED. únicas en el sistema de almacenamiento HP 3PAR StoreServ. periódica asincrónica y sincrónica. Implementación muy eficiente y flexible Ofrece modos de replicación periódicos sincrónicos o asincrónicos. todo flash y gama alta para ofrecer un rendimiento de coste exclusivo para la protección de un conjunto más amplio de aplicaciones. Con compatibilidad con replicación a larga distancia sincrónica de varios emplazamientos. Recursos Solución de replicación simple y con una potencia única Ofrece una recuperación ante desastres sólida que puede configurarse y probarse en minutos desde una única consola de gestión de HP 3PAR. Sistema para la administración de planes (Moebius). Tecnología de almacenaje de réplica. de 1 a N o configuración de copia remota a larga distancia sincrónica. y puede tener licencia solo para parte de la capacidad instalada para recuperación ante desastres de múltiples clientes flexible y eficiente. Cloud Podremos destacar como herramientas tecnológicas que debe adquirir la alcaldía de San Antonio el software de réplica de almacenamiento HP 3PAR Remote Copy Software de réplica de almacenamiento ¿Desea la capacidad de replicar datos en ubicaciones remotas para más eficiencia y rentabilidad? El software HP 3PAR Remote Copy proporciona a los centros de datos empresariales y de nube una tecnología de recuperación ante desastres de nivel 1 y replicación autónoma que permite la protección y el uso compartido de los datos desde cualquier aplicación de forma simple. Pag No3 . robo de información Sitio web externo de la alcaldía de San Antonio Labores de espionaje A las amenazas a la cuales se ve enfrentado son: Inyección de código SQL maliciosos para modificar. eliminar y robar información de bases de datos las cuales corran bajo el sitio web de la alcaldía Suplantación de usuarios y secretarios así como del alcalde mayor de la alcaldía de San Antonio para el acceso a datos importantes y el poder conseguir reportes. acceso de usuarios internos de la alcaldía de San Antonio Virus informático Pag No4 . boletines. la aplicación y la integración de la solución en nube simplifican la recuperación de desastres Ofrece puntos de recuperación coherente de las aplicaciones para una recuperación rápida a través de la integración con HP 3PAR Recovery Manager para VMware vSphere. Microsoft Exchange y Microsoft SQL y Oracle. se ve expuesta a las siguientes amenazas Virus informático Presencia y suplantación de usuarios Acceso de personas no autorizas por el sistema. Inventario de activos informáticos junto a las amenazas a las que son expuestos Se han podido identificar para el caso de estudio 2Alcaldia de San Antonio” el siguiente inventariado de activos informáticos asociados a las amenazas a los que son expuestos Activo informático Bases de datos internas Amenaza Son las bases de datos las cuales hacen parte de cada una de las secretarias de la alcaldía de San Antonio Las amenazas a las cuales se encuentran expuestos son: Inyección de código maliciosos SQL Ingreso y acceso de intrusos y usuarios no autorizados por el sistema ni por la base de datos Presencia de virus informático y gusanos Página web interna 8Intranet) Software oculto para realizar labores de espionaje. robo cibernético y vandalismo Esta es la llamada herramienta intranet la cual facilita la comunicación interna entre los funcionarios y empleados de la alcaldía de San Antonio y facilita el proceso de comunicación entre secretarias.AA13 EV1 PLAN DE GESTION DEL RIESGO El servidor virtual. certificaciones de pago de impuestos correspondientes a la secretario de Hacienda Chai interno Virus informático Está expuesto a las siguientes amenazas Suplantación de la identidad. Microsoft Hyper-V. la red LAN o externos a la alcaldía Sabotaje. sabotaje. boletines. Pag No5 . reportes. información. Estos hacen referencias a: ROUTERS TARJETAS DE RED ENRRUTADORES SIWCHES CABLEADO Están expuestos a amenazas como: Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía Robo de datos. certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas Instalación de software espía por parte de usuarios mal intencionados Hackung de correos electrónicos. cuentas de usuarios. bases de datos y acceso a los sistemas de información. boletines. registros y reportes en las diferentes bases de datos de cada una de las secretarias. información. contraseñas. cuentas de usuarios. Equipos de re inalámbricos Estos hacen referencias a: ROUTERS TARJETAS DE RED