ACTA DE APERTURA Y CIERRE DE AUDITORIA › files › 2019 › ...4.2. Identificación y...

PROCESO GESTIÓN TIC Código PL-GTIC-001

Serie:

PLAN DE CONTINUIDAD TICS Versión 01

Página 1 de 1

KM4 VIA GIRON – TELEFONO 6809966 www.transitobucaramanga.gov.co

1. INTRODUCCION

Hoy en día toda organización sin importar su tipo, apoyan sus procesos críticos en el área de las TIcs, dejando en ella la salvaguarda de la información, para evitar riesgos de pérdida de información o riesgos de suspensión de servicios por fallas técnicas. El Ministerio de las Tecnologías de la Información y las Comunicaciones y la Presidencia de la República a través de la estrategia de Gobierno Digital buscan, un gobierno más eficiente, más transparente y más participativo, para su implementación se han definido varios elementos que brindan orientaciones generales y específicas que deben ser acogidas por las entidades, a fin de alcanzar los propósitos de la política. Estos elementos son los siguientes:

• Los dos componentes TIC para el Estado y TIC para la sociedad son líneas de acción que orientan el desarrollo y la implementación de la política.

• Los tres habilitadores transversales arquitectura, seguridad y privacidad y servicios ciudadanos digitales, son elementos de base que permiten el desarrollo de los componentes de la política. Cuyo objetivo es el de garantizar la prestación de servicios a la ciudadanía en general y la protección de la información de las entidades del estado.

Para ello, el Ministerio de las Tecnologías de la Información y las Comunicaciones propone la implementación de un modelo de seguridad y privacidad de la información teniendo como base la norma ISO 27001:2013, dentro del cual las entidades deben desarrollar acciones que propendan por la seguridad de los datos y de la plataforma tecnológica sobre la cual se prestan los servicios y se soporta la operatividad de la DTB, es así que dentro de estas acciones se encuentra el de estar preparados para la atención de contingencias que puedan afectar la prestación de los servicios ofrecidos. La Dirección de Tránsito de Bucaramanga, en aras del mejoramiento de los servicios de cara al ciudadano ha venido mejorando sus sistemas de información y plataforma tecnológica, con el fin de prestar un mejor servicio y optimizar los procesos críticos. Dichos procesos se apoyan en sistemas de información, que se encuentran alojados en servidores de cómputo ubicados en la oficina asesora de sistemas, responsable de la custodia de la información y la administración técnica de las bases de datos y equipos de cómputo, quien se encarga de mantenerlos funcionando para la prestación de servicios. La oficina asesora de sistemas es la encargada de garantizar la no suspensión total o parcial del servicio y por ende del restablecimiento de los servicios ante cualquier riesgo o falla sobre la infraestructura tecnológica que afecte el servicio ofrecido a través de los sistemas de información. Para ello se ha definido las acciones que se deben seguir en el momento de presentarse una contingencia que afecte los servicios para mantener o reestablecer el servicio en el menor tiempo posible, acciones que se encuentran definidas teniendo en cuenta la disponibilidad de recursos físicos y humanos actuales y relacionadas en el presente documento, el cual hace parte del modelo de seguridad y privacidad de la información.


Serie:


Página 2 de 1


2. OBJETIVO

2.1. Objetivo general

Garantizar la continuidad de la prestación de los servicios al ciudadano ante posibles eventos que puedan alterar el normal funcionamiento de los sistemas de información considerados como críticos en la DTB, restableciendo el servicio en el menor tiempo posible, a través de la puesta en marcha de procedimientos, actividades y elementos requeridos para afrontar la contingencia.

2.2. Objetivo Específicos

• Minimizar el riesgo de la posible pérdida de información financiera y operativa que

se genere por ante una falla técnica o humana en la plataforma tecnológica.

• Identificar y mitigar los riesgos a los que se encuentra expuesta la plataforma

tecnológica de la DTB.

• Reducir las consecuencias de la posible pérdida de información relacionada con el

evento inesperado en un nivel aceptable, al ejecutar procedimientos de respaldo y

recuperación apropiados.

• Mantener la prestación del servicio al ciudadano, en un nivel aceptable.

• Restablecer el funcionamiento de los sistemas de información en el menor tiempo

posible dependiendo del tipo de falla que se presente.

• Mantener operativos los sistemas de información críticos de la DTB cuando son

interrumpidos o paralizados por contingencias que afectan parcial o totalmente las

instalaciones donde se procesan los sistemas y se alojan las bases de datos de la

DTB.

3. GLOSARIO

• Amenaza: Cualquier cosa que pueda interferir con el funcionamiento adecuado de un computador o causar la difusión no autorizada de información confiada en un servidor. Ejemplo: Fallas de suministro eléctrico, virus, sabotaje o usuarios descuidados.

