manual de continuidad tecnolÓgica para la … · gestión de continuidad de negocio (bcm): proceso...

*2017300005893* Al responder por favor cítese este número

Radicado No 2017300005893 Medellín, 29/09/2017

1

CONTRALORÍA GENERAL DE ANTIOQUIA

MANUAL DE CONTINUIDAD TECNOLÓGICA PARA LA CONTRALORÍA GENERAL DE ANTIOQUIA

Responsable de Revisión

LUIS CARMELO CATAÑO CATAÑO DIRECCIÓN DE SISTEMAS DE BUEN GOBIERNO Y LAS TIC

Responsable de Aprobación COMITÉ DE GOBIERNO EN LÍNEA

Responsables de la elaboración: Director de Sistemas del Buen Gobierno y de las Tics

NANCY ESTELLA GARCÍA OSPINA Profesional Especializado

Versión 01

Agosto de 2017



2

CONSIDERACIONES PRELIMINARES

a). Que la Contraloría General de Antioquia es una entidad de carácter técnico

con autonomía presupuestal y administrativa.

b). Que la Ley 872 de 2003, establece la obligatoriedad de poner en funcionamiento el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios, norma que se hizo extensiva a la Contraloría General de Antioquia, mediante Ordenanza 24 de 2003.

c). Que el Decreto Nacional 2145 de 1999, establece en su artículo 13 como responsabilidad de todos los niveles y áreas de la organización en ejercicio del autocontrol, documentar y aplicar los métodos, metodologías, procesos y procedimientos y validarlos constantemente con el propósito de realizar los ajustes y actualizaciones necesarias de tal manera que sean el soporte orientador fundamental, no sólo para el cumplimiento de sus funciones asignadas, sino para el cumplimiento de las metas y objetivos establecidos tanto en el Plan Estratégico Corporativo como en los Planes de Acción.

d). Que la Arquitectura TI Colombia, le permite al Estado ser más eficiente al unir los esfuerzos de sus entidades y se basa en el Marco de Referencia que alinea la Gestión TI con la estrategia del Estado.

e). Que todas las entidades públicas deben adoptar el Marco de Referencia de Arquitectura Empresarial para la Gestión de TI como el principal instrumento para implementar la Arquitectura TI de Colombia y habilitar la estrategia de Gobierno en línea.

f). Que el Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC a través de la Dirección de Estándares y Arquitectura de TI y la Subdirección de Seguridad y Privacidad de TI, dando cumplimiento a sus funciones; publica El Modelo de Seguridad y Privacidad de la Información (MSPI), el cual se encuentra alineado con el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros componentes de la Estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gestión.

g). Que el Marco de Referencia es el principal instrumento para implementar la Arquitectura TI de Colombia y habilitar la Estrategia de Gobierno en línea. Con él se busca habilitar las estrategias de TIC para servicios, TIC para la gestión,



3

TIC para el gobierno abierto y por último Seguridad y la privacidad de la Información.

h). Que los ejes temáticos de la estrategia de Gobierno en Línea esta divididos en:

TIC para el Gobierno Abierto: Busca construir un Estado más transparente y colaborativo, donde los ciudadanos participan activamente en la toma de decisiones gracias a las TIC.

TIC para servicios: Busca crear los mejores trámites y servicios en línea para responder a las necesidades más apremiantes de los ciudadanos.

TIC para la gestión: Busca darle un uso estratégico a la tecnología para hacer más eficaz la gestión administrativa.

Seguridad y privacidad de la información: Busca guardar los datos de los ciudadanos como un tesoro, garantizando la seguridad de la información.

i). Que dentro del Modelo de Seguridad y Privacidad de la Información se

encuentra el proceso para implementar la Gestión de Continuidad Tecnológica en caso de ocurrencia de incidentes y la forma en que estamos preparados para afrontarlos.

j). Que la Estrategia de Tecnología de Información -TI- se creó como respuesta a la necesidad del Estado Colombiano de disponer de un modelo para la gestión de la Tecnología y de la Información encaminado a maximizar los beneficios y ofrecer mejores servicios a las personas y a las instituciones, de manera más eficiente y transparente.

k). Que el Manual de Continuidad Tecnológica para la Contraloría General de Antioquia se constituye como uno de los elementos del ámbito de Direccionamiento Estratégico de la Estrategia TI y para el cumplimiento de la Estrategia de Gobierno en Línea, en concordancia con el Decreto 1078 de 2015” Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones”.

l). Que conforme a las anteriores consideraciones los presentes miembros del Comité de Gobierno en Línea deciden: Adoptar el Manual de Continuidad Tecnológica para la Contraloría General de Antioquia como se describe a continuación. (Ver siguiente página).



4

Contenido Introducción ....................................................................................................................................... 7

Objetivo general ................................................................................................................................ 7

Objetivos específicos ....................................................................................................................... 8

Alcance............................................................................................................................................... 8

Definiciones ....................................................................................................................................... 8

Normatividad ................................................................................................................................... 23

Sistema de Gestión de Continuidad Tecnológica ..................................................................... 24

Política del Sistema de Continuidad Tecnológica de la Contraloría General de Antioquia 26

Objetivo ........................................................................................................................................ 26

Declaración de la política .......................................................................................................... 26

Alcance/Aplicabilidad ................................................................................................................. 27

Nivel de cumplimiento ................................................................................................................ 27

Compromiso de la Alta Dirección ......................................................................................... 28

Estructura de la Gestión de la Continuidad Tecnológica ......................................................... 28

Grupo Administrador de Plan de Continuidad Tecnológica. ................................................ 28

Infraestructura Actual ..................................................................................................................... 30

Esquema General de la Red de Datos ................................................................................... 30

Servidores .................................................................................................................................... 31

Conectividad ................................................................................................................................ 33

LAN CGA ................................................................................................................................. 33

Red Inalámbrica ...................................................................................................................... 33

Flujo De Tráfico ....................................................................................................................... 35

Topología De La Red Física ................................................................................................. 36

Mapa de calor inalámbrica CGA .......................................................................................... 37

Estaciones de trabajo de usuario final .................................................................................... 37

Software ....................................................................................................................................... 38

Sistemas de Información ........................................................................................................... 38

Gestión del Riesgo de TI ............................................................................................................... 45

Análisis de riesgos de TI ........................................................................................................... 46



5

Identificación Del Riesgo de TI ............................................................................................. 47

Identificación De Los Activos de TI ...................................................................................... 47

Identificación De Las Amenazas de TI ................................................................................ 47

Identificación De Las Vulnerabilidades de TI ..................................................................... 50

Matriz de Amenazas y Vulnerabilidades de TI................................................................... 50

Evaluación del Riesgo de TI ..................................................................................................... 52

Matriz de Riesgos de TI para la Contraloria General de Antioquia ................................ 53

Control de Riesgos de TI ............................................................................................................... 54

Procedimientos Preventivos. ........................................................................................................ 55

Objetivos ...................................................................................................................................... 55

Método ......................................................................................................................................... 56

Grupo De Riesgos ...................................................................................................................... 56

Listado de Procedimientos Preventivos .................................................................................. 58

Procedimientos Preventivos Generales .............................................................................. 58

Procedimientos Preventivos para el Sistema de Energía Regulada .............................. 61

Procedimientos Preventivos para el Cableado Estructurado Horizontal ....................... 62

Procedimientos Preventivos para los Servidores .............................................................. 63

Procedimientos Preventivos para los Swiches .................................................................. 69

Procedimientos Preventivos para los elementos de la red WAN.................................... 70

Procedimientos Preventivos para estaciones de usuarios y tarjetas de red ................. 71

Procedimientos Preventivos para el Entorno Físico ......................................................... 73

Procedimientos Preventivos a desarrollar ante una falla o carencia de uno de los

servicios corporativos que se prestan a través de la red ................................................. 76

Procedimientos Correctivos .......................................................................................................... 78

Objetivos ...................................................................................................................................... 78

Método ......................................................................................................................................... 79

Grupos De Riesgos .................................................................................................................... 79

Listado de procedimientos correctivos .................................................................................... 79

Procedimientos Correctivos Generales............................................................................... 79

Procedimientos correctivos para Switche ........................................................................... 80

Procedimientos correctivos para Servidores ...................................................................... 82



6

Procedimientos correctivos para Estaciones de Trabajo ................................................. 89

Procedimientos correctivos para Cableado Horizontal ..................................................... 91

Manual de Sistemas ....................................................................................................................... 92

Bibliografía ....................................................................................................................................... 92



7

MANUAL DE CONTINUIDAD TECNOLÓGICA PARA LA CONTRALORÍA GENERAL DE ANTIOQUIA

Introducción El desarrollo del manual es basado en el Modelo de Seguridad y Privacidad de la Información expuesto por el Ministerio de Tecnologías de la Información y las Comunicaciones, el cual recopila las mejores prácticas para suministrar requisitos para el diagnóstico, planificación, implementación, gestión y mejoramiento continuo; lo anterior teniendo en cuenta las necesidades y objetivos, los requisitos de seguridad, los procesos misionales, el tamaño y estructura de la Contraloría General de Antioquia – CGA-. De esta forma, se da cumplimiento al Decreto Único reglamentario 1078 de 2015 en el componente de Seguridad y Privacidad de la Información como parte integral de la estrategia GEL. La Administración del Manual de Continuidad Tecnológica, es la política que la CGA implementa para responder organizadamente a eventos que interrumpen la normal operación de sus procesos y que pueden generar impactos sensibles en el logro de los objetivos. Esta herramienta establece los parámetros que permiten minimizar el impacto y recuperación por perdida de activos de información, hasta un nivel aceptable mediante la combinación de controles preventivos, de recuperación, que nos permita garantizar la restauración oportuna de las operaciones esenciales. El manual ayudara a la CGA a estar preparada para responder en forma adecuada y oportuna, de esa manera se reduce de manera significativa un daño potencial que pueda ser ocasionado por incidentes. Los procesos incluidos en este manual, se convierten en la base para implementar controles en la Información misional de la CGA, ofreciendo elementos de control de prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal.

Objetivo general Asegurar que la CGA responda en forma efectiva ante cualquier serie de situaciones que afecten el normal funcionamiento de las operaciones misionales, permitiendo dar continuidad a los servicios que presta la CGA tanto a los usuarios internos como externos en el menor tiempo posible.



8

Objetivos específicos

Definir los procedimientos preventivos y correctivos, que permitan prevenir las eventualidades en las operaciones de los bienes informáticos y corregir en forma oportuna cualquier anormalidad que afecte su correcto funcionamiento.

Determinar mediante un análisis de riesgos de una manera precisa cuales son los riesgos a los que se encuentra más expuesta la Red Corporativa.

Reevaluar los controles existentes que sean considerados poco efectivos o no sean aplicables.

Presentar recomendaciones que permitan disminuir la probabilidad de ocurrencia de una eventualidad y definir los procedimientos preventivos resultantes de estas recomendaciones.

Listar las posibles fallas que se pueden presentar en el funcionamiento del hardware y software que conforman la plataforma tecnológica.

Alcance El plan de Continuidad Tecnológica define el marco general de los procedimientos preventivos y correctivos que permiten reducir el impacto en las operaciones normales de la plataforma tecnológica, (hardware o software) cuando estas sean interrumpidas parcial o totalmente con el fin de garantizar la continua operatividad de los bienes informáticos y la minimización del tiempo de recuperación y puesta a punto cuando se presenten imprevistos que obliguen la reinstalación total o parcial, tanto de hardware como de software. Adicionalmente define los procedimientos de actualización del plan, bien sea por la adquisición de nuevos recursos, la actualización tecnológica de los existentes y la adición o modificación de los procedimientos preventivos y correctivos.

Definiciones Sitio alterno: Ubicación alterna de operaciones seleccionada para ser utilizada por una organización cuando las operaciones normales no pueden llevarse a cabo utilizando las instalaciones normales después de que se ha producido una interrupción.



9

Gestión de continuidad de negocio (BCM): Proceso general de gestión holístico que identifica amenazas potenciales a una organización y el impacto que se podría causar a la operación de negocio que en caso de materializarse y el cual provee un marco de trabajo para la construcción de la resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de las partes interesadas claves, reputación, marca y actividades de creación de valor. Plan de Continuidad de Negocio: Procedimientos documentados que guían orientan a las organizaciones para responder, recuperar, reanudar y restaurar la operación a un nivel pre-definido de operación debido una vez presentada / tras la interrupción. Nota: Típicamente, esto incluye los recursos, servicios y actividades necesarios para garantizar la continuidad de las funciones críticas del negocio. [Fuente: ISO 22301] Análisis del impacto al negocio (BIA por sus siglas en inglés): Proceso del análisis de actividades las funciones operacionales y el efecto que una interrupción del negocio podría tener sobre ellas. [Fuente: ISO 22300] Nivel de Criticidad: Descripción cualitativa usada para enfatizar la importancia de un recurso, proceso o función que debe estar disponible y operativa constantemente o disponible y operativa al menor tiempo posible después de que un incidente, emergencia o desastre ocurra. Interrupción: Incidente, bien sea anticipado (ej. huracanes) o no anticipados (ej. Fallas de potencia, terremotos, o ataques a la infraestructura o sistemas de tecnología y telecomunicaciones) los cuales pueden afectar el normal curso de las operaciones en alguna de las ubicaciones de la organización. Recuperación de desastres de tecnología y telecomunicaciones (ITCTIC): Habilidad Capacidad de los elementos de tecnología y telecomunicaciones (ITC) de las TIC de la organización para soportar sus funciones críticas a un nivel aceptable dentro de un periodo predeterminado de tiempo después de una interrupción. Plan de recuperación de desastres de ICT LAS TIC (ICT DRP): Plan claramente definido y documentado el cual permite recuperar las capacidades de tecnología y Telecomunicaciones LAS TIC cuando se presenta una interrupción. Nota: En algunas organizaciones es llamado el plan de continuidad de tecnología y telecomunicaciones las TIC.



10

Modo de falla: Forma por la cual se observa una falla. Nota: Esta generalmente describe la manera en que la falla ocurre y su impacto para en la operación del sistema. Preparación de las ICT TIC para la continuidad de negocio (IRBC): Capacidad de una organización para soportar sus operaciones de negocio mediante la prevención, detección y respuesta a una interrupción así como la recuperación de sus servicios de ICTTIC. Objetivo mínimo de continuidad de negocio (MBCO): Mínimo nivel de productos y/o servicios que es aceptable para que la organización alcance sus objetivos de negocio durante una interrupción. Punto objetivo de recuperación (RPO): Punto en el tiempo en el cual los datos deben ser recuperados después de que una interrupción ocurra. Punto Tiempo objetivo de tiempo de recuperación (RTO): Periodo de tiempo en el cual los mínimos niveles de productos y/o servicios y los sistemas, aplicaciones, o funciones que los soportan deben ser recuperados después de que una interrupción ocurra. Resiliencia: Habilidad Capacidad de una organización para resistir cuando es afectada o al ser afectada por una interrupción. Disparador o detonante: Evento que hace que el sistema inicie una respuesta. Nota: También conocido como evento activador. Registro vital: Registro electrónico o en papel que es esencial para preservar, continuar o reconstruir las operaciones de una organización y proteger los derechos de una organización, sus empleados, sus clientes y sus partes interesadas. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso2. Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza



11

ocurra y afecte los intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre otros. Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad. Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación física a personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicación de controles. Actividad: Proceso o conjunto de procesos desarrollados por la organización que produce 0 soporta uno o más productos y servicios. Auditoría: Proceso para obtener evidencia y evaluarla objetivamente para determinar el grado en que requerimientos específicos han sido alcanzados. Nota 1. Una auditoría puede ser interna o externa y puede ser una auditoría combinada. Nota 2. "Evidencia de Auditoría" y "criterio de auditoría" se definen en ISO 19011. Continuidad del Negocio: Capacidad de la organización de continuar entregando productos y servicios a niveles aceptables predefinidos después de un evento alterador. Gestión de Continuidad del Negocio: Proceso de gestión que provee un marco conceptual para crear una salvaguarda a los objetivos de la organización incluyendo sus obligaciones.