ENRRUTADORES SIWCHES CABLEADO Están expuestos a amenazas como: Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una infraestructura tecnológica por completo Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la alcaldía Robo de datos. reportes. certificaciones electrónicas de pago de impuestos así como el robo de bases de datos completas Instalación de software espía por parte de usuarios mal intencionados Hackung de correos electrónicos. bases de datos y acceso a los sistemas de información. contraseñas.AA13 EV1 PLAN DE GESTION DEL RIESGO Robo de datos e información importante Modificación de datos y sabotaje Equipos de red cableados Usuarios no autorizados por el sistema los cuales puedan eliminar datos. 3 alto) 1 MYSQL SQL SERVER R2 2008 Planes para efectuar copias de seguridad Políticas y sistemas para implementar seguridad y protección de los datos. software Impresoras Daños con los cartuchos y malas calibraciones para la impresión Daños en hardware Memorias portátiles y dispositivos de almacenamiento externos Descofiguracinoes en el software y los controladores que manejan la impresora y hacen el puente de conexión con el hardware de estos dispositivos Presencia de virus informático Software maliciosos y espía Roles y responsabilidades en la gestión del riesgo Datos Activo informático Bases de datos internas Controles para minimizar el riesgo Esto hace referencia a las diferentes bases de datos que hacen parte de todas y de cada una de las secretarias de la alcaldía del municipio de San Antonio. 2 medio. ventiladores Interrupción del suministro de energía eléctrica Reinicios inesperados de los equipos servidores Están expuestos a amenazas tales como: Computadores Presencia de virus informático Daños en hardware. remotamente o físicamente por usuarios no autorizados y mal intencionados quienes puedan acceder a la red LAN Presencia de virus informáticos Daños en hardware como en discos duros.AA13 EV1 PLAN DE GESTION DEL RIESGO Cortafuegos Desactivación y desonfiguiacion intencional de esta herramienta por parte de usuarios mal intencionados Las amenazas a las que se pueden enfrentar son: Servidores Acceso y manipulación de estos equipos bien sea local. dichas bases de datos son relacionales y fueron desarrolladas por los siguientes motor de base de datos como son: Impacto del daño (1 bajo. los Pag No6 . AA13 EV1 PLAN DE GESTION DEL RIESGO esquemas y estructuras de estas bases de datos Implementar encriptación y cifrado de datos Documentar perfiles de usuarios. concurrencia. contraseñas. consumo en espacio de disco entre otros aspectos para verificar la operatividad y continuidad en el funcionamiento de estas bases de datos. Políticas y sistemas para implementar seguridad y protección de los datos. estado en tiempo real. accesos y privilegios en cada una de las bases de datos Bases de datos externas Página web interna (Intranet) Monitorear y hacer un seguimiento periódico de los servicios. dando a los 1 Pag No7 . los esquemas y estructuras de estas bases de datos Este es un servicio de comunicación interna dentro de la alcaldía el cual es habilitado para cada uno de los funcionarios y empleados de las diferentes secretarias que facilitaran el proceso de trabajo interno y el intercambio de información. es necesario implementar controles para disminuir los daños o riesgos informáticos como son: 2 2 Configuración de la red LAN y de todos sus dispositivos dando protocolos de seguridad los cuales impidan el ingreso de usuarios o personas externas que no laboren dentro de la alcaldía de San Antonio Sitio web o página externa Instalación y puesta en marcha de herramientas para la supervisión y actividades realizadas dentro de la re LAN y en la internar habilitada para esta alcaldía. Esta es la página web o sitio el cual muestra al mundo la imagen de la alcaldía de San Antonio. conexiones. tráfico de red. bases de datos y sistemas informáticos internos de esta alcaldía. para disminuir los riesgos y amenazas 2 Pag No8 . pagos de impuestos. debates interactivos. descarga de certificaciones de salud. carpetas. respeto por los demás así como principios de confidencialidad en el intercambio de información. comparendos. chats. eventos deportivos. para disminuir los riesgos informáticos de daños y amenaza se deben implementar las siguientes recomendaciones: Administrar. documentos. dando a conocer noticias actualizadas y poniendo a disposición foros. conectados Concurrencias Bases de datos