• Análisis de Impacto en el Negocio: Proceso de análisis de las actividades de negocio y las consecuencias que una interrupción puede provocar sobre las mismas en la DTB.

• Análisis de Riesgos: proceso de identificación, análisis y evaluación de riesgos.

• Ataque: Término general usado para cualquier acción o evento que intente interferir con el funcionamiento adecuado de un sistema informático, o intento de obtener de modo no autorizado la información confiada en un computador.

• Datos: Los datos son hechos y cifras que al ser procesados constituyen una información, sin embargo, muchas veces datos e información se utilizan como sinónimos. En su forma más amplia los datos pueden ser cualquier forma de información: campos de datos, registros, archivos y bases de datos, texto, hojas de cálculo, imágenes, vídeo, etc.

• Equipos de cómputo: Elementos o dispositivos de hardware, software, redes y telecomunicaciones interconectados que son utilizados para llevar a cabo las actividades operativas sistematizadas de la DTB.


Serie:


Página 3 de 1


• Impacto: consecuencia evaluada de una interrupción.

• Incidente: Cuando se produce un ataque o se materializa una amenaza, como por ejemplo las fallas de suministro eléctrico o un intento de borrado de un archivo protegido.

• Integridad: Se refiere a que los valores de los datos se mantengan tal como fueron puestos intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la base de datos, por fallas de programas, del sistema, hardware o errores humanos.

• Interrupción. Incidente, bien sea anticipado (ej. huracanes) o no anticipados (ej. Fallas de potencia, terremotos, o ataques a la infraestructura o sistemas de tecnología y telecomunicaciones) los cuales pueden afectar el normal curso de las operaciones en alguna de las ubicaciones de la DTB.

• Plan de contingencia: Estrategia planificada con una serie de procedimientos que faciliten u orienten a tener una solución alternativa que permita restituir rápidamente los servicios de la DTB, ante la eventualidad de todo lo que la pueda paralizar, ya sea de forma parcial o total.

• Plan de continuidad de Negocio: Conjunto de directrices, criterios, normas de actuación y herramientas organizativas que, ante la ocurrencia de una contingencia que provocase la interrupción de alguna o todas las áreas de negocio de la DTB, permiten la recuperación de la operatividad de las mismas en el menor tiempo posible, de modo que las pérdidas económicas ocasionadas sean mínimas.

• Plan de recuperación ante desastres: Constituye una parte del Plan de Continuidad de Negocio en aquellas compañías que dispongan de infraestructura tecnológica para soportar sus operaciones y, de forma análoga al Plan de Continuidad de Negocio, consta de todas las prácticas necesarias que, en caso de desastre, permiten recuperar en el menor tiempo posible el entorno tecnológico (sistemas, aplicaciones e infraestructuras) que soporta las actividades de la DTB.

• Privacidad: Se define como el derecho que tienen los individuos y organizaciones para determinar, ellos mismos, a quién, cuándo y qué información referente a ellos serán difundidas o transmitidas a otros.

• Punto de Recuperación Objetivo: Cantidad de información que la organización puede llegar a perder como consecuencia de un desastre. Marca desde un punto de vista tecnológico la estrategia de realización de copias de seguridad de la información.

• Riesgo: probabilidad de que una amenaza aproveche y explote una debilidad asociada a un proceso/activo/recurso provocando daño sobre el mismo.

• Sitio alterno: Ubicación alterna de operaciones seleccionada para ser utilizada por la DTB, cuando las operaciones normales no pueden llevarse a cabo utilizando las instalaciones normales después de que se ha producido una interrupción.

• Seguridad: Se refiere a las medidas tomadas con la finalidad de preservar los datos o información que, en forma no autorizada, sea accidental o intencionalmente, puedan ser modificados, destruidos o simplemente divulgados.

• Sistema de Información: Organización sistemática para almacenar los datos de una organización y ponerlos a disposición de su personal.

• Tiempo de Recuperación Objetivo: Variable temporal dentro de la cual una actividad de negocio debe ser recuperada después de un desastre.

• Tiempo Máximo Permitido de Recuperación: Periodo de tiempo (medido en segundos, minutos, horas o incluso meses en función de la actividad) asociado a


Serie:


Página 4 de 1


la paralización de una actividad que, una vez superado, la viabilidad de la DTB se verá amenazada irrevocablemente.

• Vulnerabilidad: debilidad o falta de control asociada a un proceso o recurso que puede ser explotada provocando un daño sobre dicho proceso. Un ejemplo de vulnerabilidad es el hecho de que una organización no disponga de medidas físicas que impidan el acceso a sus instalaciones a personal no autorizado.