12

Sistema de gestión de Continuidad del Negocio (SGCN): Parte del sistema general de gestión, que establece, implementa, opera, monitorea, revisa, mantiene y mejora la Continuidad Tecnológica. Nota: El sistema de gestión incluye estructura organizacional, políticas, actividades planeadas, responsabilidades, procedimientos, procesos y recursos. Plan de Continuidad del Negocio: Procedimientos documentados que guían a la organización a responder, recuperar, reanudar y restablecer a niveles predefinidos después de una alteración. Nota: Típicamente esto cubre recursos, servicios y actividades requeridas para asegurar la continuidad de funciones críticas. Programa de Continuidad del Negocio: Proceso activo de gestión y proceso de gobierno apoyado por la alta gerencia con recursos apropiados para implementar y mantener la gestión de la Continuidad Tecnológica. Business Impact Analysis: Proceso de análisis de funciones organizacionales y el efecto de una interrupción en ellas, Fuente: ISO 22300 Competencia: Habilidad demostrada en aplicar conocimiento y destrezas para alcanzar resultados predeterminados. Conformidad: Cumplir con un requerimiento. Mejora continua: Actividad para mejora del desempeño. Fuente: ISO 22300 Corrección: Acción para eliminar una no conformidad detectada. Fuente: ISO 22300 Acción correctiva: Acción para eliminar la causa de una no conformidad u otra situación no deseada y prevenir su recurrencia. Nota: En el caso de otro indeseable resultado, acción será necesaria para minimizar 0 eliminar las causas y reducir el impacto o prevenir su recurrencia. Fuente: ISO 22300 Documento: Información y su medio de soporte. Nota 1. El medio puede ser papel, medio magnético, electrónico o disco óptico, fotográfico o una combinación.



13

Nota 2. Conjunto de documentos, por ejemplo especificaciones y registros, frecuentemente llamados documentación. Información documentada: Información requerida para controlar y mantener en la organización y en el medio que la contiene. Nota 1. Información documentada puede estar en cualquier formato o en cualquier medio Nota 2. Información documentada se puede referir a:

El sistema gerencial incluyendo procesos relacionados. Información creada para que la Organización pueda operar. Evidencia de resultados alcanzados.

Efectividad: Grado en el cual actividades son realizadas y resultados planeados alcanzados. Fuente: ISO 22300 Evento: Ocurrencia o cambio de un conjunto de circunstancias. Nota 1. Un evento puede ser una o más ocurrencias y tener varias causas. Nota 2. Un evento puede consistir en algo que no ocurra. Nota 3. Un evento puede referirse a un incidente o accidente. Nota 4. Un evento sin consecuencias puede referirse a "casi incidente" Fuente: ISO 22300 Ejercicio: Instrumento para entrenar, evaluar, practicar y mejorar el desempeño y capacidades en un ambiente controlado. Nota 1. Los ejercicios pueden usarse para: validar políticas, procedimientos, capacitación y acuerdos interorganizacionales. Nota 2. Una prueba en un tipo único y particular de ejercicio, el cual incorpora una expectativa de aprobado ó desaprobado. Fuente: ISO 22300 Incidente: Situación que pudiera generar una alteración. Fuente: ISO 22300 Infraestructura: Sistema de facilidades, equipos y servicios necesarios para la operación de una organización. Parte interesada: Persona u organización que puede afectar, ser afectada o se percibe que puede ser afectada por una decisión 0 actividad.



14

Nota. Esto puede ser un individuo o grupo que tiene un interés en cualquier decisión o actividad de la organización. Auditoría interna: Auditoria conducida por o en representación de, la organización Nota: En muchos casos, particularmente en pequeñas organizaciones, la independencia puede ser demostrada por la libertad de la responsabilidad por la actividad auditada Invocación: Acto que consiste en declarar que una organización tiene que poner en efecto sus arreglos de Continuidad Tecnológica, para poder continuar haciendo entrega de sus productos o servicios. Sistema de gestión: Conjunto de elementos interrelacionados para establecer políticas, objetivos y procesos para alcanzar objetivos Nota 1. Un sistema de gestión puede atender una disciplina o varias. Nota 2. Los elementos del sistema incluyen la estructura organizacional, roles y responsabilidades. Nota 3. El alcance de un sistema de gestión puede incluir toda la organización, o funciones específicas. Máxima parada aceptable MAO: El tiempo que le tomará a impactos adversos convertirse en inaceptables para la organización Nota. Ver el MTPD Maximum tolerable period of disruption MTPD: El tiempo que le tomaría a impactos adversos convertirse en inaceptables. Medición: Proceso para determinar un valor. Minimum business continuity objective MBCO: El mínimo nivel de servicio o productos que es aceptable para la organización para poder alcanzar sus objetivos durante una alteración. Monitoreando: Determinando el estado de un sistema, proceso o actividad. Nota. Para determinar el estado puede presentarse la necesidad de chequear, supervisar o críticamente observar.



15

Acuerdo de ayuda mutua: Un acuerdo pre arreglado desarrollado entre dos partes a más entidades para dar asistencia a las partes del acuerdo. Fuente: ISO 22300 NO conformidad: No cumplimiento con requerimientos. Fuente: ISO 22300 Objetivo: Resultado deseado, planteado por la organización. Nota 1. Un objetivo puede ser estratégico, táctico u operativo. Nota 2. Los objetivos pueden relacionarse con distintas disciplinas. Y pueden aplicarse a diferentes niveles. Nota 3. Un objetivo puede expresarse en otras maneras. Ej: como un resultado esperado, criterio operacional, etc. Nota 4. En el contexto de gestión de la seguridad de la sociedad, los objetivos son desarrollados por la Organización, consistentes con la política de seguridad de la información, para poder alcanzar estos resultados específicos. Organización: Persona o grupo que tiene sus propias funciones con responsabilidades, autoridades y relaciones, para alcanzar sus objetivos. Nota 1. El concepto de organización incluye, pero no se limita solamente a una firma, autoridad, o institución. Nota 2. Para organizaciones con más de una unidad operativa, una unidad operativa puede ser definida como organización. Outsource: Realizar un arreglo, para que una unidad externa desempeñe parte de las funciones o procesos de una organización. Nota. Una organización externa esta fuera del alcance del sistema de gestión, de todas maneras, las funciones que se han tercerizado están dentro del alcance. Desempeño: Resultado medible. Nota 1. Desempeño puede estar relacionado a actividades, procesos, sistemas y productos. Nota 2. Desempeño incluye no sólo el resultado del progreso contra objetivos, pero puede también incluir el grado de implementación de un sistema de gestión. Evaluación del desempeño: Proceso de determinar resultados medibles Personal: Personas trabajando para o bajo el control de la organización.



16

Nota. El concepto de personal incluye, pero no es limitativo a empleados y personal a medio tiempo. Política: Intenciones y dirección de una organización formalmente expresada por la alta gerencia. Procedimiento: Manera específica de llevar a cabo una actividad o un proceso. Proceso: Conjunto de actividades interrelacionadas o interactivas que transforman insumos en resultados. Productos y servicios: Resultados provechosos, proveídos por una organización para sus clientes, y partes interesadas. Actividades priorizadas: Actividades a las cuales se les debe dar prioridad luego de la aparición de un incidente para poder mitigar los impactos. Nota. Términos usualmente usados son: críticas, esenciales, vitales, urgentes y claves. Fuente: IS022300 Registros: Declaración de resultados alcanzados o evidencia de actividades desempeñadas. Recovery point objective RTO: El punto en que la información utilizada para desempeñar una actividad debe ser recuperada para reanudar las operaciones. Nota. También puede referirse al máximo de pérdida de datos. Recovery time objective RTO:

Producto o servicio debe ser reanudado Actividad que debe ser reanudada Recursos que deben ser recuperados.

Nota. Para productos, servicios y actividades, el RTO debe ser menos que el tiempo que tomaría para que los impactos adversos que se presenten como consecuencia de no proveer productos o servicios o el desempeño de una actividad se convierta en inaceptable. Requerimiento: Necesidad o expectativa que es planteada, generalmente implícita u obligatoria. Nota 1. Generalmente implícita significa que es una práctica común de la organización y partes interesadas



17

Nota 2. Un requerimiento especificado es uno que es planteado por ejemplo en información documentada. Recursos: Todos los activos, personas, destrezas, información, tecnología, locales. Riesgo: Efecto de la incertidumbre y objetivos. Nota 1. U n efecto es la desviación de lo esperado. Positiva o negativa. Nota 2. Los Objetivos pueden tener distintos aspectos (financieros, salud y seguridad y objetivos medioambientales) y pueden aplicar a distintos niveles. Un objetivo puede ser expresado en diferentes maneras. Nota 3. El riesgo está siempre caracterizado en referencia a eventos específicos y consecuencias. Nota 4. El riesgo siempre esta expresado en términos o una combinación de las consecuencias o una combinación. Nota 5. Incertidumbre es el estado parcial, de la deficiencia de la información relacionada al entendimiento del conocimiento de un evento y sus consecuencias y posibilidad de ocurrencia Nota 6. En el contexto de un SGCN, los objetivos de la Continuidad Tecnológica, son elaborados por la organización de manera consistente con la política. Fuente: ISO/IEC Guía 73 Apetito al riesgo: Monto y tipo de riesgo que una organización está preparada a buscar, aceptar o tolerar. Evaluación del Riesgo: Proceso general de identificación del riesgo, análisis del riesgo y evaluación del riesgo. Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización en relación al riesgo Fuente: ISO Lineamiento 73. Pruebas: Procedimiento para evaluar, un medio de determinar la presencia, calidad o veracidad de algo. Nota 1. Prueba puede referirse a ensayo. Nota 2. Pruebas usualmente aplica a planes de apoyo. Fuente: ISO 22300 Alta gerencia: Persona o grupo de personas que dirige y controla una organización al más alto nivel. Nota 1. La alta gerencia tiene el poder de delegar autoridad y proveer recursos a una organización.



18

Nota 2. Si el alcance del sistema gerencial cubre sólo una parte de la organización entonces la alta gerencia se refiere a aquellos quienes dirigen y controlan esa parte de la organización. Verificación: Confirmación, a través de la provisión de evidencias que especifican requerimientos que han sido alcanzados. Ambiente laboral: Conjunto de condiciones bajo las cuales se desempeña el trabajo. Nota. Condiciones incluye: física, sociales, psicológicas y factores ambientales. Fuente: ISO 22300 Address Resolution: Sistema que permite la conversión de una dirección de Internet a la dirección física correspondiente. Arroba @: Es el famoso símbolo "@" utilizado en todas las direcciones de correo electrónico. Se utiliza como separador entre el nombre del usuario y el nombre de la máquina donde reside la cuenta. Bit: Es la unidad más pequeña de información que maneja la computadora Browser: Software que se utiliza para hacer uso de los recursos de Internet de manera gráfica en la WWW. Entre los más utilizados se encuentran el Netscape Navigator y el Microsoft Internet Explorer. Byte: Se utiliza para designar grupos de bits. Los más usados son múltiplos de 8, porque se pueden organizar en 256 formas únicas para formar un juego estándar de caracteres alfanuméricos y de control, así como símbolos especiales y de puntuación. CGI: Abreviación del término "Common Gateway Interface". El cual consiste en un programa que reside en el servidor y se ejecuta al ser llamado de una página HTML. Este programa puede recibir unos parámetros de la página, y devuelve los resultados una vez procesados. Puede servir, para salvar informaciones de visitantes en archivos, filtrar o discriminar los accesos a algunas páginas del site a través de una clave y realizar búsquedas. Chat: Es un servicio que permite a la persona establecer una interacción a través del computador con cualquier otro usuario de Internet



19

Ciberespacio: Término utilizado por primera vez por el escritor de ciencia ficción Williams Gibson en su novela fantástica Neuromancer para describir un mundo gobernado por las computadoras. Cliente: Se dice de aquellas acciones u operaciones que se efectúan "del lado del cliente", es decir, en la máquina del usuario conectado a Internet. Por ejemplo, los "applets" de Java son "client side", porque se ejecutan localmente. La contrapartida de este método es "server side". Conexión Dedicada: Conexión directa y permanente a un servidor o host con una dirección IP de un Internet Services Provider con velocidades de acceso digital y la asignación de un número IP que permite la configuración de una nueva red Internet y la conexión de otras computa doras cliente. Este tipo de conexiones es indicada para empresas con intensos requerimientos de telecomunicaciones y acceso a Internet así como volumen de usuarios. Conexión Dial Up: Es un tipo de conexión que nos permite el acceso vía telefónica a Intern et para lo cual requerimos tener una cuenta en un proveedor de acceso conectando nuestra computadora a través del módem y un software de comunicaciones que emula el discado así como los protocolos de acceso a la computadora del Internet Services Provider. Cookies: El "cookie" es un mecanismo utilizado en las aplicaciones que corren en el servidor ("server side") y que permite salvar y recuperar información en la máquina del cliente ("client side"). El servidor, al enviar como respuesta un objeto HTTP al cliente, puede incluir un código que es salvado en la máquina del mismo cliente. Este código contiene, entre otras informaciones, una lista de URL para los cuales el código debe activarse. Cualquier llamada futura a un URL que sea listado en el código "cookie", hará que el browser envíe de vuelta al servidor la información salvada en ese "cookie". DNS: Es un conjunto de bases de datos o método en Internet que permiten convertir el nombre de la dirección a su correspondiente número IP, con el fin de ser procesadas. Dominio: Es la dirección única de una computadora conectada a Internet. Cada dominio de se representa a través de cuatro números, separados por puntos. Un ejemplo de dirección es: 207.173.25.190, donde cada número de representa una sub -red del número anterior. Por ejemplo, el site "www.cybercity.com.ve" se puede llamar con este número. E-Mail: " Electronics Mail" abreviación en inglés de Correo Electrónico. Sistema que permite enviar y recibir mensajes a través de Internet.



20

Emoticones: Palabra adaptada literalmente del inglés "Emoticons" que es una contracción de dos palabras "Emotions" e "Icons" (emociones e íconos), es decir, imágenes que expresan emociones. Firewall: Sistema de seguridad utilizado como "cortafuegos" controlando los accesos de los usuarios extern os a una red local. Frame: Frame significa "cuadro" o división. Lo que hace disponible en los browsers más recientes, la posibilidad de dividir la pantalla en áreas independientes. Su site. Freeware: Software que se puede utilizar y distribuir de manera gratuita mientras se reconozcan los derechos de propiedad intelectual sobre el software. FTP: Protocolo de transferencia de archivos o "File Transfer Protocol" Es el sistema utilizado para transferir programas en la red. Existen dos métodos de acceso FTP: personalizado y anónimo lo que permite a los usuarios de Internet bajar programas desde cualquier servidor ya sea con acceso privado o público. Hipertexto: Es un lenguaje que nos permite realizar "links" o conexiones a otros documentos o a servidores remotos de páginas Web. Es el sistema generalmente usado en las páginas del WWW para navegar entre estas. Homepage: Página principal o de entrada a un "site" o sitio. En caso de páginas comerciales, generalmente el homepage contiene el logo de la empresa y conexiones con otras áreas. Host: Es el nombre genérico dado a un servidor conectado a la red. Se accesa a través de un número IP o a través de un nombre. HTML: Abreviación de "Hypertext Markup Language" o lenguaje de hipertexto que consiste en un conju nto de códigos especiales, llamados "tags", que permiten definir todos los parámetros de visualización de hipertexto, gráficos y aplicaciones en el WWW. HTTP: Abreviación de "Hypertext Transfer Protocol" o, en español, "Protocolo de Transferencia de Hipertexto". Es el tipo de comunicación utilizado entre un servidor y un visualizador de WWW. Por este motivo, las direcciones de las páginas web comienzan por "http://...". InterNIC: Organización encargada mundialmente de asignar los números y dominios en la Internet. La división se hace en función a factores geográficos y divisiones de organización.



21

IP: Abreviación de "Internet Protocol" o, en español "Protocolo de Internet". Es el protocolo de comunicaciones estándar entre dos computadores dentro de Internet. Java: Lenguaje de programación creado por Sun Microsystems, Inc., basado en clases y orientado a objetos. Los programas creados en Java, llamados "applets", se ubican en el servidor, pero son cargados a través de una llamada en HTML por el browser del usuario. Una vez cargados, se ejecutan en la computadora localmente, evitando así recargar el proceso del servidor. JavaScript: Es un lenguaje interpretado desarrollado por Sun Microsystems, Inc. junto con Netscape Corporation. Difiere de Java en que, el primero utiliza aplicaciones separadas del código HTML llamadas "applets", mientras que el segundo utiliza una serie de comandos intercalados en el código de la página. La ventaja básica de JavaScript consiste en su relativa sencillez, en tanto que el punto débil es que el código no es "seguro": estando intercalado en las mismas páginas, es perfectamente posible salvarlo y re-utilizarlo para otros fines. Plug in: Accesorio que se conecta al browser con el fin de visualizar o ejecutar aplicaciones adicionales de video, audio, 3D, comunicaciones telefónicas o multimedia por lo general de carácter gratuito y de acceso libre en la red. POP: Abreviación de "Postal Office Protocol" o "Protocolo de Oficina Postal". Este protocolo nos permite distribuir los mensajes de correo electrónico desde el servidor de Internet al computador del usuario ejemplo (Netscape Mail) RealAudio: Es un programa de archivos audio, es decir un "plug-in" para los más comunes browsers. Este sistema realizado por Progressive Networks, Inc., y permite escuchar sonidos en tiempo real. Secure Server: Servidor Seguro. Opción de seguridad que permite enviar información encriptada o codificada digitalmente a través de una clave, eliminando la posibilidad de que el mensaje sea "capturado" por terceros la dirección de los SS comienza por https://...". Server Side: Aplicaciones ejecutadas del lado del servidor y que permiten por lo general realizar programas de comunicaciones, de resolución de dominios, CGI o administración de cuentas de correo electrónico. Shareware: Es un método de distribución de programas de manera gratuita a través de Internet. En esta categoría cae todo software que puede ser distribuido y utilizado gratuitamente dentro de un período de tiempo limitado con el fin de probarlo.