creadas Actividad de las bases de datos Cuentas de correos electrónico institucionales Creación de dominios Creación y disponibilidad de repositorios digitales Disponibilidad de complementos. gestionar y supervisar el funcionamiento y operatividad del sitio web a través de herramientas suministradas por el proveedor de internet y el hosting contratado por la alcaida como puede ser el C PANEL el cual verifique criterios como: Chat interno Espacio en disco Trafico de red Usuarios.AA13 EV1 PLAN DE GESTION DEL RIESGO usuarios y comunidad en general servicios de consultas. Complementos de seguridad Servicios centrados con el proveedor Este es un medio de comunicación interna entre secretarias y funcionarios el cual deberá ser usado con estándares de buena convivencia. encuestas de opinión entre otros aspectos. contraseñas y actividades realizadas en este chat interno.AA13 EV1 PLAN DE GESTION DEL RIESGO informáticas de este tipo de activo se debe implementar: Labores periódicas de mantenimientos y monitoreos al comportamiento de este servicio por parte del departamento de sistemas e ingenieros de esta alcaldía Documentar información de todos y cada uno de los usuarios. cruces de datos externos que se hacen necesarios para cumplir los objetivos misionales de la alcaldía de San Antonio. Labores periódicas de mantenimientos y monitoreo al comportamiento de este servicio por parte del departamento de sistemas e ingenieros de esta alcaldía Documentar información de todos y cada uno de los usuarios. para así establecer los perfiles de usuarios. lo cual representa riesgos informáticos los cuales se pueden disminuir siguiendo o poniendo en práctica recomendaciones tales como: 3 2 Implementar políticas de seguridad. Chat externo Bases de datos de contraseñas Implementar políticas y sistemas de seguridad en la protección de los datos. para así establecer los perfiles de usuarios. Estas bases de datos representan fuentes de consultas. usuarios quienes hacen uso de esta herramienta. sistemas de protección de los datos como encriptación y cifrados Elaborar un log o bitácora de actividades registradas por los usuarios quienes acceden internamente en las Pag No9 . contraseñas y actividades realizadas en este chat interno. registrando datos como: Fecha Hora Usuario Clave Base de datos accedida Actividades realizadas Fecha y hora de cierre de sesión y conexión con la base de datos Correo electrónico Implementar políticas y planes para las copias de respaldo de estas bases de datos y bitácora de actividades de usuarios. Este servicio será habilitado y se podrán crear cuentas de correo electrónico únicamente usando herramientas de administración del sitio web de la alcaldía de San Antonio proporcionadas por la empresa HOSTING . nombres Pag No10 . estos correos electrónicos serán institucionales y no personales en donde todos y cada uno de los empleados y funcionarios que laboran dentro de esta alcaldía tendrán habilitada una cuenta.AA13 EV1 PLAN DE GESTION DEL RIESGO diferentes secretarias de esta alcaldía a las bases de datos. para disminuir los riesgos informáticos se deberá implementar lo siguiente: 2 El administrador del sitio web deberá pedir información del nuevo funcionario o persona interna de la alcaldía que solicite una nueva cuenta como es Nombres completos Apellidos Secretaria donde labora Justificación del por qué necesita una nueva cuenta Fecha de la solicitud Es el administrador del sitio web el encargado de analizar y validar esta información y crear la respectiva cuenta Se deberá documentar a todos los usuarios. arquitectura.AA13 EV1 PLAN DE GESTION DEL RIESGO de los correos electrónico y los usuarios que les dan para así hacer un seguimiento y monitoreo para garantizar la operatividad y continuidad de este servicio.3 alto) 2 Para minimizar los riesgos y amenazas informáticas se deberá implementar lo siguiente: Documentación de análisis. Sistemas Activo informático Equipos de red cableada Controles para minimizar el riesgo Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: ROUTERS SITWCHES ENRRUTAODRES TARJETAS DE RED Impacto del daño (1 bajo. diseño e implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado. Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: ROUTERS SITWCHES ENRRUTAODRES TARJETAS DE RED 3 Pag No11 . topología entre otros aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN Equipos de red inalámbrica Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. 