4. ESTRUCTURA DEL PLAN

-Organización roles y responsabilidades. - Identificación y priorización de los riesgos. - Análisis y clasificación de los riesgos. - Inventario de hardware, software y Sistemas de Información - Actividades del plan según el riesgo.

4.1. Organización roles y responsabilidades.

El jefe de la oficina asesora de sistemas es el directo responsable de la ejecución del plan y de la consecución de los recursos para su optimo funcionamiento, es quien autoriza la puesta en marcha del plan de contingencias de TI cuando lo considere necesario de acuerdo con el reporte dado por el ingeniero de soporte de redes. El coordinador del plan de contingencias de TI es el jefe de la oficina asesora de sistemas o quien haga sus veces y en su ausencia el ingeniero que delegue, integrante de la oficina asesora, dado el tipo de labores especificas a desarrollar dentro del plan. Responsabilidades

• Proponer las políticas y acciones del plan de contingencias de TI.

• Mantener actualizado el plan de contingencias de TI.

• Autorizar la ejecución del plan de contingencias de TI cuando sea necesario.

• Monitorear y asegurar el funcionamiento del plan de contingencias de TI.

Grupo de desarrollo del plan Conformado por el equipo de trabajo responsable de la ejecución de las tareas definidas en el plan de contingencia de TI, Conformado por:

• El jefe de la oficina asesora de sistemas o quien haga sus veces.

• El ingeniero de soporte de redes y del centro de cómputo.

• Los ingenieros de soporte de los sistemas de información.

• El grupo de soporte técnico.

• El administrador de la página web.

Funciones

• Activar el plan de contingencia de TI cuando sea necesario.

• Documentar y formalizar el plan de contingencia de TI.

• Periódicamente realizar simulacros y pruebas del plan de contingencia de TI.

• Evaluar los daños que se puedan presentar en caso de una eventual falla.


Serie:


Página 5 de 1


4.2. Identificación y priorización de los riesgos

• Descripción De Los Riesgos

A. Riesgos externos

• Modificación a la normatividad - (R1).

Riesgo externo que consisten en los posibles cambios a la normatividad que afecten el funcionamiento de los sistemas de información, y los procesos al generar cambios en los sistemas que no se implementan de inmediato lo que puede ocasionar retardos en los procesos misionales y operativos de la DTB. Tipo de riesgo: Operativo.

• Incumplimiento al objeto contractual por parte de los contratistas. - (R2).

Riesgo externo que consiste en el atraso que puede presentar la ejecución o trasgresión del clausulado de los contratos de actualización, modificación, mantenimiento y soporte del hardware, software por deficiencias en el desarrollo precontractual y/o por deficiencias en la supervisión del contratos que involucren a los sistemas de información catalogados como críticos (Sistema Misional, Sistema Financiero) que al presentarse genera inoperancia de los sistemas de información o mala imagen de la DTB por aplicativos desactualizados. Tipo de riesgo: Operativo.

• Caída o interrupción del sistema eléctrico - (R3).

Riesgo externo. Corresponde al corte del servicio de energía eléctrica por falla externa en el proveedor del servicio, corte eléctrico que genera interrupción del funcionamiento de los equipos donde se alojan los aplicativos críticos de la DTB, que puede dejar sin servicios e inoperantes los aplicativos. Tipo de riesgo: Tecnológico.

• Caída del canal de internet - (R4).

Riesgo externo. Consiste en las fallas técnicas por parte del proveedor del servicio de internet, lo que ocasionaría suspensión de los servicios de correo y de los aplicativos críticos de la DTB. Tipo de riesgo: Tecnológico.

• Caída del Servicio Telefónico - (R5).

Riesgo externo correspondiente a la suspensión del servicio por daños o fallas en el software o hardware de telefonía IP, que de presentarse genera la ausencia de comunicación telefónica en la DTB. Tipo de riesgo: Tecnológico.

• Caída de servicios por virus informático - (R6)

Riesgo externo. Es el riesgo de infección de los equipos servidores y de cómputo que puede presentarse en la DTB por mala configuración del sistema antivirus o por ausencia de política de seguridad lo que genera la suspensión total o parcial del funcionamiento o de la prestación de un servicio de red, inoperancia o inestabilidad de los sistemas. Tipo de riesgo: Tecnológico.

• Suspensión del servicio por incendio o sismo - (R7).


Serie:


Página 6 de 1


Riesgo externo. Hace referencia al riesgo que corre la DTB en caso de presentarse un evento de sismo, inundación o incendio que afecte la infraestructura tecnológica de los sistemas de información críticos, generando suspensión total o parcial del funcionamiento o de la prestación de un servicio de red, inoperancia de los sistemas o inestabilidad de los mismos. Tipo de riesgo: Operativo.