22

Shockwave: Un interesante "plugin" realizado por Macromedia para visualizar aplicaciones de los programas Director, Freehand y Authorware. TI: Tecnologías de la Información. T1: Es un tipo de conexión que permite transferencias de hasta 1.5 Mb/seg. T3: Tipo de conexión que permite transferir hasta 45 Mb/seg. Generalmente estas conexiones de alta velocidad se utilizan para transferir grandes volúmenes de datos. En el caso práctico, un proveedor de hospedaje de páginas que ofrezca esta conexión permite que los sites se carguen más rápidamente, evitando la saturación de la línea. Talk: Permite mantener conversaciones interactivas en tiempo real con otro usuario de la Red. TCP/IP: (Transmission Control Protocol/Internet Protocol; Protocolo de Control de transmisión/Protoco lo Internet). Protocolos utilizados para la comunicación entre todos los dispositivos de Internet. Es un protocolo mediante el cual se comunican unos ordenadores con otros en Internet y es independiente de plataforma. Es decir, puede funcionar en cualquier ordenador, de manera que un Amiga puede comunicarse (cambiar datos) con un PC. Telnet: Protocolo de Unix que permite conectarse a una máquina remota y correr aplicaciones como si estuviera directamente conectado con ella. URL: Abreviación de "Uniform Resource Locator" o, en español, "Localizador de Recursos Uniforme". Es el formato usado para describir la dirección de cada página en la WWW. En práctica, es lo que Ud. tipea como "http://..." o "ftp://...". Website (sitio de red): Conjunto de páginas web que forman una unidad única. Incluso se puede tener un sitio web de una sola página, y es entonces cuando página web y sitio web se usan indistintamente. Debido a que es muy común confundir WWW: Abreviación de "World Wide Web" o, en español, "Telaraña de Alcance Mundial". También se le llama directamente "web". Es el conjunto de los "sites" del mundo presentes en Internet. Se visualiza con un "browser" y utiliza el protocolo HTML.



23

Normatividad El Manual de Continuidad Tecnológica se ciñe a la normatividad legal vigente colombiana y de las Buenas Prácticas establecidas por la ISO 22301.

Año

Emisión Emisor Norma Asunto

2016

Ministerio de

Tecnologías de la

Información y las

Comunicaciones

Modelo Guía Modelo de Seguridad y

Privacidad de la Información

2016

Ministerio de

Tecnologías de la

Información y las

Comunicaciones

Guía No. 7 Guía de Gestión de Riesgos

2015 Presidencia de la

República

Decreto 1078

del 26 de mayo

de 2015

Por medio del cual se expide

el Decreto Único

Reglamentario del Sector de

Tecnologías de la

Información y las

Comunicaciones

2012

Organización

Internacional de

Normalización y la

Comisión

Electrotécnica

Internacional.

ISO/IEC

22301:2012

Seguridad de la Sociedad:

Sistemas de Continuidad

Tecnológica - Requisitos

2011 Norma Técnica

Colombiana

NTC-ISO

27005

Tecnología de la Información,

Técnicas de seguridad

Gestión de Riesgos de

seguridad de la información.

2010 Ministerio de

Tecnologías de la

Información y las

Modelo Guía Guía para la preparación de

las TIC para la Continuidad



24

Año

Emisión Emisor Norma Asunto

Comunicaciones Tecnológica

2007

Norma Técnica

Colombiana -

ICONTEC

NTC-ISO/IEC

27002

Tecnología de la Información.

Técnicas de seguridad,

código de práctica para la

gestión de la seguridad de la

información.

2005 Estándar

Internacional ISO/IEC 27001

Tecnología de la Información.

Técnicas de seguridad,

Sistemas de gestión de

seguridad de la información -

Requerimientos

Sistema de Gestión de Continuidad de Negocio

Definición del Plan de Continuidad del Negocio: 1

Un Plan de Continuidad de Negocio (Business Continuity Plan, BCP) se puede

definir como la identificación y protección de los procesos y recursos del negocio

considerado críticos para sostener un desempeño aceptable, mediante la

identificación de potenciales amenazas, la definición de estrategias para su

eliminación, minimización o delegación y la preparación de procedimientos para

asegurar la subsistencia de los mismos al momento de concretarse dichas

amenazas.

Un BCP es una concepción gerencial más que técnica, ya que se basa en el

entendimiento de los procesos críticos de la Organización, de los elementos que

soportan su operación y el riesgo que representa la paralización parcial o total de

los mismos en términos de pérdidas financieras u oportunidades de negocio.

1 https://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin-advisory-edicion-09-2008.pdf

https://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin-advisory-edicion-09-2008.pdf



25

Las Compañías utilizan la tecnología de información como soporte a sus

transacciones administrativas y operativas, y en este sentido, el desarrollo del

BCP permitirá definir cómo se prepararán para evitar y afrontar situaciones de

crisis. Es por ello, que la alta gerencia como principal responsable de cumplir con

los objetivos del negocio, debe asumir el diseño, implantación y mantenimiento del

BCP como un elemento fundamental para el éxito de su gestión.

Según la norma ISO 22301 un Sistema de Gestión de Continuidad de Negocio

(SGCN) enfatiza la importancia de:

Entender la continuidad y necesidades de preparación y la necesidad de

establecer una política de gestión de continuidad y objetivos.

Implementando y operando controles y medidas para la gestión global de

los riesgos de continuidad.

Monitoreando y revisando el desempeño y efectividad del SGCN.

Mejora continuada basada en mediciones objetivas.

Según la Guía para la preparación de las TIC para la Continuidad de Negocio

(Guía No. 10) emitida por el Ministerio de las Tecnologías de la Información y las

Comunicaciones expone lo siguiente:

“La implementación de un proceso de preservación de la información pública ante

situaciones disruptivas, permite minimizar el impacto y recuperación por perdida

de activos de información de la organización, hasta un nivel aceptable mediante la

combinación de controles preventivos y de recuperación.

En este proceso es conveniente identificar los procesos críticos para el negocio e

integrar los requisitos de la gestión de la seguridad de la información de la

Continuidad Tecnológica con otros requisitos de continuidad relacionados con

aspectos tales como operaciones, personal, materiales, transporte e instalaciones.

Las consecuencias de eventos disruptivos (desastres, fallas de seguridad, perdida

del servicio y disponibilidad del servicio) se deberían someter a un análisis del

impacto del negocio (BIA). Se deben desarrollar e implementar un plan de

continuidad que permita garantizar la restauración oportuna de las operaciones

esenciales.

La correcta implementación de la gestión de la Continuidad de Negocio disminuirá

la posibilidad de ocurrencia de incidentes disruptivos y, en caso de producirse, la

organización estará preparada para responder en forma adecuada y oportuna, de



26

esa manera se reduce significativamente un daño potencial que pueda ser

ocasionado por ese incidente”.

Política del Sistema de Continuidad Tecnológica de la

Contraloría General de Antioquia La Alta Dirección de la CGA aprueba esta Política de Gestión de Continuidad Tecnológica como muestra de su compromiso y apoyo en el diseño e implementación de políticas eficientes que garanticen la Continuidad de Negocio, teniendo en cuenta el marco general del funcionamiento de la entidad, sus objetivos institucionales y sus procesos misionales.

Objetivo Definir los lineamientos a seguir, antes, durante y después de una interrupción en los servicios de la CGA, que respondan oportunamente ante eventos que afecten el normal funcionamiento de los mismos, así como gestionar la continuidad y restauración de sus procesos, buscando el mínimo impacto en el servicio.

Declaración de la política La Contraloría General de Antioquia se compromete a garantizar que todos los procesos misionales operen adecuadamente, bajo los principios de universalidad, continuidad, oportunidad, calidad y confiabilidad, para asegurar el servicio, mediante la implementación de un plan de continuidad de negocio. Para la aplicación del Plan de Continuidad de Negocio se establecen como elementos primordiales la protección de los activos de la CGA y la continuidad de los servicios. Se considera prioritaria la asignación de recursos humanos, financieros y materiales para asegurar el cumplimiento de la presente política, y la ejecución del plan de Continuidad de Negocio. Se asignará y capacitará a funcionarios de la Dirección de Sistemas de Buen Gobierno y las TIC para la gestión de la Continuidad de Negocio, con la firme convicción y compromiso de cumplir con la normativa vigente, así como con los requerimientos de nuestros usuarios.



27

Para los efectos del desarrollo del Plan de Continuidad de Negocio se tomará como referencia la norma ISO 22301, La Guía para la preparación de las TIC para la Continuidad de Negocio emitida por el Ministerio de las Tecnologías de la Información y las Comunicaciones (MinTIC), con el fin de asegurar la mejora continua y contar con un marco normativo que permita acceder a las mejores prácticas ya definidas en dicha norma, utilizadas a nivel mundial.

Alcance/Aplicabilidad Esta política aplica a todas las dependencias de la entidad, funcionarios con participación en los procesos críticos, contratistas y terceros de la Contraloría General de Antioquia.

Nivel de cumplimiento Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento un 100% de la política. A continuación se establecen las políticas de Continuidad de Negocio que

soportan el SGCN de la Contraloría General de Antioquia:

La Contraloría General de Antioquia velará por la aplicación de la presente

política de Continuidad de Negocio.

La Contraloría General de Antioquia validará los procesos críticos que se

deban considerar en el Plan de Continuidad de Negocio, así como la

estimación del tiempo máximo que puede soportar la CGA con la interrupción

del servicio, producto del incidente que se presente.

Las responsabilidades frente al Plan de Continuidad de Negocio serán

definidas, compartidas, publicadas y aceptadas por cada uno de los

empleados, contratistas o terceros. Dicho plan será documentado y probado

con el fin de responder ante una emergencia de manera adecuada, logrando

así el mínimo impacto en los servicios.

La Contraloría General de Antioquia asegurará que las funciones y

responsabilidades detalladas en el plan de Continuidad de Negocio, se asignen

al personal idóneo para la atención de los incidentes.

La Contraloría General de Antioquia velará porque se cumpla con los planes de

capacitación al personal, tanto titular como sucesor en los roles que debe

desempeñar en caso de incidentes.

La Contraloría General de Antioquia asegurara que se mantenga actualizada la

evaluación de proveedores para los procesos críticos.



28

La Contraloría General de Antioquia asegurará que ante cambios significativos

en los procesos de la entidad, se actualice el plan de Continuidad de Negocio.

Compromiso de la Alta Dirección

La Alta Dirección debe demostrar liderazgo con respecto al SGCN motivando y apoderando a los funcionarios de la CGA para que contribuir con la efectividad del sistema, a través de:

Mantener y tener actualizada la política de Continuidad de Negocio en la CGA.

Asegurar que los Objetivos del SGCN y planes se hayan establecido.

Establecer los roles, responsabilidades y competencias para la gestión de la Continuidad de Negocio.

Asignar una o más personas responsables del SGCN con la apropiada autoridad y competencias para ser responsable por la implementación y mantenimiento del SGCN.

Asegurar que el SGCN es compatible con la dirección estratégica de la CGA.

Integrar los requerimientos del SGCN en los procesos de la entidad.

Proveer los recursos para establecer, implementar, mantener y continuamente mejorar el SGCN (ver 7.1);

Comunicar la importancia de la efectividad del SGCN y conformidad con los procesos del SGCN.

Desarrollar efectivas revisiones gerenciales para asegurar que el SGCN alcanza sus resultados esperados.

Dirigir y apoyar la mejora continua.

Estructura de la Gestión de la Continuidad de Negocio Para asegurar una adecuada administración de la Continuidad de Negocio se estableció una estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de Proceso, como de la Alta Dirección. Esa administración está conformada por:

Grupo Administrador de Plan de Continuidad de Negocio. Para que el plan de Continuidad de Negocio tenga éxito se debe mantener el Comité Operativo de la DSBG-TIC. Este grupo tendrá unas funciones específicas tanto antes como durante la contingencia, de esta manera el personal estará plenamente ubicado y sabrá cómo actuar en caso de alguna emergencia que ponga en riesgo el buen funcionamiento de la plataforma de Tecnológica.



29

El Comité Operativo de la DSBG-TIC será el encargado de realizar monitoreo constante y presentará informes al Comité GEL cada vez que se den cambios en plan de continuidad. Integrantes:

Profesional Especializado

Profesional Universitario

Auxiliar Administrativo

Director Técnico de la DSBGTIC Funciones Generales:

Formular el Plan de Continuidad de Negocio para la CGA.

Aprobar nuevos proyectos informáticos, evaluar los que estén en ejecución y asignar prioridades.

Actualización del plan de Continuidad de Negocio.

Generar proyectos de mejoramiento informático.

Proyectar los actos administrativos para institucionalizar la aplicación de los sistemas de información en producción.

Evaluar las inquietudes de los usuarios con respecto a los requerimientos informáticos.

Presentar informes escritos al comité GEL cada vez que se reúna el Comité.

Funciones previas a una contingencia:

Estudiar y evaluar las diferentes amenazas y riesgos con que se cuentan en la organización, establecer prioridades ante probabilidad de ocurrencia y conocer los procedimientos adecuados para cada eventualidad.

Diseñar el procedimiento la implementación del plan de contingencias en la red corporativa.

Tener conocimiento de las tecnologías de punta, para su implementación y conseguir de esta forma mejoras en los controles preventivos y correctivos.

Plantear las modificaciones o ampliaciones al actual manual de contingencia.

Funciones durante una Contingencia:

Aportar todos los conocimientos acerca de los controles correctivos para que en el menor tiempo y costo posible lograr superar la situación.



30

Determinar grupos de recuperación y hacer sugerencias acerca de nuevo personal que debe integrar el grupo en un momento determinado dependiendo del caso.

Rendir un informe al Director Técnico de la DSBGTIC de las causales del daño, su solución y llevar unas estadísticas de estas. (Retroalimentación aprender de cada contingencia consignar la experiencia por escrito)

Infraestructura Actual

Esquema General de la Red de Datos Número de Usuarios Activos: 340

Grado certificación de la red: 6

Planos de la red: Capa 1

Cantidad de switches en 8 para puntos de red / 2 para Servidores /



31

operación:

Topología de red: Capa 1 para la CGA (estrella extendida de la

Gobernación de Antioquia) para mayor detalle

validar con la Gobernación de Antioquia.

Vlan configurada en los

switch:

Una única VLAN. (1 única segmento),

proporcionada por la GobAnt

Fuente: PETI 2016-2019 Contraloria General de Antioquia

Servidores Al interior de la red de datos corporativa actualmente se dispone de una granja de servidores que soportan la labor de todos los funcionarios de la entidad, cada uno de ellos posee una configuración y software particular para la labor que debe desempeñar. En la siguiente dirección se encuentra información particular y detallada, con el software instalado y los servicios soportados en cada uno de ellos:



32

Servidores

Número de Servidores Totales:

16 distribuidos así:

1 Red inalámbrica (VMware vSphere) - SERVIDOR DELL Powe Edge 2950.

4 SAP –(3 SERVIDORES hp ProLiant DL380e Gen8.) (1 DELL R710 Power Edge Intel®Xeon® X5660)

1 Controlador de Dominio / Red (DELL R710 Power Edge Intel®Xeon®E5540)

1 Respaldo (DNS) SERVIDOR DELL R710 Power Edge Intel®Xeon®E5560

1 Internet Servicios (TMG) DELL R710 Power Edge Intel®Xeon®E5524

1 Mercurio (Gestión documental) DELL R710 Power Edge Intel®Xeon® X5660

1 Alphasig 2012-2015 (Base de datos para el Sistema de información Planes de dllo) SERVIDOR DELL R710 Power Edge Intel®Xeon®E5560

6 Sistemas de Información adicionales y Aplicaciones (Servidores con Hiper - V)

1 Blade NUEVO (Datacenter) (Administración SAM HITACHI + Backup) (MOODLE, IIS con Alphasig solo Aplicación)

1 Blade NUEVO (Win 2012 R2) (Administración SAM HITACHI + Backup) (Bases de datos SQL Server 2012, Migración de System Center)

1 SERVIDOR DELL R710 Power Edge Intel®Xeon®E5560 Virtualizado Hiper-V (SYMANTEC, SAP ROUTER, PORTAL WEB 2016, Firewall de correo, aplicaciones propias, alphasig indicadores (interno).

