Este documento presenta los resultados de un análisis cualitativo de riesgos de bases de datos realizado en junio de 2020. Se revisaron 11 sistemas de información mediante cuestionarios. Los resultados mostraron debilidades en la gestión de riesgos, como la falta de identificación de activos, controles de seguridad y procedimientos. Se recomienda la adquisición de una solución de gestión de riesgos de seguridad de la información para mejorar la visibilidad y ejecución de controles.

1. Junio 2020
Análisis de Riesgos de Bases de Datos
Cualitativo

2. Metodología
Verificar los sistemas de
información que se utilizan
en la entidad.
Solicitar a la Oficina
Sistemas realización de
análisis de
vulnerabilidades.
Presentación de informe
(diagnóstico) que permita
la toma de decisiones.

3. • Entrega a dichas áreas de un formulario para ser diligenciado - (48 preguntas).
Actividades Realizadas
• Reuniones con las áreas de Empleo y Trabajo, Relaciones Corporativas, Sistema
Nacional de Formación para el Trabajo y Formación Profesional.
Numero de Formularios Regresados
• Empleo y Trabajo 1
• FPI 9
• Relaciones Corporativas 1
• Sistema Nacional Trabajo 1

4. Sistemas de Información Revisados con el Cuestionario
APE
• Aplicación Web
Promoción
• SGVA
DSNFT
• SIGP
Formación
• SOFIA Plus
• Gestion de Centros
• D-Signer
• SIENI
• Gestion de proyectos
SENNOVA
• Plataforma de Gestión
del Conocimiento
• Aplicativo Red
Tecnoparque
• Aplicativo
Tecnoacademia
* Se revisaron 11, Territorium no venia diligenciado.

5. Indicadores de Riesgos
El 54.5% NO identifica los activos y sus riesgos asociados
El 54.5% NO identifican controles de Seguridad
El 54.5% ha identificado FRAUDE a través de sus procesos
El 81.8% afirma que NO les han hecho auditorias técnicas a sus sistemas
El 63.3% afirma que NO se hacen auditorias sobre el usuario administrador
El 45.5% afirma que NO hay monitoreo sobre la seguridad de los servidores
El 45.5% No conoce el procedimiento de gestión de incidentes
El 72.7% NO identifica procedimientos de administración de datos
El 90.9% NO identifica los indicadores de satisfacción de usuarios en el sistema

6. Cronograma
Tareas Responsable Fecha de inicio Fecha final Días Estado
Pre-requisitos
Programar reuniones DP 4/28 4/30 2 Completado
Alistar Cuestionario DP 27-abr 27-abr 0 Completado
Inicio
Entrega de Cuestionarios DP 28-abr 30-abr 2 Completado
Recepcion de Cuestionarios Areas 30-abr 8-may 8 Completado
Analisis de Informacion DP 11-may 13-may 2 Completado
Desarrollo
Analisis de Informacion DP 11-may 13-may 2 Completado
Evaluacion de las bases de datos Sistemas 14-may 30-jul 77 En progreso
Analisis de Informacion DP 31-jul 7-ago 7 Sin empezar
Presentacion de Resultados DP 10-ago 10-ago 0 Sin empezar
Operaciones
Remediacion Sistemas 11-ago 30-oct 80 Sin empezar
Finalizacion 30-oct 30-oct

7. Debilidad en el gobierno de
riesgos.
Poca visibilidad desde
Seguridad de la Información
para:
• Riesgos
• Políticas
• Procedimientos
Poca visibilidad en la ejecución
de controles de seguridad
Adquisición de una solución o herramientas
de gestión.
Que integre:
• Riesgos
• Seguridad de la Información.
• Cumplimiento
• Seguimiento a vulnerabilidades
• Evaluación de controles de seguridad
Necesidad en Seguridad de la Información

8. Plataforma Gobierno de Riesgos
• SureView Insider Threat
• Tenable vulnerability manager
• Darktrace antigena
• RSA archer suite
• Gestion de Riesgos
• Regulacion/Cumplimiento
• Gestion de Auditorias
• Continuidad
• Riesgos del Negocio
• Riesgos de TI