B. Riesgos Internos

• Retrasos en el Proceso precontractual de la DTB en contratos relacionados con la infraestructura tecnológica. - (R8).

Riesgo interno que corresponde a retrasos en el proceso precontractual de la DTB en contratos relacionados con la infraestructura tecnológica, por fallas del proceso de contratación, Lo que puede ocasionar Inoperancia de los sistemas de información, desactualización de los sistemas de información o fallas en la prestación de servicios de impresión. Tipo de riesgo: Operativo.

• Contratación sin asistencia técnica, soluciones inadecuadas o incompatibilidad frente a los requerimientos y recursos disponibles - (R9).

Riesgo interno que se relaciona con deficiencia en los procesos de análisis, evaluación, planeación y toma de decisiones sobre la elección de las alternativas tecnológicas a ser implementadas y con el probable desconocimiento de las características y especificaciones técnicas de los recursos disponibles y las necesidades en cada una de las soluciones elegidas. Al materializarse el riesgo la infraestructura tecnológica puede generar inoperancia de los sistemas de información. Tipo de riesgo: Operativo.

• Pérdida de información considerada confidencial o de reserva por robo, alteración o extracción. - (R10).

Riesgo interno que tiene baja probabilidad de ocurrencia y consiste en el robo, alteración o extracción de la información que es considerada confidencial o clasificada como reservada por deficiencia en las políticas de seguridad o configuración ineficiente del cortafuegos de la DTB. Al materializarse, el impacto es negativo ya que puede ocasionar demandas y sanciones a la DTB, mala imagen institucional. Tipo de riesgo: Tecnológico.

• Falla técnica en equipos servidores, de escritorio o de comunicaciones. - (R11).

Riesgo interno que corresponde al daño físico o lógico de un equipo servidor, de escritorio o de comunicaciones que afecta el funcionamiento de un sistema de información crítico o de servicio por una falla en los equipos o por mal uso por parte de los usuarios que hace que el servicio quede inoperante o inestable. Tipo de riesgo: Tecnológico.

• Falla técnica en sistemas de información - (R12).

Riesgo interno, corresponde al riesgo de presentarse errores de lógica en programación o incompatibilidad entre software que afectan a los sistemas de información que genera Inoperancia o inestabilidad de los sistemas de información. Tipo de riesgo: Tecnológico.

• Ausencia de personal de la Dirección de Tecnologías de la Información y las


Serie:


Página 7 de 1


Comunicaciones que brindan soporte y mantenimiento a los a los sistemas de información. - (R13).

Riesgo interno. Corresponde a la falta o inasistencia en un momento dado, de un ingeniero o técnico de la oficina asesora de sistemas que realiza actividades de soporte a usuarios o de administración técnica sobre un sistema de información crítico en la DTB. por enfermedad, muerte o incapacidad de los funcionarios responsables o demoras en la asignación o contratación de funcionarios, lo que genera inoperancia o inestabilidad de los sistemas de información. Tipo de Riesgo: Operativo.

• Mal uso de hardware y/o software por parte de los funcionarios de la DTB - (R14).

Riesgo interno. Consiste en el riesgo que corre la DTB por un uso inadecuado de los equipos de cómputo, software y/o sistemas de información por parte de los funcionarios por deficiencias en el conocimiento y uso de las herramientas tecnológicas o por uso mal intencionado de los mismos lo que puede generar interrupción del funcionamiento de los equipos donde se alojan los sistemas de información críticos de la DTB, que puede dejar los servicios y aplicativos inoperantes. Tipo de riesgo: Tecnológico.

• Calentamiento del centro de cómputo - (R15).

Riesgo interno que consiste en el aumento de temperatura dentro del centro de cómputo y falta de ventilación, por deficiencia del sistema de ventilación o ausencia de un sistema de ventilación de precisión acorde a las necesidades de la DTB lo que puede generar recalentamiento de los equipos servidores, de comunicaciones y telefónicos dejándolos inoperantes junto con los servicios que se encuentran alojados en ellos. Tipo de riesgo: Tecnológico 4.3. Análisis Y Clasificación De Los Riesgos

La calificación del riesgo se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. La primera representa el número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse y la segunda se refiere a la magnitud de sus efectos.

Probabilidad: Posibilidad de ocurrencia del riesgo. Se puede medir con criterios de:

1. Frecuencia, si se ha materializado.

2. Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo.