2 medio. tecnología usada. gestión y manejo del tráfico de red LAN. nodos de la red LAN así como en los equipos servidores los cuales harán parte de la infraestructura tecnológica d la alcaldía de San Antonio Estos son equipos de cómputo de gran potencia.AA13 EV1 PLAN DE GESTION DEL RIESGO Para minimizar los riesgos y amenazas informáticas se deberá implementar lo siguiente: Documentación de análisis. tecnología usada. alojamiento de bases de datos. Se deberán habilitar en todas y cada una de las estaciones de trabajo. alojamiento de la bodega de datos de la alcaldía de San Antonio así como el poder atender solicitudes de consultas de múltiples usuarios de diferentes localidades o secretarias. procesos de replicación. arquitectura. amenazas y 1 2 Pag No12 . Para poder disminuir al máximo riesgos. importancia y sensibilidad para el funcionamiento del negocio ya que cumplen labores de respaldo de datos. topología entre otros aspectos Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de conectividad y seguridad en la protección de los datos y de la red LAN misma Realizar labores de mantenimientos preventivos y correctivos los cuales permitan garantizar la operatividad de la red LAN Cortafuegos Servidores Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento periódico y en tiempo real del comportamiento de la red LAN y de los servicios suministrados. diseño e implementación de la red LAN de esta alcaldía escribiendo aspectos de cableado. Instalar y poner en marcha herramientas para el monitoreo. Se deberá tener en cuenta lo siguiente: 2 Implementar labores de Pag No13 . mejores herramientas de software así como la aplicación e incremento de memoria RAM. supervisión y seguimiento periódico del rendimiento y comportamiento real del sistema operativo de estos equipos que para el caso de la alcaldía de San Antonio será WINDOWS SERVER 2012. Implementar políticas y planes de contingencias para respaldos y copia de datos importantes de estos equipos en forma externa y remotamente usando dispositivos de almacenamiento externos y servicios de alojamiento en la nueve privada Computadores Elaborar un inventariado completo de la condiciones de funcionamiento en software y en hardware de estos equipos de cómputo para evaluar planes de escalonamiento y mejoramiento en hardware y software adecuando nuevos. mejores discos duros.AA13 EV1 PLAN DE GESTION DEL RIESGO vulnerabilidades informáticas se deberá implantar lo siguiente: Garantizar el suministro interrumpido 7X24 de energía eléctrica a estos equipos de computo Implementar planes de mantenimientos preventivos y correctivos a estos equipos por parte de personal técnico del departamento de sistemas de la alcaldía de San Antonio documentado el paso a paso y los resultados obtenidos en este proceso. AA13 EV1 PLAN DE GESTION DEL RIESGO mantenimientos periódicos preventivos y correctivos por parte el personal de soporte técnico de la pdependicai de sistemas de la alcaldía de San Antonio lo cual genere una documentación la cual se tenga en cuenta para el mejoramiento constante en infraestructura y repotenciar los equipos de cómputo existentes dentro de esta alcaldía. este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Fecha Nombre del producto o herramienta tecnológica Condiciones de uso Entidad. vulnerabilidades i sanciones se deberá implementar lo siguiente: 1 Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de software si son de uso comercial Adquisición y contrato de licencia para el uso y explotación de este tipo de programa informáticos a si sea de uso libre o gratuito. sitio web o empresa que facilita esta herramienta Pag No14 . ejecución y programación de tareas de diferentes proyectos los cuales deberán ser ejecutados por todas y cada una de las secretarias de este despacho municipal para disminuir riesgos informáticos. Programas de manejo de proyectos Programar copias de seguridad y respaldo de datos periódicos local o remotamente usando herramientas como SYNC TOY En esta alcaldía se adquieren con regularidad programas para el diseño. Se deberá realizar un análisis o escaneo en detalle ejecutando programas de antivirus y de seguridad informática con los que cuenta la alcaldía de San Antonio para evitar: 1 1 Presencia de virus Pag No15 . Fecha Nombre del producto o herramienta tecnológica Condiciones de uso Entidad. sitio web o empresa que facilita esta herramienta Responsabilidades del usuario final Impresoras Memorias portátiles Responsabilidades del proveedor del servicio o programa informático. este tipo de contrato así como los de uso comercial deberá tener asociados datos como. Se deberán realizar labores periódicas de mantenimientos preventivos y correctivos a las impresoras con las cuales cuenta la alcaldía de San Antonio. Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de software si son de uso comercial 1 Adquisición y contrato de licencia para el uso y explotación de este tipo de programa informáticos a si sea de uso libre o gratuito.AA13 EV1 PLAN DE GESTION DEL RIESGO Responsabilidades del usuario final Programas de producción de datos Responsabilidades del proveedor del servicio o programa informático. generado documentación técnica la cual será tenida en cuenta el momento de adquirir nuevas y más modernas impresoras y mejorar las ya existentes. deportes y reacción Presentar al consejo municipal informes de gestión de su gobierno Hacer un buen uso de la infraestructura tecnológica de la alcaldía de San Antonio y de los diferentes equipos de computo Secretario de Hacienda Dar a conocer al departamento de sistemas nuevas necesidades.AA13 EV1 PLAN DE GESTION DEL RIESGO informático Presencia de gusanos informáticos Sabotaje Software malicioso Software espía Personal Responsable Alcalde mayor de San Antonio Funciones Es la máxima autoridad del municipio de San Antonio y sus funciones son: Cumplimiento Si Implementar políticas para el mejoramiento de la vida de todos y cada uno de los habientes del municipio Implementar. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Hacienda SI Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio Pag No16 . medio ambiente. salud. problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. liderar y coordinar proyectos con la secretaria de gobierno Liderar proyectos y planes de mejoramiento en las secretarios de hacienda. problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen.AA13 EV1 PLAN DE GESTION DEL RIESGO del municipio Secretario de Gobierno Dar a conocer al departamento de sistemas nuevas necesidades. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Gobierno SI Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio Secretario de Medio Ambiente Dar a conocer al departamento de sistemas nuevas necesidades. problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Medio Ambiente SI Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio Secretario de Salud Dar a conocer al departamento de sistemas nuevas necesidades. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Salud SI Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio Pag No17 . problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. las bases de datos. los sistemas informáticos y la red LAN Supervisar la administración y mantenimiento de las bases de datos de esta alcaldía lo cual garantice su operatividad y continuidad Coordinar el desarrollo de sistemas de información y nievas herramientas tecnológicas a ser implementadas por esta alcaldía. mantener y garantizar la operatividad. Hacer buen uso de la infraestructura tecnológica y de los equipos de cómputo de la secretaria de Recreación y Deportes SI Liderar e implementar proyectos y planes de mejoramiento en esta secretaria para el beneficio del municipio Jefe de Sistemas Dar a conocer al departamento de sistemas nuevas necesidades. Administrador de Base de Datos Alcaldía de San Antonio Supervisar la implementación de planes para copias de seguridad y respaldo de datos que realice el administrador de base de datos Administrar.AA13 EV1 PLAN DE GESTION DEL RIESGO Secretario de Deportes y Recreación Dar a conocer al departamento de sistemas nuevas necesidades. funcionabilidad y continuidad SI Pag No18 . problemáticas y requerimientos a ser solucionadas con la ayuda de nuevas tecnologías y mejorar las que ya se tienen. Es la persona encargada de: Liderar y gerencia proyectos informáticos SI Definir políticas y sistemas de seguridad para la protección de los datos. por último. Recueros y presupuestos necesarios para la ejecución del plan Un método sencillo para elaborar un plan de trabajo es organizar la información recopilada sobre lo que se desea hacer en una secuencia jerarquizada: comience por el objetivo. a las tareas que permitirán lograr los resultados. servidores e infraestructura de la red LAN de la alcaldía del municipio de San Antonio. documentado e implementado en la práctica y en las diferentes secretarias de la alcaldía de