1 SERVIDOR DELL R710 Power Edge Intel®Xeon®E5560 Virtualizado Hiper-V + (Administración SAM DELL PowerVault SAN MD 3200i ) + (Calidad Mercurio, Lync, Kactus, Correo marketing, System Center – en migración)

1 SERVIDOR DELL R710 Power Edge Intel®Xeon®E5560 (Administración de Archivos /documentos/scanner).

1 SERVIDOR hp ProLiant DL380e Gen8 Virtualizado Hiper-V (Intranet, Portal web 2015, Exchange, datos de Exchange/lync, Bases de datos institucionales.)



33

Ancho de Banda: Dos canales de 40 Mbp

Exchange: 2010 – Enterprise, con 350 CAL

Conectividad

LAN CGA


Red Inalámbrica

La solución inalámbrica utiliza el ROUTER/MODEM de UNE ADSL para el enrutamiento de la red WIFI Visitantes Diseño de la infraestructura de la red inalámbrica



34

Red inalámbrica




35

Flujo De Tráfico

Tráfico




36

Topología De La Red Física

Topología




37

Mapa de calor inalámbrica CGA

Los mapas de calor permiten tener una visión general del nivel de cobertura de la solución inalámbrica:

Mapa de calor inalámbrica


Estaciones de trabajo de usuario final Al interior de la red de datos de la Contraloría General de Antioquia se diferencian básicamente dos (2) clases de estaciones de trabajo Estaciones de desarrollo: Son máquinas o computadoras, ubicadas en la Dirección de Sistemas de Buen Gobierno y las TIC (piso séptimo) con software específico, empleadas para el mantenimiento de los sistemas de información y para la atención directa a los usuarios



38

Estaciones de usuario final: Son computadoras dedicadas para el trabajo de los usuarios finales, están distribuidas en las diferentes áreas, en la red central del piso séptimo.

Equipos de cómputo:

Equipos portátiles. Tecnología Intel. Disco duro de estado sólido (opcional) 1 Tera o superior Memoria estándar mayor a 4 Gb Pantalla de 11.6 a 14 pulgadas. Liviano. Batería duradera. Modelo de referencia: Notebook HP - 15-ac121la (ENERGY STAR) (L9L96LA)

Software Se refiere a todos los programas o aplicativos que se utilizan al interior de la Contraloría General de Antioquia Sistemas Operativos:

Windows 7, 8, 8.1 y Windows 10 como software de estación de trabajo

Windows Server 2008, 2008R2, 2012R2, Linux server Software de Administración:

Microsoft Exchange 2010 Manejadores de Bases de Datos:

SQL Server, versión 2008

ORACLE para SAP ERP Software de Escritorio:

Microsoft Office 2010, y 2013

Lync

Sistemas de Información Aplicaciones Utilizadas al interior de la Entidad



39

A continuación se relacionan la situación actual de los sistemas de información que posee la CGA:

Activos de Información: Sistemas de Información de la CGA

Sistema De Información

Gestión Transparente

Versión 1.0

Líder Funcional (LF) y Líder de TI (LT)

LF: Dos Profesionales Universitarios de TI. LT: Proveedor.

Descripción de la Funcionalidad

Aplicación que contiene el proceso de la rendición de la cuenta de los sujetos de control y los procesos misionales de la CGA.

Módulos que componen el sistema

Gestión Transparente - MISIONAL: Programación de Auditorias, Auditorias, Indagación Preliminar, Responsabilidad Fiscal, Jurisdicción Coactiva, Jurídica, Control Social – PQRD, Modulo Administrativo, Información Sujetos de Control, Directorio, Reportes Consultas e Indicadores, Tareas, Cartelera Institucional.

Gestión Transparente - RENDICION: Plan de Acción – Plan de Desarrollo, Contratación, Informe Fiscal, Procesos Judiciales, Deuda Pública, Anexos, Contratista e Interventores, Ley 617, Presupuesto, Fiducia, Reportes y Consultas.

Gestión Transparente – CONTROL CIUDADANO: En este módulo el ciudadano puede interponer ante la CGA lo referente a Peticiones, Quejas, Reclamos y Denuncias (PQRD). Adicionalmente contiene reportes de lo rendido por los sujetos de control.

Gestión Transparente – DASHBOARD: Contiene toda la información contractual en un cuadro de indicadores para ser visualizada por cualquier funcionario o ciudadano.

Gestión Transparente – Control: En este módulo se administran los usuarios y los entes que audita la CGA, Control de Legalidad, Asistencia y soporte, Administrar Módulos, Directorio, Plantillas

Integraciones e Interoperabilidad

Integración con el sistema SIA de la AGR.

Soporte y fecha de vencimiento

Posee soporte por cada anualidad.

Tipo de sistema Sistema Misional de gestión.

Modalidad de Implementación

Sistema en la Nube.

Tipo de licenciamiento Sistema propio.

Motor de Base de Datos y Sistema Operativo

Base de Datos: SQL Server 2012, SO: Windows Server 2012.

Grado de aceptación Alto.

Fortalezas, Debilidades, Iniciativas (Nuevas funcionalidades), Recomendaciones

Fortalezas: Es la herramienta tecnológica que abarca todos los procesos fiscales para una Contraloría, desde la rendición hasta los procesos misionales. Nuevas funcionalidades:



40

-Implementar el modulo llamado Procedimiento Administrativo Sancionatorio. -Avanzar en el desarrollo de la Trama para la rendición de la Contratación a SIA Observa.


Mercurio

Versión 1.0


LF: Profesional Universitario de TI. LT: Profesional Especializado de TI.


El sistema de información mercurio se encarga de ofrecer a los usuarios una herramienta informática para la gestión documental de toda la entidad.


Radicación, expedientes, correspondencia.

Integraciones e interoperabilidad

No


Por mesa de servicio. Vencimiento anual.

Tipo de sistema Sistema de apoyo.


Instalación local.

Tipo de licenciamiento A perpetuidad.


Motor de base de datos: SQL Server 2008 R2, SO: Windows Server 2008 R2 Standard.

Grado de aceptación Alto


Fortalezas. Permite llevar organizada y controladamente la información que se genera externa e internamente en la entidad. Iniciativas: Se requiere integrar con otros sistemas.


Mejoramiso

Versión 1.0


LF: Profesional universitario de Planeación. LT: Profesional Especializado de TI.


Mejoramiso permite la documentación y administración de las acciones provenientes de los análisis realizados en Consejo Directivo, Auditoría General de la República, Auditoría Interna de Calidad, Organismo Certificador, Autocontrol, Evaluaciones de Control Interno, Equipo Coordinador de Teletrabajo, Medición de Satisfacción del Cliente, Producto no conforme, Recomendaciones de Control Interno, Revisión Gerencial, Revisión por la Dirección, para fortalecer el sistema de Gestión de la Calidad de la



41

Contraloría. Este sistema está construido especialmente para apoyarlo a realizar las actividades de mejora continua.


Auditorías Internas de Calidad, Administración de los Riesgos de gestión y Corrupción y Planes de mejoramiento.


No posee a la fecha.

Tipo de sistema Sistema de Direccionamiento Estratégico


Instalación local



Base de datos: SQL Server 2008 R2, S.O: Windows Server 2012 Estándar.

Grado de aceptación Bajo.


Fortalezas: Permite medir las acciones de mejoras que deben cumplir las áreas de la Entidad. Debilidades: No se actualizan los riesgos automáticamente No muestra el historial de acciones. Recomendaciones: Se hace necesario contar con una versión más actualizada.


Email Marketing

Versión 1.0


LF: Diferentes dependencias de la CGA. LT: Profesional Universitario (TI)


Facilitar el proceso de envío de correo masivo.


Suscriptores, Listas de Correos, Administración del Sistema, Usuarios, Reportes


No

Tipo de sistema Sistema de Apoyo


Local



Base de datos: SQL SERVER 2008 R2, S.O: Windows Server 2008 R2


Fortalezas: Fácil de usar Recomendaciones: Se requiere actualizar el sistema.


Alphasig_Interno

Versión 1.0


LF: Dos Profesionales Universitario de Planeación. LT: Profesional Especializado de TI.



42


El sistema de indicadores de gestión Alphasig es una herramienta que permite evaluar y hacer seguimiento a indicadores, dando la posibilidad de ver y analizar su estado, metas y resultados; para esto cuenta con funcionalidades tales como variables, indicadores, áreas, estructuras y grupos, las cuales permiten plasmar de manera organizada y controlada los objetivos e indicadores de la empresa. Aplicación que maneja los indicadores estratégicos, tácticos y operativos de la CGA, donde se realiza la medición institucional.


Gestión de indicadores.


No

Tipo de sistema Sistema de Direccionamiento Estratégico


Local



Base de datos: SQL Server 2008 R2, S.O: Windows Server 2012 Standard.

Grado de aceptación Medio


Fortalezas. Permite tener una medición de la gestión en las distintas áreas de la Entidad.


Alphasig_Externo

Versión 2.0


LF: Funcionarios de la Contraloría Auxiliar de Proyectos Especiales. LT: Profesional Especializado de TI.


Aplicación que maneja los indicadores estratégicos, tácticos y operativos de los Hospitales y Municipios de Antioquia para medir el cumplimiento de planes y políticas públicas.


Módulo de mesa de ayuda para administración del sistema. Módulo de reportes. Módulo de rendición.


No

Tipo de sistema Sistema misional de gestión.


Local



Base de datos: SQL Server 2012 R2, S.O: Windows Server 2012 Standard


Debilidades: Diseño inadecuado de la base de datos.

Sistema De SAP



43

Información

Versión 6.0

Líder Funcional (LF) Y Líder De TI (LT)

Líder funcional por áreas: Subdirección financiera: líder funcional fi, fm, co, sd Subdirección operativa: líder funcional mm LT: profesional universitario y profesional especializado.

Descripción De La Funcionalidad

Este sistema soporta los procesos financieros, contables, de tesorería, gestión presupuestal y mantenimiento de la entidad.

Módulos Que Componen El Sistema

Módulo FI-CO

Activos fijos: altas, bajas, traslados, depreciación, cierre, reportes, ventas, adiciones, mantenimiento de datos maestros(no se contempla: la organización de información , el traslado de información historia)

Contabilidad: mantenimiento del plan de cuentas, estructuras de balance, comprobantes contables, manejo de asientos tipo, reportes contables, tributarios y mantenimiento de datos maestros(no se contempla: la organización de información , el traslado de información historia)

Cuentas por pagar: causación de cuentas por pagar, retenciones y deducciones, generar y contabilizar la cuenta por pagar y los diferentes reportes.

Tesorería: manejo del flujo de fondos, manejo de bancos y cajas, inversiones, flujo de caja periódico, proyecciones de ingresos y gastos, controlar la ejecución del flujo de caja, reportes, recaudo bancario, conciliaciones bancarias, pagos a través de cheques y Transferencia bancaria, devoluciones a favor de terceros, manejo de bancos, manejo de cajas menores, comprobantes de egreso y de ingreso, contabilizaciones.

Módulo FM

presupuesto: administración de cuentas presupuestales, estructura de presupuesto, asociación de posiciones presupuestales al plan de cuentas, transferencias de rubros vigentes entre años, manejo de plan financiero, manejo de adiciones presupuestales, manejo de certificados de disponibilidad, aprobar solicitudes presupuestales, manejo de adiciones presupuestales, reducir reservas presupuestales, registro de compromisos presupuestales, programar pagos de los compromisos presupuestales, manejo de vigencias futuras, manejo de cierres anuales, manejo de ejecuciones de gastos y de ingresos, control de las ejecuciones, manejo del pac y reportes.

Módulo MM-SD

Compras y contratación: manejo del proceso de contratación, oferta, solicitud de pedido y pedido afectando los diferentes módulos que intervienen en los procesos financieros y presupuestales.

Módulos técnicos

Carga de datos: la migración de datos solo incluye carga de saldos. No contempla información histórica. No incluye confiabilidad/depuración de los datos.

Desarrollo ABAP: según la necesidad de cada módulo funcional.

Integraciones e No



44

interoperabilidad


Se debe renovar anualmente.

Tipo de sistema Sistema de apoyo

Modalidad De Implementación

Local

Motor De Base De Datos Y Sistema Operativo

Motor de base de datos: SAP, S.O: Red Hat 6.5 .

Fortalezas, Debilidades, Iniciativas (Nuevas Funcionalidades), Recomendaciones

Fortalezas: Sistema que incorpora las buenas prácticas administrativas, cumpliendo estándares internacionales. Debilidades: Falta de conocimiento especializado en la administración y gestión de la herramienta, falta de personal capacitado para soporte básico SAP – BASIS. Recomendaciones: Capacitar funcionarios para ser líderes funcionales de cada módulo. Incorporar más módulos como RRHH.


Portal web

Versión 2013


LF: Profesionales Especializado de TI. LT: Profesionales Especializado de TI.


Sistema que proyecta la imagen institucional de la Contraloría, a su vez que permite el cumplimiento normativo de la Entidad y como canal de comunicación con la comunidad.


Información institucional, procesos misionales, información al ciudadano, participación ciudadana, contratos y convenios, transparencia y acceso a la información pública.

Integraciones e Interoperabilidad

Integración con otros portales web. No interoperabilidad.


Soportado por la propia Dirección.

Tipo de sistema Servicios de información digital.


Local.

Tipo de licenciamiento Sistema propio.


Base de Datos: SQL Server 2012, SO: Windows Server 2012.

Grado de aceptación Alto.


Fortalezas: Es un sistema que permite dar mayor visibilidad a la Entidad. Está creado bajo una tecnología muy confiable.

Fuente: PETI 2016-2019



45

Gestión del Riesgo de TI De acuerdo con lo expuesto en la Guía No. 7, Guía de Gestión de Riesgos emitida por el MINTIC dice lo siguiente: La información que hace parte de una Entidad Pública es crucial para su correcto desempeño dentro de la política pública y su relación con el ciudadano, sin importar qué tipo de información se trate en la Entidad, ésta será parte primordial en el cumplimiento de sus Objetivos, es por ello que resguardar todo tipo de Información de cualquier posibilidad de alteración, mal uso, pérdida, entre otros muchos eventos, puede significar un respaldo para el normal desarrollo de las actividades de una Entidad o de un Estado. De acuerdo a lo mencionado anteriormente, dentro de Marco de Seguridad del Modelo de Seguridad y Privacidad de la información (en adelante MSPI), un tema decisivo, es la Gestión de riesgos la cual es utilizada para la toma de decisiones. La metodología en la cual se basa la guía No. 7, es la “Guía de Riesgos” del DAFP, buscando que haya una integración a lo que se ha desarrollado dentro de la Entidad para otros modelos de Gestión, y de éste modo aprovechar el trabajo adelantado en la identificación de Riesgos para ser complementados con los Riesgos de Seguridad. Es importante resaltar que para la evaluación de riesgos en seguridad de la información un insumo vital es la clasificación de activos de información ya que una buena práctica es realizar gestión de riesgos a los activos de información que se consideren con nivel de clasificación ALTA dependiendo de los criterios de clasificación; es decir que en los criterios de Confidencialidad, Integridad y Disponibilidad tengan la siguiente calificación:

Clasificación de activos de información

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

Información Publica Reservada Alta (A) Alta (1)

Información Publica Clasificada Media (M) Media (2)

Información Pública Baja (B) Baja (3)

No Clasificada No Clasificada No Clasificada

Niveles de Clasificación



46

ALTA Activos de información en los cuales la clasificación de la información en dos (2) o todas las propiedades (confidencialidad, integridad, y disponibilidad) es alta.

MEDIA Activos de información en los cuales la clasificación de la información es alta en una (1) de sus propiedades o al menos una de ellas es de nivel medio.

BAJA Activos de información en los cuales la clasificación de la información en todos sus niveles es baja

Proceso para la administración del riesgo en seguridad de la información

Tomado de la NTC-ISO/IEC 27005

Análisis de riesgos de TI A continuación se exponen las etapas para la Generación del análisis de riesgos de las Entidades, basadas en la norma ISO27005.



47

Identificación Del Riesgo de TI

El propósito de la identificación del riesgo es determinar que podría suceder que cause una perdida potencial, y llegar a comprender el cómo, donde, y por qué podría ocurrir está perdida, las siguientes etapas deberían recolectar datos de entrada para esta actividad.

Identificación de Los Activos de TI

Según la norma ISO 27000:2013 un activo es todo aquello que tiene valor para la entidad y que, por lo tanto, requiere de protección. La identificación de activos se debería llevar acabo con un nivel adecuado de detalle que proporcione información suficiente para la valoración del riesgo.