Probabilidad Descripción Frecuencia Valor

Casi seguro El evento probablemente ocurriría en la mayoría de los casos

Más de una vez al año 5

Probable

El evento probablemente ocurriría en la mayoría de los casos

Al menos una vez en el último año

4


Serie:


Página 8 de 1


Posible

El evento podría ocurrir en algún momento

Al menos una vez en los últimos Dos (2) años

3

Improbable

El evento podría ocurrir en algún momento

Al menos una vez en los últimos Cinco (5) años.

2

Raro

El evento podría ocurrir solo en circunstancias excepcionales

No se ha presentado en los últimos cinco (5) años

1

Impacto Descripción Valor

Catastrófico

Si el hecho llegara a presentarse, tendría consecuencias o efectos sobre la DTB:

- Perdida de recursos secundarios.

- Disminución del rendimiento de los procesos y prestación de atención de servicios al ciudadano.

- Pérdida de información interna no publicada.

- Suspensión de los sistemas críticos.

- Pérdida de información confidencial estratégica.

- Deterioro de la imagen institucional.

5

Mayor

Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la DTB.

- Investigaciones

- Sanciones - Demandas

4

Moderado Si el hecho llegara a presentarse, tendría

medianas consecuencias o efectos sobre la DTB. 3

Menor Si el hecho llegara a presentarse, tendría bajo

impacto o efecto sobre la DTB. 2

Insignificante

Si el hecho llegará a presentarse tendría consecuencias o efectos mínimos sobre la DTB:

- Pérdida de recursos críticos pero que cuentan con elemento de respaldo.

- Caída notable del rendimiento de los procesos misionales.

- Pérdida de información confidencial pero no considerada estratégica.

- Suspensión temporal del servicio.

1


Serie:


Página 9 de 1


La evaluación del riesgo permite comparar los resultados de su calificación, con los criterios definidos para establecer el grado de exposición de la DTB al riesgo; de esta forma es posible distinguir entre los riesgos extremos, altos, moderados, bajos y fijar las prioridades de las acciones requeridas para su tratamiento. (Rn): Corresponde al número del riesgo dentro de las matrices de análisis y evaluación de los riesgos.

MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

PROBABILIDAD

IMPACTO

Insignificante (1)

Menor (2)

Moderado (3) Mayor (4)

Catastrófico (5)

Casi Seguro (5) A A E E E

Probable (4) M A A E E

Posible (3) B M A E E

Improbable (2) B B M A E

Raro (1) B B M A A

B: Zona de riesgo baja: Asumir el riesgo M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir E: Zona de riesgos extrema: Reducir el riesgo, evitar, compartir o transferir

Zona de riesgo Probabilidad * impacto

(combinaciones PROB- IMPAC)

Tratamiento

Extrema (2-5) - (3-4) - (3-5) -(4-4) -(4-5)

- (5-3) - (5-4) - (5-5)

Reducir el riesgo, evitar,

compartir o transferir

Alta (1-4) – (1-5) – (2-4) - (3-3) -(4-

2) - (4-3) – (5-1) – (5-2)

Reducir el riesgo, evitar,

compartir o transferir

Moderada (1-3) – (2-3) – (3-2) - (4-1) Asumir el riesgo, reducir el riesgo

Baja (1-) - (1-2) – (2-1) – (2-2) – (3-

1)

Asumir el riesgo

Los riesgos que se tendrán en cuenta en este Plan de Contingencias de TI son los catalogados como extremos y altos, es decir aquellos que afectan en forma drástica la imagen de la DTB, la pérdida de información confidencial estratégica, la suspensión parcial o total del funcionamiento del hardware, software y/o sistemas de información. considerados como críticos; esta valoración se da en términos de las consecuencias que acarrearía dicha suspensión.

Aplicación De Controles

Una vez definidos los riesgos a los que se encuentra expuesta la DTB, para cada uno se efectúa un análisis de que controles preventivos o correctivos tiene la Oficina asesora de sistemas para disminuir el impacto de los mismos.


Serie:


Página 10 de 1


Los riesgos potenciales que pueden afectar la continuidad y operatividad normal del hardware, software y/o los sistemas de información de la DTB, así como los controles a tener en cuenta, son:

Tipo Riesgo

(No. riesg

o)

Riesgo Probabilidad Impacto

Zona de Riesgo (Calificación)

Control

Externo 1 Modificación a la normatividad

1 4 ALTO Contrato de soporte y mantenimiento con el proveedor del software

Externo 2 Incumplimiento al objeto contractual por parte de los contratistas

2 3 MODERADO Pólizas de seguro de cumplimiento y calidad

Externo 3 Caída o interrupción del sistema eléctrico

5 3 EXTREMO Contrato de mantenimiento Sistema de suministro de

energía ininterrumpida y planta eléctrica

Externo 4 Caída del canal de internet

5 3 EXTREMO Canal de internet redundante con el suficiente ancho de banda que soporte el flujo de información

Externo 5 Caída en el servicio telefónico

4 2 ALTO Contrato de mantenimiento y soporte de la planta telefónica

Externo 6 Caída de servicios por virus informático

2 3 MODERADO Renovación Licencia Sistema antivirus

Realizar copias de seguridad

Externo 7 Suspensión del servicio por incendio o sismo.