San Antonio. con una frecuencia de ejecución bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una probabilidad de ocurrencia media o alta. Periocidad de los eventos a ejecutar Los eventos a ejecutar después de desarrollado. así como el poder permitirle a personal del área de sistemas realizar auditorías internas para evaluar cómo responde las diferentes secretarias a las amenazas y riesgos informáticos detectados con anterioridad. serán validado a través de la realización de diferentes auditorias informáticas internas ejecutadas por personal interno perteneciente al departamento de sistemas de esta alcaldía. el administrador de base de dato y el responsable especializado en la administración de la red LAN Pag No19 . después pase a los resultados que contribuyen a la consecución de dicho objetivo y. A continuación se muestra un plan de trabajo parcial correspondiente a uno de los diversos objetivos posibles: Entre los recueros necesarios para ejecutar este plan de gestión de riesgos informáticos tenemos los siguientes: Acceso a computadores y servidores de la alcaldía de San Antonio (Solo usuarios autorizados y personal del departamento de sistemas) Acceso a la red LAN (Departamento de sistemas y usuarios internos) Adquisición de software especializado y herramientas tecnológicas para el monitoreo constante de la elaboración y documentación de este tipo de planes. esta labor será liderada por el jefe de sistemas de esta dependencia junto a otros ingenieros de sistemas.AA13 EV1 PLAN DE GESTION DEL RIESGO Informática Soporte Técnico de las bases de datos de esta alcaldía Efectuar planes de mantenimientos preventivos y correctivos a los computadores. solo basta con ejecutarlo y de inmediato la herramienta empieza a analizar todo el hardware y software de nuestra máquina. Actividades de protección sobre los datos A veces es prácticamente imposible poder garantizar un sistema o una protección 100% segura. algo que si se hace de forma manual puede ser bastante complejo y demorado. programas instalados con todos los detalles posibles para cada uno de ellos. CSV o RTF.AA13 EV1 PLAN DE GESTION DEL RIESGO Herramientas software para realizar auditorías informáticas recomiendas Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la relacionada a los sistemas informáticos. que podremos guardar en formato HTML. sus características específicas. esta herramienta es totalmente gratuita y de código abierto. que de manera rápida nos ofrece un completo análisis de cualquier computador que funcione bajo el sistema Windows. y una gran cantidad de información extra con la que seguramente se puede disponer de un informe completo. pero en Pag No20 . estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante adoptar este tipo de políticas y medidas de seguridad informática y protección de la información en este caso de la alcaldía de San Antonio para así disminuir al máximo estos riesgos. Normalmente cuando se hace auditoria a un equipo de cómputo es necesario conocer con el mayor detalle posible cada una de las características del mismo. facilitando así que podamos llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que vayamos a analizar. listando cada uno de los componentes. WinAudit es un software muy sencillo. la cual si no se cuenta con las herramientas adecuadas puede llegar a ser bastante exhaustiva por toda la información que se debe recopilar por cada uno de los equipos. sus respectivas licencias y cualquier otra información que pueda ser clave para ser analizada por el auditor. seguido de que no es necesario instalarlo para poderlo utilizar. El uso de WinAudit es bastante simple. liviano. gratuito y además portable. sus componentes y el software que allí está instalado. por eso la importancia de recurrir a herramientas de software que faciliten el trabajo.6 MB. Al descargar WinAudit lo primero que se destaca es su pequeño tamaño de apenas 1. Como si fuera poco. La mayoría de los algoritmos modernos del cifrado se basan en una de las siguientes dos categorías de procesos: Problemas matemáticos que son simples pero que tienen una inversa que se cree (pero no se prueba) que es complicada Secuencias o permutaciones que son en parte definidos por los datos de entradas. Criptologia: La encriptación como proceso forma parte de la criptología.AA13 EV1 PLAN DE GESTION DEL RIESGO casos o escenarios posibles donde un intruso o usuario no autorizado por los sistemas y bases de datos relacionales de la