Identificación De Las Amenazas de TI

Una amenaza tiene el potencial de causar daños a activos tales como información, procesos y sistemas y, por lo tanto, a la entidad. Las amenazas pueden ser de origen natural o humano y podrían ser accidentales o deliberadas. Es recomendable identificar todos los orígenes de las amenazas accidentales como deliberadas. Las amenazas se deberían identificar genéricamente y por tipo (ej. Acciones no autorizadas, daño físico, fallas técnicas). Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar diferentes impactos dependiendo de los activos que se vean afectados. A continuación se describen una serie de amenazas comunes: D= Deliberadas, A= Accidentales, E= Ambientales

Amenazas Comunes en los activos de TI TIPO AMENAZA ORIGEN

Daño físico

Fuego A, D, E

Agua A, D, E

Contaminación A, D, E

Accidente Importante A, D, E

Destrucción del equipo o medios A, D, E

Polvo, corrosión, congelamiento A, D, E

Eventos naturales

Fenómenos climáticos E

Fenómenos sísmicos E

Fenómenos volcánicos E

Fenómenos meteorológico E

Inundación E



48

Perdida de los servicios esenciales

Fallas en el sistema de suministro de agua o aire acondicionado

E

Perdida de suministro de energía E

Falla en equipo de telecomunicaciones D, A

Perturbación debida a la radiación

Radiación electromagnética E

Radiación térmica E

Impulsos electromagnéticos E

Compromiso de la información

Interceptación de señales de interferencia comprometida

D

Espionaje remoto D

Escucha encubierta D

Hurto de medios o documentos D

Hurto de equipo D

Recuperación de medios reciclados o desechados D

Divulgación D

Datos provenientes de fuentes no confiables D

Manipulación con hardware D

Manipulación con software D

Detección de la posición D

Fallas técnicas

Fallas del equipo A

Mal funcionamiento del equipo A

Saturación del sistema de información D, A

Mal funcionamiento del software A

Incumplimiento en el mantenimiento del sistema de información.

D

Acciones no autorizadas

Uso no autorizado del equipo D

Copia fraudulenta del software D

Uso de software falso o copiado D

Corrupción de los datos D

Procesamiento ilegal de datos D

Compromiso de las funciones

Error en el uso D, A

Abuso de derechos D

Falsificación de derechos D

Negación de acciones D

Incumplimiento en la disponibilidad del personal D

Fuente: Guía de Gestión de Riesgos - MINTIC Es recomendable tener particular atención a las fuentes de amenazas humanas. Estas se desglosan específicamente en la siguiente tabla:



49

Fuentes de amenazas FUENTE DE AMENAZA

MOTIVACION ACCIONES AMENAZANTES

Pirata informático, intruso ilegal

Reto Ego Rebelión Estatus Dinero

Piratería

Ingeniería Social

Intrusión, accesos forzados al sistema

Acceso no autorizado

Criminal de la computación

Destrucción de la información Divulgación ilegal de la información Ganancia monetaria Alteración no autorizada de los datos

Crimen por computador

Acto fraudulento

Soborno de la información

Suplantación de identidad

Intrusión en el sistema

Terrorismo

Chantaje Destrucción Explotación Venganza Ganancia política Cubrimiento de los medios de comunicación

Bomba/Terrorismo

Guerra de la información

Ataques contra el sistema DDoS

Penetración en el sistema

Manipulación en el sistema

Espionaje industrial(inteligencia, empresas, gobiernos extranjeros, otros intereses)

Ventaja competitiva Espionaje económico

Ventaja de defensa

Ventaja política

Explotación económica

Hurto de información

Intrusión en privacidad personal

Ingeniería social

Penetración en el sistema

Acceso no autorizado al sistema

Intrusos (Empleados con entrenamiento deficiente, descontentos, malintencionados, negligentes, deshonestos o despedidos)

Curiosidad Ego Inteligencia Ganancia monetaria Venganza Errores y omisiones no intencionales (ej. Error en el ingreso de datos, error de programación )

Asalto a un empleado

Chantaje

Observar información reservada

Uso inadecuado del computador

Fraude y hurto

Soborno de información

Ingreso de datos falsos o corruptos

Interceptación

Código malicioso

Venta de información personal

Errores en el sistema

Intrusión al sistema

Sabotaje del sistema

Acceso no autorizado al sistema.

Fuente: Guía de Gestión de Riesgos - MINTIC



50

Identificación De Las Vulnerabilidades de TI

Para realizar una correcta identificación de vulnerabilidades es necesario conocer la lista de amenazas comunes, la lista de inventario de activos y el listado de controles existentes. Se pueden identificar vulnerabilidades en las siguientes áreas:

Organización.

Procesos y procedimientos.

Rutinas de gestión.

Personal

Ambiente físico

Configuración del sistema de información.

Hardware, software y equipos de comunicaciones.

Dependencia de partes externas. NOTA: La sola presencia de una vulnerabilidad no causa daños por sí misma, dado que es necesario que exista una amenaza presente para explotarla. Una vulnerabilidad que no tiene una amenaza puede no requerir la implementación de un control.

Matriz de Amenazas y Vulnerabilidades de TI

Amenazas y vulnerabilidades por activo de información

Activo de Información /

Sistema TI Amenazas Vulnerabilidades

Entorno Físico Colapso de Telecomunicaciones

Disminución de la señal que permite la conexión de los dispositivos para el acceso a los sistemas de información.

Fallas eléctricas.

Suspensión del servicio de Internet de parte del proveedor del servicio.

Daños en la infraestructura del DataCenter de la Gobernación de Antioquia.

Desastres naturales en general.

Incendios, sabotajes.

Activación de aspersores.



51

Planeación Estratégica - PETIC

Incumplimiento en la ejecución del PETIC.

Falta de recursos financieros y políticas de la Entidad.

Mala gestión

Falta de personal calificado para la ejecución de los proyectos.

Mala planeación de los proyectos.

Sistemas de Información

Sistemas de Información susceptibles de manipulación o adulteración

Inadecuadas asignación de roles en los sistemas de información.

Sistemas de información mal diseñados.

Falta de control y monitoreo a los sistemas de información.

No asignación de un responsable líder por cada sistema de información.

Red de datos, Internet, Seguridad

Perdida de Información

Ausencia de backup y herramientas Hardware y Software para ello.

Antivirus desactualizados.

Falta de implementación de mecanismos de seguridad perimetral (UTM).

Ausencia de campañas de sensibilización a los usuarios.

Ataque cibernético.

Robo de equipos.

Plataforma tecnológica

Plataforma tecnológica no satisface las necesidades de la entidad

Falta de destinación presupuestal para la actualización o renovación tecnológica (equipos y sistemas de información)

Rendición de cuentas

Incumplimiento en la rendición de la cuenta.

Requerimientos de información mal diseñados.

Incompatibilidad de plataformas.

Seguridad Perimetral

Ataques de Virus informático

Antivirus desactualizados.

Falta de implementación de mecanismos de seguridad perimetral (UTM).

Uso indebido en la navegación por Internet.

Apertura de correos maliciosos o sospechosos sin asesoría técnica.

Equipos, PC, Recurso Humano

Hurto de equipos y/o elementos informáticos.

Desplazamiento del funcionario con los equipos y/o elementos a su cargo.

Descuido por parte del funcionario.

Deficiencia en las medidas de seguridad institucional.

Fuente: Riesgos de la DSBG y las TIC, diseño propio



52

Evaluación del Riesgo de TI

Los pasos claves en el análisis de riesgos, contempla los siguientes factores: probabilidad e impacto:

Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo.

De esta forma se procede a hacer la “calificación del riesgo”, en la cual se realiza una estimación, de cuál podría ser la probabilidad de ocurrencia del riesgo y el impacto que traería éste, en caso de materializarse.

La probabilidad y el Impacto, presenta 5 niveles para medir la probabilidad de ocurrencia y 5 niveles para lograr medir el impacto, dando las herramientas con las cuales se definen los criterios de riesgo.

Esta tabla permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.

Para facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz que contempla un análisis cualitativo, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad).

Las categorías relacionadas con el impacto son: insignificante, menor, moderado, mayor y catastrófico. Las categorías relacionadas con la probabilidad son raro, improbable, posible, probable y casi seguro.



53

Matriz de Calificación, Evaluación y respuesta a los Riesgos

PROBABILIDAD

IMPACTO

Insignificante

(1)

Menor

(2)

Moderado

(3)

Mayor

(4)

Catastrófico

(5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguir (5) A A E E E

B: Zona de Riesgo Baja: Asumir el riesgo

M: Zona de Riesgo Moderada: Asumir el riesgo, reducir el riesgo

A: Zona de Riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir

E: Zona de Riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir

Fuente: Guía de Riesgos DAFP

Matriz de Riesgos de TI para la Contraloria General de Antioquia

De acuerdo entonces con la guía tenemos la siguiente Matriz de Riesgos para la Contraloria General de Antioquia:

Matriz de Riesgos de TI

MATRIZ DE RIESGOS

RIESGO Probabilidad Impacto Valor del

Riesgo Nivel de Riesgo

Colapso de Telecomunicaciones 1 3 3 MODERADO

Incumplimiento en la ejecución del

PETIC. 5 3 15 EXTEMO

Sistemas de Información susceptibles

de manipulación o adulteración 4 3 12 ALTO

Pérdida de Información 4 5 20 EXTEMO

Plataforma tecnológica no satisface

las necesidades de la entidad 0 BAJO



54

Incumplimiento en la rendición de la

cuenta. 0 BAJO

Ataques de Virus informático 5 5 25 EXTEMO

Hurto de equipos y/o elementos

informáticos. 1 2 2 BAJO

Fuente: Adaptado por la DSBG y las TIC según metodología de la DAFP

Control de Riesgos de TI

De acuerdo con el análisis de riesgos, en la tabla que sigue a continuación se determinan unos controles para nuestra infraestructura, seleccionando aquellos de mayor impacto. Los riesgos de menor impacto no se analizan por ser más elementales. En el cuadro de control de riesgo se determinada el tipo de seguridad afectada.

Tipo de Seguridad Descripción

C Confidencialidad

D Disponibilidad

I Integridad

Riesgos VS Controles para la CGA

ACTIVO RIESGO SEGURIDAD

CONTROLES C D I

Portátil Propagación de virus en la red

X Configuración de acceso limitado a redes

Monitoreo de puertos

Computador

Pérdida del equipo X

Emisión de guía de uso de PC Formato de reportes de daño y/o pérdida del equipo Seguro de equipo contra robo Copia de respaldo de documentos Mantener servicios de sincronización en la nube Cifrar información sensible del equipo

Intromisiones de otros usuarios al equipo

X Educación en medidas de seguridad e informática Configuración de acceso limitado a redes Creación de contraseñas robustas

Acceso por entidades externas a información sensible o privada

X Monitoreo de conexiones activas Monitoreo de modificación de archivos Respaldos de seguridad

Uso delictivo de datos X X Respaldos de seguridad

Propagación de virus en la red

X Configuración de acceso limitado a redes Verificación de terminales Monitoreo de puertos

Servidor Acceso no autorizado a servidores

X X X Monitoreo de puertos Recuperación del sistema



55

Informática/ Soporte Interno

Acceso y manipulación a redes privadas

X X Monitoreo de puertos

Acceso y manipulación a información privada

X X Determinación de niveles de responsabilidad y acceso Planificación y seguimiento de las tareas de soporte técnico interno

Soporte Técnico Externo

Robo de información X X Monitoreo de puertos

Alteración y destrucción de la información

X X Planificación y seguimiento de las tareas de soporte técnico externo

Bases de Datos Internos

Alteración y destrucción de datos

X X Copias de seguridad

Acceso por usuarios no autorizados

X Medidas de acceso robustas con id_usuario y contraseña

Acceso a datos sensibles o privados

X Encriptación de datos Políticas de gestión de la base de datos

Respaldos

Alteración y destrucción de respaldos

X X

Actualización frecuente de respaldos Almacenamiento interno de respaldos con protección de acceso Almacenamiento externo de respaldos en ubicaciones diferentes a la organización Capacitación a usuarios respectivos en el proceso de restauración de los datos

Alteración y destrucción de respaldos

X Determinación de niveles de acceso Políticas de respaldos de la base de datos

Sistemas de Autenticación DA, LDAP

Exposición de datos de autenticación a usuarios no autorizados

X X Encriptación de la información del sistema de autenticación

Navegación en Internet

Descarga y Propagación de virus

X

Bloqueo de acceso a páginas de internet no seguras Firewall Chequeo del tráfico de red Políticas de acceso a internet

Divulgación de información de la organización

X

Bloqueo de acceso a páginas de internet no seguras Firewall Chequeo del tráfico de red Políticas de acceso a internet

Fuente: Riesgos, amenazas y vulnerabilidades de los sistemas de información geográfica. CASTRO BOLAÑOS Duvan Ernesto y ROJAS MORA, Ángela Dayana.

Procedimientos Preventivos.

Objetivos

Realizar una serie de procedimientos destinados a prevenir los riesgos anteriormente descritos.

Dar recomendaciones de cómo debe estar conformada la red corporativa, donde deben estar ubicados los equipos, quienes pueden tener acceso a ellos y otra serie de sugerencias.

Describir la seguridad que debe tener cada equipo para evitar actos mal intencionado de terceros.



56

Enumerar las características esenciales que se deben conocer de los dispositivos o elementos que conforman la red, que se constituirá en información vital en caso de un siniestro.

Método Para la búsqueda de los controles preventivos a determinado elemento que conforma la red corporativa de la Contraloría General de Antioquia, se subdividirán los procedimientos en orden de importancia, de esta manera se puede encontrar el elemento y hacerle todos los procedimientos para prevenirlo de los diferentes riesgos a que está sometido.

Grupo de Riesgos Se definieron cinco grupos de riesgos a los cuales se encuentran sometidos los diferentes elementos que conforman la red corporativa, aquí se considerarán ciertos riegos y se añadirán otros para el caso preventivo. Riesgos Catastróficos: Son aquellos riesgos que producen un paro total en la red, los riesgos que se encuentran dentro de esta clasificación son:

Incendio: Se refiere a toda clase de incendio provocado por falla técnica del dispositivo mismo o cualquier falla humana accidental o premeditada. Explosión: Cualquier detonación provocada por terroristas o producida por el mal uso de los elementos. Huelga: Abandono voluntario de las funciones laborales en forma de presión a la decisión en torno de un tema. Desastres Naturales: Cualquier daño causado por efectos de la naturaleza donde el hombre no puede hacer nada para prevenirlo, como por ejemplo terremotos, temblores, huracanes, etc. Inundación: Cualquier daño ocasionado por rompimiento de una tubería aledaña, activación de las regaderas.

Riesgos Técnicos: En esta clasificación se encuentran aquellos riesgos producidos por el mal funcionamiento de los dispositivos, para el caso de los controles preventivos se omiten todas las fallas propias del dispositivo, como



57

fallas en disco, daño en el puerto, etc., y se toman generalidades que se deben tener como:

Riesgo por falta de mantenimiento: Se refiere a la protección periódica que se debe efectuar sobre cada dispositivo o elemento que conforma la red de datos.

Riesgo por falta de estandarización: Los parámetros que hay que tener en cuenta para la homogenización total en la red de datos.

Información vital: hace referencia a archivos, configuraciones de primera mano que se debe disponer en caso de presentarse algún siniestro.

Riesgos por Fallas Humanas: Los riesgos que se han de tener en cuenta son:

Falta de Conocimiento: Errores presentados en los equipos debido al insuficiente conocimiento de estos.

Errores y Omisiones: Hace referencia a errores en la manipulación del equipo u olvidos por parte del personal encargado de la administración de la red.

Falta de privacidad: Información que solo debe ser conocida por determinada persona.

Riesgos por fallas en el suministro público: A este grupo pertenecen los siguientes riesgos:

Falla de energía: Cuando el suministro de empresas públicas falla y en determinado momento la planta también.

Falta de agua: Cuando cesa el suministro de agua.

Fallas en las comunicaciones: Cuando las líneas telefónicas, líneas dedicadas a módems, tarjetas de red, presentan fallas.

Riesgos por falta de Seguridad.

Sabotaje: Cualquier acto mal intencionado con el objeto de causar una crisis a la organización.



58

Motines: Rebelión de terceros produciendo daños en los recursos informáticos.

Hurto: Perdida de cualquier dispositivo ó elemento que conforma la red corporativa.

Retiro masivo de personal: Daños causados por personas desvinculadas a la organización y que poseen derechos en la red.

Conflictos laborales: Problemas entre los dirigentes y los empleados.

Listado de Procedimientos Preventivos

Procedimientos Preventivos Generales

Son los procedimientos comunes a los diferentes elementos que conforman la Red Corporativa.

No ubicar ni almacenar elementos inflamables como papel, gasolina, ether, bebidas alcohólicas, alcohol, trapos, cerca de los bienes informáticos.

Se debe garantizar una temperatura adecuada para el buen funcionamiento de los equipos del centro de datos.

No se deben ubicar papeleras de basura en el lugar destinado como centro de datos, ya que se pueden convertir en la causa de un posible incendio.

Se deben tener extintores de polvo químico seco y de bióxido de carbono en lugares visibles y cercanos a donde se encuentran ubicados los equipos.