3 5 EXTREMO Realizar copias

de seguridad

Tener vigente la póliza de


Serie:


Página 11 de 1


seguro

Interno 8 Retrasos en el Proceso precontractual de la DTB en contratos relacionados con la infraestructura tecnológica

3 3 ALTO Realizar una adecuada planeación e identificación de las necesidades

Interno 9 Contratación sin asistencia técnica, soluciones Inadecuadas o incompatibilidad frente a los requerimientos y recursos disponibles

2 3 MODERADO

Interno 10 Pérdida de información considerada confidencial o de reserva por robo, alteración o extracción

5 4 EXTREMO

Equipo Cortafuegos

Sistema antivirus en todos los equipos de cómputo y servidores

Copias de seguridad

Interno 11

Falla técnica en equipos servidores, de escritorio o de comunicaciones

5 3 EXTREMO Mantenimiento preventivo y correctivo del software de los equipos. Copias de seguridad

Interno 12 Falla técnica en sistemas de información.

5 4 EXTREMO Copia de respaldo de las bases de datos y aplicaciones

Contrato de soporte y mantenimiento


Serie:


Página 12 de 1


con el proveedor del software

Interno 13 Ausencia de personal de la Oficina Asesora de sistemas que brindan soporte y mantenimiento a los a los sistemas de información.

1 3 MODERADO Manuales técnicos de los aplicativos críticos entre ellos: Sistema Misional Sistema ERP

Plan de mantenimiento preventivo y correctivo con soporte técnico y de manejo del

Aplicativo Contrato de soporte y mantenimiento con el proveedor del software

Interno 14

Mal uso de hardware y/o software por parte de los funcionarios

3 2 MODERADO Capacitaciones sobre el uso adecuado de del hardware y software de la DTB

Interno 15 Calentamiento del centro de cómputo

3 5 EXTREMO Mantenimiento del aire acondicionado en el centro de cómputo

Aire acondicionado de soporte

4.4. Inventario De Equipos Y Sistemas De Información 4.5. Actividades Del Plan Según El Riesgo Como se determinó anteriormente, los riesgos que se tendrán en cuenta en el Plan de Contingencias de TI son los riesgos calificados como Extremos y Altos

(R1) Modificación a la normatividad

Áreas afectadas Toda la DTB


Serie:


Página 13 de 1


Descripción La Dirección de tránsito de Bucaramanga posee dos sistemas de información que impactan la operación y la prestación de servicios de cara al ciudadano (el sistema financiero ERP y el sistema Misional) que se pueden ver afectado por cambios en la legislación o en la normatividad que estamos obligados a cumplir El riesgo de modificaciones a la normatividad tiene un impacto Alto debido a que los aplicativos de la DTB, pueden necesitar la implementación de nuevos requerimientos

Control Contrato de soporte y mantenimiento con el proveedor del software

Pasos a seguir durante la contingencia

1. Levantar los nuevos requerimientos conforme a los cambios en la normatividad.

2. Establecer los tiempos de desarrollo junto con el proveedor del sistema.

3. Recibir los cambios por parte del proveedor del software.

4. Realizar las pruebas según corresponda verificando la funcionalidad y el cumplimiento de los requerimientos

5. Desplegar y capacitar a los usuarios acerca de los cambios realizados.

(R3) Caída o interrupción del sistema eléctrico


Descripción Corresponde al corte del servicio de energía eléctrica por una falla externa o mantenimiento realizado por el proveedor del servicio, corte eléctrico que genera interrupción del funcionamiento de los equipos donde se alojan los aplicativos críticos de la DTB, que puede dejar los servicios y aplicativos inoperantes.

Control Contrato de mantenimiento de sistema de suministro de energía ininterrumpida y planta eléctrica La DTB cuenta con tres (3) UPS dos de 6 KVA y una de 22 KVA, cada una con una autonomía de 10 minutos, para asegurar el suministro eléctrico en las estaciones de trabajo consideradas como críticas y servidores. La autonomía de la UPS no debe ser menor a 10 minutos. Revisiones periódicas de los equipos UPS para asegurar su correcto funcionamiento. Verificar con el encargado de mantenimiento el óptimo funcionamiento de la planta eléctrica Verificar que el encargado de la planta eléctrica tenga disponible el combustible necesario para su óptimo funcionamiento


1 Verificar que la planta se activó ante un corte de energía. 2 Verificar el funcionamiento de las UPS, estos dos pasos

deberían garantizar el suministro de energía hasta que se restablezca el servicio.

