Desarrollar guía de buenas prácticas para el mejoramiento de los servicios en la nube de la alcaldía de Fusagasugá

Abstract

El presente proyecto se realizó con el objetivo de desarrollar una guía de buenas prácticas para el mejoramiento de los servicios en la nube de la alcaldía de Fusagasugá en la oficina TIC y transformación digital, de esta manera se busca fortalecer la seguridad de la infraestructura tecnológica de la entidad. Para lograr los resultados esperados, se aplicó el ciclo PHVA (Planear – Hacer – Verificar – Actuar) como guía metodológica, lo cual permitió estructurar el trabajo en fases consecutivas para ajustar las soluciones propuestas al contexto institucional. Durante la fase de planificación, se realizó un diagnóstico del estado en el que se encontraba la infraestructura en la nube de la entidad, lo que permitió identificar fortalezas en la segmentación de subredes y la escalabilidad de los servicios. Igualmente, se identificaron puntos críticos que requieren ser tratados de manera oportuna. A partir de estos hallazgos, se determinó cual sería el proceso por seguir en las siguientes fases. Con ello, en la fase de ejecución se realizó un análisis para identificar vulnerabilidades en una instancia representativa de la plataforma en la nube por medio de Nmap, esta evaluación evidenció la importancia de aplicar mecanismos preventivos que permitan anticiparse a escenarios de riesgo sin comprometer la estabilidad operativa de los servicios de la entidad. Para la fase de verificación se diseñó una matriz de riesgos y se representó visualmente mediante un mapa de calor, lo cual facilitó la clasificación y priorización de amenazas de acuerdo con la probabilidad e impacto. Con esta información se formularon controles de seguridad alineados con la norma ISO/IEC 27001:2022 y se estimó el riesgo residual asociado a cada escenario. Se validó la viabilidad técnica ya que los resultados proyectados presentaron una disminución significativa en el nivel de exposición. En la fase final, actuar, se documentaron procedimientos para la instalación de certificados SSL y la configuración de copias de seguridad, acciones que están orientadas a mejorar la disponibilidad y la protección de los datos institucionales. Además, para integrar el trabajo realizado en las fases anteriores se diseñó una guía de buenas prácticas ajustada a las necesidades de la entidad, la cual recopila recomendaciones normativas y operativas que fortalecen la gestión segura de los servicios en la nube y es un insumo importante en la toma de decisiones a futuro para la protección de la información de la entidad. Los resultados del proyecto aportan valor estratégico a la alcaldía de Fusagasugá, al brindar herramientas para mejorar la infraestructura digital de manera preventiva y de acuerdo a los lineamientos normativos a nivel nacional e internacional para reducir la brecha y fortalecer la seguridad de la información de la entidad.

This project was carried out with the objective of developing a guide of good practices for the improvement of cloud services of the Mayor's Office of Fusagasugá in the TIC and digital transformation office, thus seeking to strengthen the security of the technological infrastructure of the entity. To achieve the expected results, the PHVA cycle (Plan - Do - Verify - Act) was applied as a methodological guide, which allowed structuring the work in consecutive phases to adjust the proposed solutions to the institutional context. During the planning phase, a diagnosis was made of the state of the entity's cloud infrastructure, which made it possible to identify strengths in the segmentation of sub-networks and the scalability of services. Critical points that need to be addressed in a timely manner were also identified. Based on these findings, the process to be followed in the following phases was determined. With this, in the execution phase, an analysis was carried out to identify vulnerabilities in a representative instance of the cloud platform by means of Nmap. This evaluation showed the importance of applying preventive mechanisms to anticipate risk scenarios without compromising the operational stability of the entity's services. For the verification phase, a risk matrix was designed and visually represented by means of a heat map, which facilitated the classification and prioritization of threats according to probability and impact. With this information, security controls aligned with ISO/IEC 27001:2022 were formulated and the residual risk associated with each scenario was estimated. The technical feasibility was validated since the projected results showed a significant decrease in the level of exposure. In the final phase, procedures were documented for the installation of SSL certificates and the configuration of backup copies, actions aimed at improving the availability and protection of institutional data. In addition, to integrate the work carried out in the previous phases, a best practices guide was designed, adjusted to the entity's needs, which compiles regulatory and operational recommendations that strengthen the secure management of cloud services and is an important input in future decision-making for the protection of the entity's information. The results of the project provide strategic value to the mayor's office of Fusagasugá, by providing tools to improve the digital infrastructure in a preventive manner and in accordance with national and international regulatory guidelines to reduce the gap and strengthen the entity's information security.