Se debe capacitar al personal sobre el manejo de los diferentes extintores con que se cuenta.

Dar el adecuado uso a los diferentes elementos evitando siempre prácticas inseguras.

No fumar en lugares donde se concentran los equipos y especialmente en el centro de datos.

Nunca consumir alimentos ni ingerir bebidas cerca de los equipos.



59

No manipular equipos en estado de embriaguez ni bajo efecto de sustancias alucinógenas.

Controlar el acceso de paquetes al centro de datos.

Tener una excelente distribución eléctrica, evitando conectar los equipos a una misma fuente.

Evitar extensiones y cables sueltos cerca a los equipos.

Instalar alarmas de activación manual o automáticas en caso de presentarse incendio, inundación o sobrecalentamiento de los equipos.

Evitar la acumulación de la energía estática, referenciando todos los equipos a una misma tierra.

Todos los equipos deben tener protección contra cortocircuitos y sobre voltaje ya sea interna o externa.

Usar siempre brazalete antiestático cuando se manipulen componentes electrónicos.

No ubicar aparatos eléctricos dentro del centro de datos y puntos de energía regulada tales como grabadoras, hornos microondas, licuadoras, televisores y demás.

Verificar diariamente el correcto funcionamiento de las lámparas y tomacorrientes ubicados en el centro de datos.

Colocar los equipos en un centro de datos o centro de cómputo, donde se concentre la mayoría de los equipos de comunicaciones.

Los equipos sólo deben ser manipulados por el personal que tenga los suficientes conocimientos acerca de ellos.

Permitir solo el acceso al personal que realice labores de operación y mantenimiento de los equipos.

Mantener información en archivos e impreso de los proveedores y garantías vigentes de todos los equipos utilizados en la red.



60

Tener actualizada la información de los proveedores y empresas que brinden soporte y mantenimiento de los diferentes equipos.

Mantener vigentes los contratos con las empresas que prestan soporte y mantenimiento en informática.

Tener pólizas de los seguros vigentes de los bienes informáticos, que cubran daños, actos mal intencionados, hurto y una póliza de transporte para equipos móviles.

Guardar en un archivo tanto dentro como fuera de la Contraloría la información sobre la configuración inicial de todos los equipos.

Destinar un sitio seguro y de acceso restringido para guardar manuales, software de instalación (Cd´s, Disquetes), documentación de los equipos, ejerciendo un estricto control sobre su uso.

Tener copia de respaldo de cada uno de los manuales y del software, evitando al máximo el uso de originales. Estas deben ser guardadas en un sitio seguro que garantice su protección.

Tener una copia de respaldo de todas las licencias de software existente en la Entidad. Estas deben ser guardadas en un sitio seguro que garantice su protección.

Los originales de las licencias del software se encuentran en custodia en la Unidad de Recursos Físicos y una copia en la Dirección de Sistemas de Buen Gobierno y las TIC.

Definir un procedimiento claro para la actualización y migración del software.

Crear una base de datos que facilite la consulta de temas específicos haciendo más eficiente la labor de los administradores, los desarrolladores y del personal de soporte.

Hacer análisis de tráfico y con base en éste, realizar periódicamente políticas de segmentación.

Capacitar continuamente al personal de sistemas para que tengan conocimientos sobre la tecnología de punta.



61

No tener sistema de “regaderas” en lugares donde estén concentrados los equipos.

Ubicar sensores de temperatura y humedad para regular las condiciones ambientales óptimas para los equipos.

Cada elemento requerido para el soporte debe tener su respectivo estuche para su cuidado y protección.

Tener un sistema automatizado, que permita el registro (de préstamos y traslados de todos los equipos), control, administración, que permita manejar una ficha u hoja de vida detallada de los equipos, que contenga además el seguimiento de los mantenimientos preventivos y correctivos realizados y programados de los equipos y que permita mantener actualizado el inventario de hardware en forma permanente.

Tener un sistema automatizado, que permita el registro, control y administración de todas las aplicaciones, programas y licencias adquiridos por la Entidad, al máximo nivel de detalle posible y que permita mantener actualizado el inventario de software en forma permanente.

Procedimientos Preventivos para el Sistema de Energía Regulada

Revisar periódicamente todos los mensajes y el menú de control de la UPS, para precisar el estado general de la misma, sus parámetros de medición, el estado de las baterías y alarmas y la configuración del sistema. Para luego confrontarlo con los valores requeridos y recomendados por el proveedor.

Asegurar la buena ventilación, aislamiento y aireación de la UPS.

Definir una política de finalización de tareas con el objetivo de disminuir gradualmente su carga, en el momento de una interrupción eléctrica, según las necesidades identificadas y a la potencia de las baterías.

Emplear los tomas que estén conectados a la UPS sólo para conectar los equipos de cómputo de misión crítica, en ningún momento pueden ser conectados lámparas, ventiladores, hornos microondas, parrillas y otros.

La UPS contiene voltajes peligrosos, por lo tanto las reparaciones deben ser realizadas por personal especializado.



62

La UPS tiene una fuente propia de energía (baterías), cuando no está conectada a una fuente de corriente directa, pueden estar presentes altos voltajes en los terminales 9 y 10 (terminales para conexión remota de la batería), cuando la UPS está funcionando con las baterías.

Al des energizar completamente la UPS, disparar el breaker de salida. Luego disparar e l breque de entrada y el breque de la batería.

Se corre el riesgo de una descarga eléctrica al instalar la batería, esta tarea debe ser realizada por personal de servicio especializado.

No disponer de las baterías en caso de presentarse un incendio. Las baterías pueden explotar al estar expuestas a las llamas.

Todos los gabinetes donde se encuentren equipos de comunicaciones deben ser de seguridad.

Una batería puede presentar riesgo de una fuerte descarga eléctrica, por esta causa puede quemarse o explotar. Se debe tener todas las precauciones.

Proteger y colocar un mensaje en el botón Emergency Power – Off para evitar que sea presionado por personal no autorizado.

Procedimientos Preventivos para el Cableado Estructurado Horizontal

El cableado horizontal debe ser capaz de manejar una amplia gama de aplicaciones de usuario y debe facilitar el mantenimiento y relocalización de áreas de trabajo.

Para el cableado horizontal se debe emplear cable trenzado de cuatro pares UTP de nivel 5 para velocidades hasta 100 Mbps.

UTP puede transportar cualquier tipo de información y ofrece excelente inmunidad a interferencias y ruidos eléctricos.

No se deben realizar empates es decir múltiples apariciones del mismo par de cable en diversos puntos de la distribución.

La distancia máxima del cable es de 90 metros independiente del cable utilizado, distancia entre el área de trabajo y el centro de cableado.



63

El cable de empate del equipo y el punto de red llamado Path Cord debe ser máximo de 3 metros.

Los conectores terminales deben ser RJ -45 bajo el código de colores de cableado T568 A.

Las componentes adicionales como Baluns o adaptadores RS-232 no deben instalarse como parte del cableado horizontal, deben ser externos a la salida del área de trabajo.

El destrenzado de pares individuales en los conectores y panales de empate debe ser menor a 1,25 cm.

El radio de la curvatura del cable no debe ser menor a cuatro veces el diámetro del cable, para el cable UTP categoría 5 el radio mínimo es de 2.5 cm.

En la ruta del cableado de los closets a los nodos se debe evitar el paso por dispositivos eléctricos como equipos de soldaduras, aire acondicionado, ventiladores, intercomunicadores, luces fluorescentes y balastos debe pasar mínimo a una distancia de 12 cm.

El cableado debe pasar mínimo a 1,2 metros de los motores eléctricos grandes o transformadores.

Debe estar distante de los cables de corriente alterna con 2 KVA o menos13 cm, de cables de 2 KVA a 5 KVA debe estar distante 30 cm y de cables de 5 KVA mínimo 91 cm.

Ubicar en el centro de cableado el diagrama de cableado de la red, éste debe indicar claramente el diagrama de distribución, el puerto asignado a cada toma de información, a cada servidor y en general a cada una de las conexiones e interconexiones.

Procedimientos Preventivos para los Servidores

Para el software básico almacenado en los servidores, tener una relación con los requerimientos de hardware mínimos necesarios para su instalación, en caso de una eventualidad con uno de los servidores y deba ser instalado en otra máquina para remplazar momentáneamente al servidor.



64

Tener identificados e inventariados otros equipos que puedan reemplazar a los servidores en un momento dado teniendo en cuenta la información del numeral anterior.

Mantener la configuración básica de los servidores respaldada en un archivo e impreso tanto dentro como fuera de la Contraloría General de Antioquia.

Estructurar formatos donde se tenga de forma clara y concisa la siguiente información para cada uno de los servidores: • Discos Duros: cantidad, capacidad, tecnología, nombre y número de volúmenes por disco, cantidad de discos que se pueden adicionar, drivers que lo controlan. • Memoria: Marca, referencia, cantidad actual, posible expansión, tabla de distribución de SIMM suministrada por el proveedor. • Mainboard: Arquitectura, procesador, velocidad, coprocesador, número y tipo de slots. • Tarjetas de Red: Tipo, drivers, tipo de bus, configuración (puerto, interrupción, DMA), tipo de conector, topología. • Unidades de Almacenamiento: CD ROM (tecnología, velocidad, interno ó externo, drivers, tipo de controladora), Floppy Drive (tipo, capacidad), Tape Backup (Tipo, Capacidad, controladora).

Actualizar inventarios de suministros y formatos de información cada 2 meses.

La ubicación debe ser en un lugar cerrado de acceso restringido, preferiblemente en el cuarto destinado a todos los equipos de comunicación denominado centro de cableado.

Proteger los switches de encendido/apagado para que estos no sean activados/desactivados accidentalmente.

Colocar contraseñas que no sean de fácil identificación a las consolas y a los monitores.

Las contraseñas de administración deben ser conocidas por el administrador y el grupo encargado de redes y deben estar documentadas.

Mantener copia de los medios con licencias y de registro de los servidores.



65

Estructurar formatos del software instalado en los servidores como sistema operativo, antivirus y aplicaciones en general.

Instalar un adecuado antivirus que sea residente en memoria y configurarlo para que chequee continuamente todas las acciones realizadas sobre los archivos.

Actualizar constantemente el antivirus ya sea través de Internet o a través del distribuidor.

Verificar una vez por semana el espacio en disco de los diferentes volúmenes.

Borrar semanalmente la información innecesaria.

Verificar en horas de alta demanda el porcentaje de utilización del servidor mediante la utilización de la herramienta Monitor del Sistema.

El uso del procesador no debe exceder el 90% por un período de tiempo prolongado, en caso tal determinar cuál es el proceso que lo está acaparando para proceder a efectuar los correctivos requeridos. Y si es necesario deshabilitar el login para evitar la entrada de más usuarios a la red.

Semestralmente realizar limpieza al interior de los servidores, unidades de CD, unidades de Tape Backup.

Para aquellos servidores que son críticos y no pueden estar por fuera de servicio se recomienda implementar un sistema de tolerancia a fallas de acuerdo con las posibilidades de la Entidad

Definir políticas de respaldo que aseguren la integridad y la pronta recuperación en caso de una posible pérdida total o parcial de la información.

Tener un estricto control sobre los usuarios, derechos sobre Filesystem y sobre los objetos.

En caso de retiro de algún funcionario, desactivar su usuario de la red, o cambiar su contraseña y borrar todos los datos que no se requieran en el volumen de los servidores.



66

Mantener la estructura organizacional actualizada, eliminando objetos o unidades organizacionales que ya no existan.

Purgar los servidores una vez cada 15 días vaciando la papelera de reciclaje para borrar físicamente los archivos que han sido borrados lógicamente y no se necesitan.

Apagar los servidores cada 15 días para liberar espacio en memoria que haya quedado por otros procesos.

Siempre bajar los servidores mediante el proceso adecuado antes de apagarlos físicamente, para evitar que tanto el sistema operativo como las aplicaciones que estén abiertas sufran algún daño.

Verificar a través de la utilidad Monitor del Sistema la utilización de memoria y confirmar que esta no sobrepase el 80%, en caso tal se debe propender por aumentar la memoria RAM del servidor.

Nunca bajar el servidor mientras haya usuarios conectados a éste.

Utilizar el Panel del Control para configurar los protocolos y tarjetas de red de tal manera que se garantice la mejor administración de los dispositivos.

Definir un número máximo de conexiones simultáneas a la red por usuario. Máximo 2 conexiones.

Restringir en lo posible el acceso a la red de un usuario a través de la misma estación.

Limitar el número de conexiones simultáneas de usuarios a un recurso de red.

Segmentar el tráfico en subredes, definiendo grupos de usuarios por concentrador, para minimizar el tráfico que fluye a través del Switche congestionando la red.

Crear tablas que relacionen características de los servidores contra número máximo de usuarios, garantizando el rendimiento eficiente de cada servidor.



67

Verificar periódicamente el funcionamiento del sistema de ventilación de los equipos, evitando el sobrecalentamiento.

Implementar un sistema de seguridad para que los servidores no sean abiertos fácilmente.

Las contraseñas e información crítica solo deben ser suministradas a personal de alta confianza.

La administración de la red debe ser realizada por personal con conocimientos de gestión de operación de la máquina y del sistema operativo Windows que corresponda.

Crear reglas generales para la creación de objetos en la red como impresoras, servidores, usuarios que se apliquen de igual forma para todas las dependencias.

Diseñar un estándar para la estructura de directorios (Filesystem) en los servidores, válido para toda la organización.

Homogeneizar el acceso a la red mediante el uso de unidades lógicas a todos los recursos de la red.

Actualizar Periódicamente los discos de Reparación de cada uno de los servidores, con el fin de corregir los errores menores que se presenten.

Verificar el correcto funcionamiento del arreglo de disco en cada uno de los servidores mediante las utilidades proporcionadas por cada fabricante.

Mantener actualizada la Relación de Impresoras de Red con sus respectivos puertos y nombres previamente definidos.

Exportar mensualmente la Base de Datos de Usuarios de Red para ser publicada en la Intranet

Liberar Espacio en disco en cada uno de los servidores; para ello:

• Vaciar la papelera de reciclaje • Reducir el espacio utilizado por la papelera de reciclaje • Hacer copias de seguridad en cinta de archivos que no se necesitan o copiarlos a un disco auxiliar y borrarlos del disco duro • Buscar y eliminar archivos temporales



68

• Buscar y eliminar archivos mayores de un determinado tamaño • Quitar componentes de Windows que no se utilicen • Crear más espacio en disco usando la compresión de disco en volúmenes NTFS • Desfragmentar el disco o volumen.

El administrador de la red debe crear y divulgar procedimientos debidamente documentados como instalación de los Sistemas Operativos (Windows NT, Windows 2000, Windows XP), creación de usuarios y objetos, procedimientos de administración, instalación de aplicaciones básicas y utilidades de los servidores.

Suministrar toda la información de archivos y directorios debidamente estructurados para consulta de usuarios.

Crear grupos de trabajo de manera que la capacitación y la experiencia no sea individualizada.

Tener varias componentes de respaldo (un stock de repuestos) como discos duros, tarjetas de red, memorias, controladoras en un lugar seguro y de acceso restringido.

Cada servidor debe poseer una dirección IP de acuerdo al mapa de direcciones IP definido.

Utilizar el visor de Eventos para monitorear la hora interna del servidor y su sincronización con los demás.

Tener el máximo de los recursos en red como impresoras, scanner, servicios de fax.

Mantener actualizado el sistema operativo de la red, aplicaciones críticas que se tengan y software utilitarios.

No suprimir nunca el usuario Admin sin haber asignado los derechos de supervisión a otro objeto usuario, si esto sucede habrá eliminado el control de supervisión sobre el árbol directorio.

Reducir el tiempo de acceso y tráfico WAN colocando la información en un único servidor al que el usuario pueda acceder y manejar copia de la información en el cliente.



69

Estandarizar el nombre del objeto usuario, debe ser familiar y tratar de ser igual al del correo electrónico para obtener un nombre común exclusivo.

Las particiones se deben efectuar sólo si proporcionan mejor funcionamiento o tolerancia a fallos en la red y en el árbol.

Antes de realizar cualquier partición o fusión se debe garantizar que el estado de sincronización sea estable.

Para procesos de administración, creación y supresión de usuarios, gestión de la red, utilizar el servicio de Directorio Activo.

Si se sustituye una licencia se debe eliminar la licencia anterior.

Apagar el interruptor de encendido y desconectar los cables de corriente antes de instalar o remover una unidad de disco.

Procedimientos Preventivos para los Swiches

Instalar el swiche en un gabinete cerrado con seguro, para impedir el acceso de personal no autorizado.

Marcar adecuadamente los puertos del swiche mediante un código que tenga relación con la estructura de la red.

Todos los slots que no estén siendo usados deben de estar protegidos por faceplate (tapa).

Al instalar un módulo en el swiche, con este encendido asegúrese de no introducir objetos extraños dentro del slot.