3 Si la planta falla y se denota que el corte de luz será superior a 10 minutos tiempo de autonomía de las UPS informar a todas las áreas para que procedan a guardar los archivos abiertos y apagar los equipos.


Serie:


Página 14 de 1


4 Proceder a bajar los servicios de red e internet para proteger los servidores y equipos de red.

(R4) Caída del canal de internet


Descripción Fallas técnicas por parte del proveedor del servicio de internet, lo que ocasionaría suspensión de los servicios de correo y de los aplicativos críticos de la DTB.

Control Contrato del servicio del canal de internet con UNE mínimo 100 Megas de capacidad Contrato del servicio del canal de internet de Backup con MOVISTAR mínimo 100 Megas de capacidad


1 Verificar el canal del servicio. 2 Activar el canal de soporte o Backup. 3 Informar al proveedor acerca de la falla. 4 Una vez que el proveedor solucione el problema restablecer el

canal.

(R5) Caída en el servicio telefónico


Descripción Riesgo externo correspondiente a la suspensión del servicio por daños o fallas en el software o hardware de telefonía IP, que de presentarse genera la ausencia de comunicación telefónica en la DTB.

Control Contrato de mantenimiento y soporte de la planta telefónica Realizar mantenimiento preventivos periódicos


1 Verificar si el daño es externo o interno 2 Reportar al proveedor del servicio la falla

(R7) Suspensión del servicio por incendio o sismo


Descripción Hace referencia al riesgo que corre la DTB en caso de presentarse un evento de sismo, inundación o incendio que afecte la infraestructura tecnológica de los sistemas de información críticos, generando suspensión total o parcial del funcionamiento o de la prestación de un servicio de red, inoperancia de los sistemas o inestabilidad de los mismos.

Control Realizar copias de seguridad Tener vigente la póliza de seguro


• En caso de Incendio

1 Mantener conexiones electicas seguras. 2 Solicitar capacitaciones al área de talento humano en el manejo

de extintores. 3 Acatar las indicaciones de la brigada de emergencia.


Serie:


Página 15 de 1


4 Tener una relación de teléfonos de emergencia que incluya a los bomberos, ambulancias, y personal de la brigada responsable de las acciones de prevención y ejecución de la contingencia.

5 Mantener actualizados la recarga de los extintores. 6 Desconectar el fluido eléctrico del centro de cómputo y de toda

la DTB si es necesario, así como cerrar las llaves de paso de gas.

7 Evacuar las oficinas de acuerdo a las disposiciones de la Brigada.

8 Esperar que los organismos de socorro y emergencia actúen 9 Una vez superado el evento realizar una inspección y evaluar

los daños 10 Realizar un informe y tomar el registro fotográfico como soporte

ante una reclamación a la aseguradora. 11 En caso de tener equipos en estado de operatividad buena,

alistarlos y ponerlos en funcionamiento, priorizar el funcionamiento de equipos primero servidores y luego equipos de cómputo de acuerdo con las necesidades de la DTB habilitar las áreas de prestación de servicios de cara al ciudadano

• En caso de sismo

1 Realizar el plan de evacuación siguiendo las recomendaciones de la brigada de emergencias

2 Participar en los simulacros de evacuación. 3 Mantener las salidas libres de obstáculos. 4 Señalizar todas las salidas y rutas de evacuación. 5 Mantener las zonas de trabajo en orden y limpias para facilitar la

evacuación 6 Una vez superado el evento realizar una inspección y evaluar

los daños 7 Realizar un informe y tomar el registro fotográfico como soporte

ante una reclamación a la aseguradora. 8 En caso de tener equipos en estado de operatividad buena,

alistarlos y ponerlos en funcionamiento, priorizar el funcionamiento de equipos primero servidores y luego equipos de cómputo de acuerdo con las necesidades de la DTB habilitar las áreas de prestación de servicios de cara al ciudadano

(R8) Retrasos en el proceso precontractual de la DTB en contratos relacionados con la infraestructura tecnológica


Descripción Corresponde a retrasos en el proceso precontractual de la DTB en contratos relacionados con la infraestructura tecnológica, por fallas del proceso de contratación, Lo que puede ocasionar Inoperancia de los sistemas de información, desactualización de los sistemas de información o fallas en la prestación de servicios de impresión.

Control Realizar una adecuada planeación e identificación de las necesidades


Serie:


Página 16 de 1


Realizar mantenimiento preventivo a las impresoras de propiedad de la DTB en caso de tener que ponerlas en servicio


• Mantener activos los canales de comunicación y soporte virtual con los proveedores del software.