alcaldía de San Antonio tiene acceso a datos importantes y a la red LAN se puede considera la opción de poner otra barrera más de seguridad en mi opinión se puede implementar procesos de encriptación y cifrado de datos y registros en el caso de las bases de datos de cada una de las secretarias de la alcaldía de San Antonio. aunque existen métodos de encriptación que no pueden ser revertidos. así a pesar de que un usuario no autorizado o intruso acceda a las bases de datos. Pag No21 . Opcionalmente puede existir además un proceso de des encriptación a través del cual la información puede ser interpretada de nuevo a su estado original. a la red LAN y tenga acceso a información sensible y delicada de muy poco le serviría ya que esta información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin. El término encriptación es traducción literal del inglés y no existe en el idioma español. La forma más correcta de utilizar este término sería cifrado. La criptología es la ciencia que estudia la transformación de un determinado mensaje en un código de forma tal que a partir de dicho código solo algunas personas sean capaces de recuperar el mensaje original. Encriptación es el proceso mediante el cual cierta información o texto sin formato es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados son prácticamente incomprensibles. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. ciencia que estudia los sistemas utilizados para ocultar la información. entre otros. Como sabemos. números de tarjetas de crédito. es de vital importancia asegurar que la Información viaje segura. en un Sistema de Comunicación de Datos. reportes administrativo-contables y conversaciones privadas.AA13 EV1 PLAN DE GESTION DEL RIESGO Usos de la Encriptación Algunos de los usos más comunes de la encriptación son el almacenamiento y transmisión de información sensible como contraseñas. Otros métodos para la protección de los datos generados por las bases de datos de la alcaldía de San Antonio serian: Almacenamiento en dispositivos externos Almacenamiento en la nube remotamente de datos e información sensible Discos duros espejo Fragmentación de bases de datos Implementar bases de datos distribuidas en todas y cada una de las secretarias. integridad. números de identificación legal. Pag No22 . manteniendo su autenticidad. confidencialidad y el no repudio de la misma entre otros aspectos Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos. org/wiki/Seguridad_inform%C3%A1tica Políticas de seguridad informática gestión integral www..unam.blogspot.youtube..html Seguridad informática https://es.gov.com/gdr_principal/analisis_riesgo/ Que es y por qué hacer análisis de riesgo http://www.wordpress.fip.wikipedia.cvs.A1ticos Análisis de riesgo informático...wordpress. Seguridad informática./Políticas-deSeguridad-Informática-2013 Manual de políticas y estándares en seguridad informática www.welivesecurity. En esta parte del documento de análisis de riesgos se van a adjuntar todas y cada una las fuentes bibliográficas las cuales fueron tenidas en cuenta al momento de construir este informe y poder dar solución a la evidencia de aprendizaje planteada como son: Análisis de riesgo informático https://es.com..co/MP_V01.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico#Proceso_de_an.mx/proyectos/seguridad/AnalisisRiesgos.com/watch?v=gzgXELz85RI Herramientas para la supervisión y gestión de WINDOWS SERVER 2012 R2 https://administracionsistemasoperativos201415.C3.AA13 EV1 PLAN DE GESTION DEL RIESGO Referencias bibliográficas.com/la-es/2012/08/16/enque-consiste-analisis-riesgos/ Tutorial de la seguridad de la información http://redyseguridad.pdf Políticas y normas de seguridad informática www.mx/proyectos/tsi/capi/Cap5./ejemplos-de-politicas-de-seguridad-informatica-en-u.intenalco.co/ Pag No23 .php Gestión del riesgo en la seguridad https://protejete.com/watch?v=OagvKpKJpWc Seguridad informática.com/2015/03/02/herramientas-parala-supervision-y-gestion-de-windows-server-2012-r2/ Encriptación de datos http://encripdedatos. políticas de respaldo y soporte https://www.youtube.edu.gestionintegral.com.pd Ejemplos de políticas de seguridad informática en una organización https://prezi.com/.C 3.unam. políticas y estándares https://www.wikipedia. acceso físico..co/.A1lisis_de_riesgos_inform..co/./Politicas_de_Seguridad_Informatica_CVS_2011-.fip.. seguridad informática http://redyseguridad.


Comments

Copyright © 2024 UPDOCS Inc.