Después de insertar un módulo verificar que el LED de encendido quede finalmente en verde para garantizar su buena instalación.

Revisar periódicamente los LEDS ubicados en la parte frontal del Switche, que indican el estado de operación del mismo y de sus componentes. Estos LEDS pueden ser muy útiles en determinados casos, especificando las causas de determinados problemas.

Habilitar el protocolo RIP para que genere sus tablas de enrutamiento con los Routers y los servidores que trabajan con dichos protocolos



70

Habilitar el protocolo ARP para que el Swiche interactúe con los diferentes Routers que se encuentran en la red.

Es recomendable configurar direcciones estáticas a los módulos y sus puertos cómo una forma de dar seguridad a la red

En caso de que existan segmentos que trabajen con protocolos que sólo se requieran en dicho segmento se podrían habilitar filtros para evitar su tráfico en otros segmentos.

Implementar filtros que eviten la comunicación de determinadas estaciones o segmentos con otros, con el objeto de dar mayor seguridad a la red.

Procedimientos Preventivos para los elementos de la red WAN

TMG Servicios y Navegación

Mantener con password el usuario administrador TMG y de conocimiento exclusivo del personal de redes y comunicaciones.

Cambiar cada mes el password del usuario administrador. Debe ser de conocimiento exclusivo de este.

Estar pendientes de las nuevas versiones del software y hardware para realizar las actualizaciones pertinentes.

En caso de que un enlace sea crítico se puede configurar dos path a un solo puerto, de tal forma que cuando uno falle el otro se active automáticamente.

Deshabilitar los protocolos que no se estén usando en la red, para no generar tráfico innecesario.

Se debe establecer una contraseña de entrada al sistema para los usuarios remotos, esta contraseña debe ser forzada a cambios periódicos.

Para mayor seguridad se debe exigir que la contraseña este formada por caracteres alfanuméricos.

Codificar el software de manera que se puedan tener 3 intentos equivocados de accesar al sistema, luego de esto el usuario es bloqueado.



71

Verificar semanalmente e l estado de los puertos asincrónicos del servidor como son: • Estado de usuario, conexión, tiempo de login y tiempo de desconectado. • Estado de los paquetes que entran, errores. • Desbordamientos que se han presentado.

Guardar en un lugar seguro en disquete e impreso la configuración de los puertos utilizados, tener claro y explicado el procedimiento en caso de realizar algún cambio

Las unidades no contienen fusibles ni otros componentes que el usuario pueda cambiar o reparar. De producirse problemas cuya solución no está contemplada en las guías de los equipos, se deben reportar los daños al proveedor o personal competente

Los puertos de datos de par trenzado RJ-45, son enchufes blindados RJ -45 a los que sólo deben acoplarse conectores de datos RJ -45. No pueden utilizarse como enchufes telefónicos.

Procedimientos Preventivos para estaciones de usuarios y tarjetas de red

Para su mantenimiento deben seguirse los pasos y recomendaciones dadas por los fabricantes y el proveedor.

Cuando no estén en uso deben almacenarse en un lugar seguro en forma individual en bolsas antiestáticas.

Proteger el software de configuración para que no sea alterada.

Verificar periódicamente la conexión de las tarjetas (para cable) al Pathcord con el punto de red.

El Pathcord no debe estar doblado, ni pisado, para evitar su deterioro e interrupciones de conexión.

Mantener copias de discos de inicio y clientes específicos de la red de datos

Crear procedimientos claros y concisos para la instalación y configuración del Cliente de Red.



72

Capacitar constantemente a los usuarios finales sobre la manera correcta de entrar y salir de la red, conceptos básicos, manejo de los recursos, uso y aprovechamiento de las ventajas del trabajo en red

Capacitar constantemente a los usuarios finales de la manera adecuada de estructurar el árbol de directorio o FileSystem de las máquinas.

Tener definidos procedimientos claros sobre las diferentes operaciones a realizar en las estaciones de trabajo y manejo de programas básicos, que sirvan de guía para los usuarios finales y para otros funcionarios al interior de la Dirección de Sistemas de Buen Gobierno y las TIC en caso de dar soporte a los usuarios. En el Manual de Sistemas e Informática aparece todos los procedimientos básicos para la configuración, el mantenimiento y solución de fallas tanto de software como de hardware en las estaciones de trabajo

Nunca consumir alimentos ni ingerir bebidas cerca de los equipos.

Mantener un stock de elementos como: teclados, monitores, CPU, mouses que puedan ser utilizados cuando se presente algún daño en los equipos.

Disponer de elementos de oficina adecuados (sillas, escritorios para las estaciones de trabajo, mesas para impresoras, descansa pies y demás elementos), de tal manera que se garantice la seguridad física de los equipos y su correcto funcionamiento.

Realizar mantenimientos preventivos que incluyan revisión y limpieza lógica y física de los equipos.

Todas las estaciones de trabajo deben tener instalado el software antivirus, para prevenir daños en la información.

Mantener actualizada la versión del antivirus en los servidores, ya que la actualización en cada estación de trabajo está programada para realizarse automáticamente a través de la red.

Capacitar a los usuarios sobre la importancia de no trabajar con disquetes diferentes a los utilizados al interior de la entidad, en caso de ser necesario deben ser revisados, para evitar que la red se infecte.



73

Hacer cumplir el procedimiento definido para solicitar el soporte por parte de los usuarios de la red central como de los sitios remotos a la Dirección de Sistemas de Buen Gobierno y las TIC.

Definir un plan para el fomento de la cultura informática.

Todas las anomalías que se presenten en el funcionamiento de los equipos deben ser informadas oportunamente al personal de soporte de la Dirección de Sistemas de Buen Gobierno y las TIC, quienes tomarán las medidas respectivas

Procedimientos Preventivos para el Entorno Físico

Debe existir un cuarto de comunicaciones capaz de albergar equipos de telecomunicación, terminales de cable y cableado de interconexión asociado.

El cuarto de comunicaciones no debe ser compartido con instalaciones eléctricas que no sean de telecomunicaciones, y se debe considerar la incorporación de otros sistemas como televisión por cable, alarmas, seguridad, audio y otros.

Se debe contar mínimo con un cuarto de comunicaciones y no existe algún límite.

El cuarto comunicaciones no debe tener acceso controlado y sól debe permitir el acceso al administrador de la red y de los servicios de comunicación.

La altura mínima recomendada para un cuarto de comunicaciones es 2,6 metros.

La puerta de acceso debe ser de apertura completa con llave y al menos 91 cm de ancho y 2 metros de alto, debe abrir hacia afuera, o lado a lado, debe ir a ras de piso y no poseer postes centrales.

Se debe evitar polvo y electricidad estática utilizando piso de concreto, terraza, loza, o similar, nunca utilizar alfombra.

En cuartos que no posean equipos electrónicos la temperatura debe mantenerse continuamente entre 10 y 33 grados centígrados y la humedad relativa mantenerse en 85%.



74

En cuartos donde existen equipos electrónicos la temperatura debe mantenerse entre 18º y 24º centígrados y la humedad relativa entre 30% y 55%.

Se debe evitar el uso de techos falsos en los cuartos de comunicaciones.

No debe existir alguna tubería de agua pasando por, sobre o alrededor del cuarto de comunicaciones.

Debe existir regaderas contra incendio e instalar una canoa para drenar un posible goteo potencial de las regaderas.

Los pisos deben soportar una carga de 2.4 Kpa.

Se debe proporcionar un mínimo equivalente a 540 Lux medido a partir de un metro del piso.

Las paredes deben estar pintadas de un color claro para mejorar la iluminación.

Se recomienda mantener una distancia promedio en 46 metros o menos (max 90 metros) para ubicar el cuarto de comunicaciones lo más cerca posible al área de trabajo.

Debe existir un mínimo de 2 tomacorrientes dobles de 110 v corriente alterna dedicados de 3 hilos deben ser circuitos separados de 15 a 20 amperios, y deben estar dispuestos a 1.8 metros mínimo de distancia de uno a otro.

Se debe contar con alimentación de emergencia de activación automática (UPS)

Separado de los tomas anteriores se debe hacer otros tomas dobles para herramientas, equipo de prueba, etc. deben situarse a 15 cm del nivel de piso y en intervalos de 1.8 metros alrededor del perímetro de las paredes.

El cuarto debe tener una puesta a tierra que debe estar conectada mediante un cable mínimo 6 AWG con aislamiento verde a sistema puesta a tierra según recomendación EIA/TIA 607.



75

Se debe mantener el cuarto con llave en todo momento, asignando llaves al personal que debe laborar allí.

El cuarto en todo instante debe encontrarse limpio y ordenado.

Los Racks deben contar con al menos 82 cm de espacio de trabajo libre alrededor, al frente y atrás de los equipos y paneles de telecomunicaciones.

Debe existir mínimo 1 metro de espacio libre para trabajar con el equipo en partes expuestas sin aislamiento.

Los Racks y gabinetes debe cumplir con las especificaciones de ANSI/EIA 310.

La tornillería debe ser métrica M6.

Se recomienda dejar espacio libre de 30 cm en las esquinas.

Las paredes deben ser pintadas con pintura resistente al fuego, lavable, mate y color claro.

Todos los sitios donde se encuentren ubicados equipos informáticos (Piso 7 y Auditorias delegadas), deben estar dotados de las medidas de seguridad adecuadas que garanticen su protección, por ejemplo:

• Sistema de aire acondicionado • Extintor • Material no combustible • Sistema eléctrico con protección a tierra • Control de acceso restringido a los equipos • Control que dispare los breakers automáticamente cuando se presente un corto circuito • Control que detecte variaciones de temperatura y humedad relativa. • Señalización adecuada

Los cables de potencia separados del cable de datos. Los cables deben estar debidamente canalizados, marcados y organizados a través de bandejas portacables, ductos o tubería metálica o PVC, de acuerdo con las normas establecidas para esto.

Realizar mantenimientos preventivos a las instalaciones.



76

Realizar mediciones periódicas a las instalaciones eléctricas y de telecomunicaciones.

Hacer chequeos previos a las instalaciones eléctricas, de comunicación y datos antes de instalar los equipos informáticos.

Colocar avisos de no fumar, no ingerir bebidas ni alimentos en todos los lugares donde se encuentren ubicados equipos informáticos.

Evitar adecuar en forma improvisada sitios para equipos informáticos o colocar equipos informáticos en sótanos.

El entorno físico debe facilitar que los equipos sean ubicados en lugares aireados, no muy cercanos a ventanas, que no reciban directamente los rayos del sol o demasiado polvo

Procedimientos Preventivos a desarrollar ante una falla o carencia de uno de los

servicios corporativos que se prestan a través de la red

Al interior de la red de datos de la CGA existen varios servicios informáticos que soportan la gestión de la entidad y sus diferentes áreas de gestión, actualmente estos servicios son:

Correo Electrónico

Intranet

Sistema de Información Kactus

Extranet

Conexión a internet

Otros El procedimiento a activar en caso de carencia de unos de estos servicios se define a continuación:

Falta del Correo Electrónico

Para garantizar el flujo de la correspondencia se debe recurrir al flujo del documento físico o verbal hasta que se restablezca el servicio; cuando se utilice el documento físico deberá manejarse dos copias del documento; una para el destinatario y otra para el remitente en la cual se debe registrar el recibido



77

Falta de Sistema de Correspondencia Mercurio

El procedimiento es similar al automatizado así:

Llevar a la taquilla de correspondencia el documento físico

Radicar el documento físico

Obtener fotocopia del documento radicado

Entregar la fotocopia al destinatario tomando el recibido en el documento original

Almacenar los documentos originales con recibido para ser procesados en el sistema tan pronto se restablezca el servicio

La consulta de la información previamente digitalizada deberá realizarse directamente en la oficina de Recursos Físicos o en el Archivo de Contraloría según el caso.

Falta de Software Aplicativo Adquirido (Mejoramiso, SAP ERP, INTERNET)

Estos elementos de software fueron adquiridos por la entidad y su soporte también es atendido por la firma proveedora o con quien se tenga contratado el soporte técnico respectivo, los inconvenientes en su funcionamiento deben ser atendidos por personal interno de la entidad cada vez que se deban a problemas de tráfico o accesibilidad a la base de datos pero lo correspondiente a operación y funcionalidad del mismo debe ser atendido directamente por la firma proveedora. Cuando se presente problemas que impidan el normal funcionamiento del software adquirido por problemas técnicos (disponibilidad) en los servidores se deben:

Instalar los productos de software en una estación de trabajo independiente, siguiendo el procedimiento definido para cada producto.

Realizar el registro de la nueva instalación según los archivos de registro existentes

Pasar los datos digitalizados desde la copia de seguridad a la estación de trabajo

Configurar las opciones requeridas por el usuario particular En caso que no sea posible la instalación del software en una estación de trabajo, se deben realizar los procesos manualmente, separando debidamente la documentación generada para luego ser procesada en el aplicativo una vez se supere el problema.



78

Falta de Intranet

Dada que la Intranet es un servicio para divulgación de la información, su carencia no genera mayores traumas al interior de la organización. Al momento de presentarse problema con este servicio debe procederse así:

Tomar posesión de la máquina alternativa para restablecer el funcionamiento de este servicio

Realizar la configuración necesaria en la máquina a fin de que los cambios no generen problemas con los usuarios finales

Instalar todos los archivos necesarios para restablecer el servicio En caso que no sea posible la instalación en una máquina alternativa, el servicio deberá suspenderse hasta tanto se supere el problema.

Sistema de Información Kactus:

Este software es proporcionado a la entidad por convenio administrativo entre la Gobernación de Antioquia y la Contraloría General de Antioquia, cualquier falla en la operación del mismo debe ser reportada directamente a la Dirección de informática de la Gobernación con el fin de determinar las acciones a seguir que permitan restablecer su operación.

Procedimientos Correctivos

Objetivos

Crear los procedimientos que se deben utilizar en caso de presentarse alguna eventualidad en la Red Corporativa y que provean una solución para mantener operativos los sistemas de información y todos los dispositivos electrónicos que representan los bienes informáticos de la Entidad.

Listar de una forma organizada los procedimientos correctivos aplicables a cada uno de los Equipos que componen la red corporativa.

Los procedimientos correctivos deben ser los más apropiados y económicos para la Entidad.



79

Método El procedimiento a seguir para la elaboración del plan correctivo de la red corporativa será el siguiente, se estudiaran las posibles fallas a las que se encuentran sometidos cada uno de los elementos que conforman la red corporativa analizados anteriormente, se clasificarán según su síntoma, y se creara el procedimiento a seguir para restaurar dicha falla. Al igual que en el plan preventivo se enumeran los procedimientos para cada elemento y estos se clasifican en orden de importancia.

Grupos de Riesgos En el caso del plan correctivo se tendrá en cuenta los mismos grupos de riesgos del plan preventivo pero de una forma generalizada, es decir se considerara como catastrófico cuando el equipo o dispositivo queda absolutamente inservible, y se tratara de enfatizar en los riesgos técnicos propios de cada equipo como son daños en disco duro, memoria, puertos, entre otros.

Listado de procedimientos correctivos

Procedimientos Correctivos Generales

Síntomas

No hay comunicación de una estación con la red de datos.

No hay servicio de Intranet.

No hay servicio de Correo Electrónico.

No hay comunicación con un servidor de otro segmento.

Procedimiento a seguir.

Verificar si es problema de estación, en tal caso remitirse a los procedimientos relacionados con estación de trabajo (Tarjeta de Red, Patch Cord, toma de datos)

Verificar si el switch al cual está conectado la estación está funcionando correctamente.



80

Verificar si el Swiche está funcionando correctamente para tal fin ver procedimientos del Swiche.

Verificar que el o los servidores que desean accesar están encendidos

Verificar que los servicios requeridos en cada uno de los servidor requeridos estén iniciados y ejecutándose sin problema

Verificar procedimientos relacionados con el TCP/IP de la estación de trabajo.

Verificar el correcto funcionamiento del servidor SRVAPPVIRTUAL, servidor de Intranet, para tal fin verificar los procedimientos de Servidores.

Verificar el correcto funcionamiento del servidor SRVAPPVIRTUAL y todos los servicios del Correo Electrónico.

Verificar que el software de Microsoft Exchange, este instalado y corriendo adecuadamente.

Procedimientos correctivos para Switche

Síntomas

No hay comunicación con un servidor, un segmento o una estación conectada a un puerto específico.

No hay comunicación entre determinados segmentos.

No es posible accesar el Swiche a través de uno de los puertos.

El LED de encendido (PWR) del módulo no ilumina.

El LED ACT indicador de la actividad del módulo no parpadea

El LED indicador de la temperatura de la tarjeta LMM está encendido.

El LED de error del módulo LMM es encendido.

El LED de error de un módulo FCM o ESM esta encendido.

El LED indicador de un puerto de un módulo ESM o FCM está en amarillo.