• Informar a la dirección acerca de la inconveniencia y de los riesgos asociados a la falta de soporte y mantenimiento por parte de los proveedores de los sistemas de información e infraestructura

• En caso de no tener activo el contrato de impresión y escáner, poner en funcionamiento las impresoras de la DTB y suministrar los tóner hasta que se realice el contrato.

(R10) Pérdida de información considerada confidencial o de reservada por robo, alteración o extracción


Descripción consiste en el robo, alteración o extracción de la información que es considerada confidencial o clasificada como reservada por deficiencia en las políticas de seguridad o configuración ineficiente del cortafuegos de la DTB. Al materializarse, el impacto es negativo ya que puede ocasionar demandas y sanciones y deteriorar la imagen institucional

Control Equipo Cortafuegos

Sistema antivirus en todos los equipos de cómputo y servidores Copias de seguridad Crear políticas de seguridad y acceso a la información


1. Mantener vigente el contrato para el antivirus para el servidor y todos los equipos de cómputo, que garantice el soporte y mantenimiento de la plataforma

2. Mantener actualizada la base de datos del antivirus

3. Revisar periódicamente la consola y los reportes de incidentes

4. Verificar el estado y configuración del equipo contrafuegos

5. Mantener actualizadas las copias de seguridad

6. Realizar mantenimiento preventivo a los equipos de cómputo verificando que no tengan instalado software ajeno a la DTB

7. En caso de encontrar una inconsistencia en la información

• Recopilar la evidencia

• Realizar el informe adjuntando todas las evidencias

• Entregar el informe a la dirección y control interno 8. Determinar las causas por las cuales se presenta la

inconsistencia 9. Si es una falla en el sistema reportarla al proveedor para que

se realicen los arreglos pertinentes 10. Exigir al proveedor la trazabilidad de la información 11. Desactivar los usuarios inactivos ya sea por retiro o

terminación del contrato. 12. Exigir que los sistemas de información tengan módulo de

administración donde se puede crear usuarios y perfiles


Serie:


Página 17 de 1


(R11) Falla técnica en equipos servidores, de escritorio o de comunicaciones


Descripción daño físico o lógico de un equipo servidor, de escritorio o de comunicaciones que afecta el funcionamiento de un sistema de información crítico o de servicio por una falla en los equipos o por mal uso por parte de los usuarios que hace que el servicio quede inoperante o inestable

Control Mantenimiento preventivo y correctivo del software y de los equipos. Copias de seguridad Mantener un contrato vigente para el soporte y mantenimiento de los servidores Mantener vigente la póliza de seguros


1. En caso de falla del servidor principal activar el servidor de respaldo.

2. Dado que los equipos de computo y sistemas de información con tienen periodos cortos de vida mantener un programa de reposición de equipos y actualización de los sistemas de información

3. Tener equipos disponibles de soporte para cambiarlos en caso de un fallo del equipo, realizando una copia de seguridad y restaurándola en el equipo de soporte

4. Realizar el mantenimiento correctivo del equipo que presento la falla

(R12) Falla técnica en sistemas de información


Descripción Corresponde al riesgo de presentarse errores de lógica en programación o incompatibilidad entre software que afectan a los sistemas de información que genera inoperancia o inestabilidad de los sistemas de información

Control Copia de respaldo de las bases de datos y aplicaciones Contrato de soporte y mantenimiento con el proveedor del software


1. Revisar el aplicativo para determinar la falla presentada.

2. Contactar al proveedor del servicio de mantenimiento y soporte para reportar la falla.

3. Diligenciar el formato de mantenimiento a aplicativos del procedimiento correspondiente.

4. Hacer pruebas al aplicativo una vez entregada la solución por el proveedor, en ambiente de pruebas

5. Realizar copia de la base de datos del aplicativo que está en funcionamiento como contingencia.

6. Restaurar la copia de seguridad más reciente del aplicativo afectado en el servidor inicial.

7. Verificar los permisos sobre el aplicativo.

8. Informar a los usuarios la ruta del servidor del aplicativo.


Serie:


Página 18 de 1


CONTROL DE CAMBIOS

VERSION FECHA DE

APROBACIÓN FECHA DE

IMPLEMENTACIÓN DESCRIPCION DEL CAMBIO

01 16 de mayo de 2019 16 de mayo de 2019 Emisión inicial.

ACTA DE APERTURA Y CIERRE DE AUDITORIA › files › 2019 › ...4.2. Identificación y...

Documents

Transcript of ACTA DE APERTURA Y CIERRE DE AUDITORIA › files › 2019 › ...4.2. Identificación y...