15-11-2019 AA12-Ev2-Matriz Análisis de Riesgo

Gestión y seguridad de bases de datos (1881803)

Andy José Campo López

SERVICIO NACIONAL DE APRENDIZAJE SENA
La información que se gestiona en la Alcaldía de San Antonio del Sena es

indispensable para su correcto desempeño dentro de la política pública y su relación

con el ciudadano. Sin importar qué tipo de información se trate en la Entidad, ésta

será parte primordial en el cumplimiento de sus Objetivos, y para lograr esto es

fundamental proteger todo tipo de Información de cualquier posibilidad de

alteración, mal uso y pérdida entre otros muchos eventos.

Dentro de la gestión de la seguridad de la Información, un tema muy fundamental

y que desafortunadamente no todas las empresas le dan la importancia requerida,

es la Gestión de riesgos, la cual es utilizada para mitigar los riesgos asociados a la

seguridad de la información.

Es importante resaltar que para la evaluación de riesgos en seguridad de la

información un insumo vital es la clasificación de activos de información ya que una

buena práctica es realizar gestión de riesgos a los activos de información que se

consideren con nivel de clasificación ALTA dependiendo de los criterios de

clasificación.

Alcance

Inicia con la valoración de la probabilidad de los riesgos y la valoración del impacto y finaliza

con el análisis de resultados.

Consideraciones

Para esta actividad se tomó como referencia los activos de la información de la Alcaldía de

San Antonio de Sena, bajo el supuesto que ya fueron implementados los planes de acción en

Tecnología propuestos en las Fases 1, 2 y 3 de este programa de formación virtual de Gestión

y Seguridad de base de Datos.

Construcción de la matriz de análisis de Riesgo

Tomando como referencia la situación actual de los activos de información de la Alcaldía de

San Antonio del Sena, se identificaron los riesgos asociados a estos activos y se procedió a

cuantificar los riesgos de cada uno.

Como resultado de esta actividad se obtuvo el siguiente cuadro con el promedio aritmético

de los diferentes riesgos:

Se observa que los mayores riesgos se presentan en el grupo de activos asociados a la

Infraestructura de TI y al grupo de amenazas relacionadas con la Negligencia de usuarios y

decisiones Institucionales. Las amenazas que mayor impacto presentan son las siguientes:

 Falta de inducción, capacitación y sensibilización sobre riesgos

 Unidades portables con información sin cifrado

 Transmisión no cifrada de datos críticos

 Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD

centralizada)

 Falta de definición de perfil, privilegios y restricciones del personal

 Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos)

 Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de

datos de control.

Estos resultados se deben a que en la Alcaldía de San Antonio del Sena se presentan falencias

importantes en la implementación de políticas de seguridad de la información y en los

procesos de inducción, capacitación y sensibilización sobre riesgos.

 Análisis de Factores de Riesgo

Criminalidad y Político / Datos e

Información
Criminalidad y Político / Sistemas e
Infraestructura
Criminalidad y Político / Personal
Magnitud de Daño

Sucesos de origen físico / Datos e

Información
Sucesos de origen físico / Sistemas e
Infraestructura
Sucesos de origen físico / Personal

Negligencia y Institucional / Datos e

Información
Negligencia y Institucional / Sistemas e
Infraestructura
Negligencia y Institucional / Personal

Umbral Medio Riesgo

Umbral Alto Riesgo

Probalidad de Amenaza

1. Glosario

ACCESO: La manera en la cual los archivos o conjunto de datos son referenciados por la

computadora.

BASE DE DATOS: Es una serie de datos organizados y relacionados entre sí, los cuales son

recolectados y explotados por los Sistemas de Información de una empresa o negocio en

particular.
CAMPO: Unidad básica de una base de datos, un campo puede ser, por ejemplo, el nombre

de una persona. Los nombres de los campos, no pueden empezar con espacios en blanco y

caracteres especiales. No pueden llevar puntos, ni signos de exclamación o corchetes. Si

pueden tener espacios en blanco en el medio.

CONFIDENCIALIDAD: (ISO/IEC 13335-1:2004) Propiedad de la información por la que

está no se muestra disponible o revelada para individuos, entidades o procesos no

autorizados.

CONSISTENCIA: La ejecución aislada de la transacción conserva la consistencia de la base

de datos.

CONFIGURACIÓN: Término genérico usado para describir un grupo de Elementos de

Configuración que actúan o funcionan juntos para proveer un Servicio de TI, o un

subconjunto representativo de un Servicio de TI. El término Configuración también se usa

para describir los parámetros y ajustes realizados en uno o más CIs.

CONTINGENCIA: Es un tipo preventivo, predictivo y reactivo, en el cual se presenta una

estructura estratégica y operativa que ayudará a controlar una situación de emergencia y a

minimizar sus consecuencias negativas.

DISPONIBILIDAD: (ISACA/CISM) Garantizar que los sistemas de información y los

datos estén listos para su uso cuando se les necesita; a menudo se expresa como el porcentaje

de tiempo que se puede utilizar un sistema para trabajo productivo.

DATOS ESTADÍSTICOS: estos almacenan información estadística sobre los datos en la

base de datos.

El DBMS: es un conjunto de programas que se encargan de manejar la creación y todos los

accesos a las bases de datos.

ELIMINACIÓN: Es una solicitud de eliminación que se expresa de forma muy parecida a

una consulta. Sin embargo, en vez de presentar tuplas al usuario, quitamos las tuplas

seleccionadas de la base de datos. Sólo puede eliminar tuplas completas; no se puede eliminar

únicamente valores de determinados atributos.

FACILIDAD DE CONSULTAS: Permitir al usuario hacer cuestiones sencillas a la base de

datos. Este tipo de consultas tienen como misión proporcionar la información solicitada por

el usuario de una forma correcta y rápida.

FORMULARIO: es el elemento en forma de fecha que permite la gestión de los datos de

una forma más cómoda y visiblemente más atractiva

GESTOR DE BASE DE DATOS: Es un conjunto de programas que permiten crear y

mantener una base de datos, asegurando su integridad, confidencialidad y seguridad

INFORMES: Es un trabajo cuyos resultados o cuyo producto es esperado por personas

distintas a quien lo realiza o bien el mismo es encargado por terceros.

INDEPENDENCIA DE LOS DATOS: Se refiere a la protección contra los programas de

aplicaciones que pueden originar modificaciones cuando se altera la organización física y

lógica de las bases de datos.

MANIPULACIÓN DE BASE DE DATOS: Usando la base de Datos -- el usuario puede

añadir, borrar y modificar información a la base de datos así como también hacer consultas

REGLAS DE INTEGRIDAD: Son restricciones que definen los estados de consistencias

de las bases de datos.

SOFTWARE: Es un sistema manejador de bases de datos que permite al usuario tener

acceso con facilidad a los datos almacenados o que ande ser almacenados.

SERVIDOR: Máquina en la cual se almacena información de las aplicaciones, y/o las

mismas aplicaciones.

SERVICIOS: Es un conjunto de actividades que buscan responder las necesidades de un

cliente, interno y /o externo.

TI: Tecnología de información

TRANSACCIÓN: Una transacción es una unidad de la ejecución de un programa. Puede

consistir en varias operaciones de acceso a la base de datos. Está delimitada por constructores

como Begin Transaction y End Transaction.

USUARIO FINAL: es quien acceso a las bases de datos por medio de un lenguaje de

consulta o de programas de aplicación.