El equipo no enciende.

El sistema se apaga después de 2 a 5 minutos de encenderse.

Los circuitos de protección se disparan.



81

Procedimiento a seguir

Verificar que los niveles de voltaje de alimentación sean los correctos, posiblemente el software del Swiche no está funcionando correctamente, llamar al distribuidor del equipo o a la empresa encargada del mantenimiento.

Verificar que la temperatura ambiente donde se encuentra instalado el Swiche cumpla con los requerimientos del sistema.

En caso de que la temperatura sea muy alta tomar las medidas necesarias de acuerdo a la situación para asegurar el correcto funcionamiento del equipo.

Reiniciar el equipo.

Remover el módulo LMM del sistema.

Encender el sistema. Si el sistema opera por lo menos 10 minutos sin apagarse, reemplazar el módulo.

Si el sistema todavía se apaga el problema probablemente es en el censor térmico, backplane o la fuente de potencia. En este caso llame a su distribuidor ó empresa encargada del mantenimiento.

Verifique que los cables UTP estén bien conectados a los puertos RJ -45 de los módulos ESM.

Remueva el módulo en cuestión, instálelo de nuevo y reinicie el equipo.

Accesar el Swiche a través de Telnet con el usuario administrador y correr la opción de diagnóstico sobre el módulo en cuestión.

Verifique la integridad de los cables que están conectados a los puertos del módulo.

Si el puerto continúa en amarillo contacte a su distribuidor ó empresa de mantenimiento.

Verifique que los cables de potencia estén finamente conectados al equipo y que haya suministro de energía.



82

Verifique que el interruptor de encendido se encuentre en ON.

Reinicialice el equipo apagando y encendiendo repetidamente a través del interruptor de encendido.

Verificar que las rejillas de ventilación estén limpias y despejadas.

Verifique que el ventilador del equipo esté funcionando correctamente. (Ver manual “setup guide “).

Verifique que el sistema esté conectado debidamente al suministro de AC y al voltaje adecuado.

Interconectar los concentradores entre sí a través de cables de expansión posteriores o a través de cable UTP entre puertos.

Conectar los equipos (Servidores, consolas, etc.) más necesarios a los concentradores.

Procedimientos correctivos para Servidores

Para listar los procedimientos correctivos al servidor, se dividirá en cada una de sus partes y se creara su procedimiento contra el síntoma enunciado.

Disco Duro

Síntomas

Mensaje: La unidad no es válida o no se reconoce el dispositivo

Mensaje: Verifique que la unidad no esté protegida contra escritura

Mensaje: NON-SYSTEM DISK HDD HARD DISK FAILURE

No arranque del equipo a pesar de transferir los archivos del sistema de DOS

No permite crear, copiar, modificar o borrar archivos o directorios en los volúmenes (Daño en un volumen).

Pérdida de información

Pérdida de capacidad de almacenamiento.

Para arrancar el sistema, se debe apagar el equipo repetidas veces

No es posible montar un volumen.



83

Mensaje: ”Nombre del servidor” Netware product Kernel copy right violation

Problemas al montar un volumen.


Nota: Antes de destapar el equipo verificar si tiene garantía y en caso tal llamar al proveedor.

Verificar que la correa de datos esté bien conectada tanto al disco duro como en la controladora

Verifique que el disco duro tenga la potencia bien conectada.

Verificar que la tarjeta controladora esté haciendo buen contacto en el slot.

Conecte el disco duro en otro equipo de similares características para descartar daño de otros elementos.

Reiniciar el equipo con un disquete que tenga DOS de la misma versión que hay grabada en el disco duro.

Transferir los archivos del sistema a la partición de DOS.

En caso de poder ver la información hacer respaldo.

Correr un antivirus actualizado a la partición de DOS.

Ejecutar FDISK para verificar si la partición de DOS está activa.

Borrar la partición de DOS y volverla a crear.

Formatear la partición de DOS con sistema.

Restaurar todos los archivos de la partición DOS, archivos de arranque, archivos de configuración, controladores de disco etc., desde el backup si se tiene o si no desde el CD de instalación, teniendo precaución de seleccionar los controladores de disco apropiado.

Verificar que los controladores o drivers para el disco duro o controladora del arreglo (*.dsk), no estén defectuosos, o sean inadecuados, en tal caso reemplazarlos y reinstalar nuevamente.



84

Arrancar el servidor y hacer Backup total.

Restaurar la información mínima necesaria en otro servidor como solución transitoria para evitar paro de funciones.

Adecuar las estaciones y asignar derechos necesarios para el acceso al servidor transitorio.

Enviar el Disco Duro a empresas especializadas en recuperar la información.

Instalar un disco duro nuevo.

Instalar la versión de Windows Server 2003 adecuada y ubicar el servidor en el contexto donde estaba anteriormente.

Reestablecer la información en sus volúmenes.

Verificar si el directorio SYSTEM no ha sido borrado o ha perdido información.

Arrancar el servidor y digitar manualmente los datos solicitados por él.

Cargar manualmente los drivers para manejo de la tarjeta de red, con los parámetros adecuados desde la partición de DOS.

Entrar al servidor a través de una estación y restaurar el subdirectorio SYSTEM desde el último backup o copiarlo desde otro servidor adecuándolo para que realice correctamente sus funciones anteriores.

Hacer chequeo de la superficie del disco teniendo cuidado previamente de:

Realizar backup previamente de toda la información en los volúmenes o al menos de los datos.

Desmontar los volúmenes que contenga el disco en cuestión.

Hacer el chequeo no destructivo para garantizar la integridad de los datos.



85

Tarjetas de Red

Síntomas

Ninguna estación conectada a través de esta tarjeta tiene acceso a la red.

No es posible detectar el servidor en la red


Verificar que la tarjeta de red esté haciendo buen contacto con el bus de datos.

Verificar que el terminal-cord este bien conectado y en buen estado.

Verificar que el driver de la tarjeta de red esté cargado.

Verificar que los parámetros especificados lógicamente en los archivos de configuración coincidan realmente con la ubicación y configuración física.

En caso de que no cargue la tarjeta de red o reporte problemas con el driver, sustituirlo.

Reemplazar la tarjeta de red, para descartar un posible daño en la tarjeta.

Main Board

Síntomas

No realiza conteo de memoria

No hace chequeo de los periféricos.

No arranca el disco duro.


Revisar todos los conectores para asegurar que estén conectados en forma completa.

Confirme que el suministro de energía sea el indicado.



86

Buscar elementos extraños que hayan caído en la tarjeta, como por ejemplo tornillos.

Realice una limpieza total a la tarjeta.

Confirme que las posiciones de los interruptores en la tarjeta del sistema estén correctas.

Haga trabajar la prueba de tarjeta del sistema, del programa de diagnóstico avanzado.

Revisar si existen códigos de error que aparecen en la pantalla como son fallas de interrupción, reloj, memoria u otras, ayuda sustancialmente a elegir un diagnóstico.

Comprobar el voltaje de alimentación para ver si existe 2,4 a 5 voltios entre las terminales de entrada del sistema.

Emplee una tarjeta adaptadora de códigos de pruebas de autodiagnóstico.

Chequear e l funcionamiento del procesador, cambiar por otro de similares características.

Cambiar la tarjeta madre por otra, teniendo en cuenta de que esta posea la misma arquitectura y soporte el sistema.

CD - ROM

Síntomas

No es posible accesar el dispositivo.

No es posible cargar un CD como volumen.


Verificar para el CD-ROM que el módulo CDROM este cargado.

Verifique para el CD-ROM que el número del dispositivo o el nombre del volumen sea el adecuado usando el comando.

Verificar que el CD a montar cumpla con los estándares (ISO 9000).

Verificar que los módulo s requeridos por el software y dependiendo del equipo para el manejo de la unidad de almacenamiento estén cargados.



87

Memoria

Síntomas

Lentitud del servidor para realizar un proceso.

Reporte de sectores de memoria defectuosos en el arranque del equipo.

Mensaje “Insufficient memory” al tratar de cargar un módulo.


Bajar adecuadamente el servidor y cambiar los módulos de memoria RAM uno a uno para determinar si existe uno defectuoso, en caso tal reemplazarlo por uno de idénticas características.

Verificar que las especificaciones de los módulos de memoria RAM correspondan con las requeridas por el equipo (capacidad, velocidad, paridad, etc.)

Verificar que la distribución de memoria en los slots correspondan con las especificadas por el fabricante. En caso de no tener manuales hacer las pruebas respectivas.

En todos los cambios de memoria se debe configurar el equipo a través del setup, diskette o CD de configuración del equipo.

Reiniciar el equipo, restaurar el servidor y verificar que realice normalmente sus funciones (Conteo de memoria, ejecución de aplicaciones, etc.).

Para solucionar el problema temporalmente reducir el valor de “minimum cahe buffers”

Aumentar la capacidad de memoria, teniendo en cuenta de especificar correctamente el número de pines, velocidad, capacidad, marca y modelo del equipo.



88

Fuente

Síntomas

No enciende el equipo.


Verifique la potencia de entrada.

Verifique que el cable de potencia este bien conectado en ambos extremos.

Verificar los voltajes de salida de la fuente (+/- 12 y +/- 5).

Cambiar la fuente de potencia por otra según la marca y modelo del equipo.

Archivos De Arranque y Configuración

Síntomas

El servidor Inicia pero no carga los controladores de disco

No carga las tarjetas de red, ni los protocolos, ni algunos servicios automáticos


Cargar manualmente la tarjeta de red y el protocolo (TCP/IP) para que permita el acceso al servidor.

Entrar al servidor con un usuario que tenga los derechos necesarios y verificar que el Autoexec se encuentra dentro del directorio System del volumen SYS.

Restaurar el archivo Autoexec dentro del directorio SYS:SYSTEM desde el backup correspondiente

Verificar que el archivo Initsys se encuentre en el directorio System

Restaurar el archivo Initsys desde el último backup correspondiente.



89

Concentradores

Síntomas

No existe comunicación.

Se presentan colisiones continuamente.

Los puertos se muestran aislados y no operan correctamente


Verificar el nivel de colisiones, observando de manera especial los puertos críticos

Revisar la actividad realizada en el equipo conectado en la terminal de datos

Conectar otro equipo del cual este seguro su funcionamiento en el puerto del cual se cree tener problemas y verificar su funcionamiento.

Cambiar la conexión a otro puerto y registrar el puerto que presenta anomalías.

Resetear el equipo y volver a intentar la conexión.

Verificar el tráfico en cada uno de los segmentos que entran al concentrador

Revisar el cableado

Cambiar por otro concentrador de similares características.

Procedimientos correctivos para Estaciones de Trabajo

Síntomas

No entra a la red.

Lentitud de conexión del equipo.

No se puede ejecutar alguna aplicación de la red.

No es posible accesar determinada información en la red.

No es posible imprimir remotamente.



90

Desconexión de usuarios de la red.

No permite guardar, copiar ó modificar archivos de la red.

No hay comunicación con la Intranet, Correo electrónico o Correspondencia.


Verificar que el patch-cord este bien conectado tanto en la tarjeta de red como en él toma RJ -45.

Verificar que el patch-cord correspondiente si está conectado a algún concentrador en el cuarto de comunicaciones correspondiente y de la forma adecuada.

Liberar Estática en los puertos y conectores de la estación de trabajo

Verificar que el cableado horizontal este bien mediante un probador para cable UTP.

Verificar la integridad del cableado que llega al patch-panel a través de un probador para cable UTP.

Verificar la integridad del terminal-cord y el patch-cord a través de un probador para la norma EIA/TIA 568 A.

Verificar la correcta funcionalidad de la tarjeta de fax modem interna:

Verificar la valides de las cuentas de conexión

Verificar que el usuario tiene todos los derechos necesarios para accesar a los diferentes recursos de la red. (Directorios, Impresoras, etc).

Verificar que el usuario está capturando la cola de impresión correcta.

Verifique que la cuenta de usuario no este bloqueada o desactivada

Haga un PING inicialmente a la dirección IP de la tarjeta de red de la estación, si no se obtiene respuesta realice lo siguiente: Verifique que la estación tenga el protocolo TCP/IP habilitado, de lo contrario proceder a instalarlo y configurarlo.



91

Verifique que la configuración para TCP/IP de la estación sea la adecuada, solucionando los conflictos de dirección IP existentes.

Haga un PING al equipo o servidor que desea accesar en caso de no recibir respuesta verificar que dicho equipo esté funcionando y esté debidamente configurado para TCP/IP.

Procedimientos correctivos para Cableado Horizontal

Síntomas

No existe la comunicación.


Revise la conexión del path cord desde el punto de red hasta la estación de trabajo.

Verificar el estado de conector RJ45, y los colores estándar utilizados en la conexión.

Conectar otro equipo al terminal del RJ45, comprobar si este realiza todas las operaciones en la red.

Por medio de un chequeador de cableado comprobar el funcionamiento del cable según el estándar 568A desde el punto de red hasta el rack ubicado en el centro de cableado.

Verificar el estado de conexión en el concentrador respectivo.

Observar si existe cables de energía cerca, y evaluar la influencia de estos sobre el par trenzado 10 Base-T.

Llevar un cable desde el puerto de conexión ubicado en el rack del centro de comunicaciones, hasta la tarjeta de red del equipo y verificar su funcionamiento de red.

Si el equipo funciona luego del procedimiento anterior, cambiar el cable UTP que va por el tendido horizontal.

Mirar problemas de la estación de trabajo.



92

Mecanismos de control y seguimiento Se define como mecanismos de control y seguimiento para el MCN los comités operativos realizados por el comité de la DSBGTic (Dirección de Sistemas de Buen Gobierno y las TIC), además de las Auditorías Internas de Calidad.

Manual de Sistemas Se recomienda la consulta de los procedimientos internos que están en la Carpeta del servidor, donde se encuentra otra serie de instrucciones relacionadas con la Dirección de Sistemas de Buen Gobierno y las TIC.

Bibliografía Ministerio de las Tecnologías de la Información y las Comunicaciones, (2016). Modelo de Seguridad y Privacidad de la Información - Seguridad y Privacidad dela Información – Modelo - Versión 3.0.2. Ministerio de las Tecnologías de la Información y las Comunicaciones, (2016). - Guía de Gestión de Riesgos - Guía No. 7. Ministerio de las Tecnologías de la Información y las Comunicaciones, (2010). Guía para la preparación de las TIC para la Continuidad Tecnológica – Guía No. 10 versión 1.0.0. Presidencia de la República. Decreto 1078 del 26 de mayo de 2015. Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones. Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. Seguridad de la Sociedad: Sistemas de Continuidad Tecnológica – Requisitos - ISO/IEC 22301:2012. Norma Técnica Colombiana, 2011, NTC-ISO 27005 Tecnología de la Información, Técnicas de seguridad Gestión de Riesgos de seguridad de la información.



93

Norma Técnica Colombiana – ICONTEC, 2007. NTC-ISO/IEC 27002 - Tecnología de la Información. Técnicas de seguridad, código de práctica para la gestión de la seguridad de la información. Estándar Internacional, 2005. ISO/IEC 27001. Tecnología de la Información. Técnicas de seguridad, Sistemas de gestión de seguridad de la información - Requerimientos Estándar Internacional ISO 22301:2012. Seguridad de la Sociedad: Sistemas de Continuidad Tecnológica - Requisitos. CONTRALORÍA GENERAL DE ANTIOQUIA. Dirección de Sistemas de Bueno Gobierno y las TIC. Plan de Contingencia para Bienes Informáticos, versión 5. Medellín 2016. CASTRO BOLAÑOS Duvan Ernesto y ROJAS MORA, Ángela Dayana. Riesgos, amenazas y vulnerabilidades de los sistemas de información geográfica. Bogotá. 2013. Trabajo de Investigación. Universidad Católica de Colombia, Facultad de Ingeniería, Programa de Ingeniería de Sistemas. MANUALES Y DOCUMENTACIÓN de los equipos y del software que hacen parte de la Red Corporativa de la Contraloría General de Antioquia, así como del conocimiento y experiencia de los funcionarios de la Dirección de Sistemas de Buen Gobierno y las TIC en la aplicación de los diferentes procedimientos que tienen relación con la administración y manejo de la plataforma tecnológica.

LUIS CARMELO CATANO CATANO Director Tecnico P/E/ Nancy García Ospina, Profesional Universitaria. Dirección de Sistemas de Buen Gobierno y las TIC R/ Luis Carmelo Cataño Cataño, Director de Sistemas de Buen Gobierno y las TIC. Andrea Bedoya Pulgarín, Jefe Oficina Asesora de Planeación. Patricia Carvajal Vargas, Contralora Auxiliar, Oficina Asesora de Planeación. Lina Marcela Toro Profesional universitario. A/Sergio Zuluaga Peña. Contralor General de Antioquia

manual de continuidad tecnolÓgica para la … · gestión de continuidad de negocio (bcm): proceso...

Documents