Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

CD-6220.pdf

Anuncio 
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
METODOLOGÍA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN ENFOCADO A LAS INDUSTRIAS DE
TELECOMUNICACIONES EN EL ECUADOR.
TESIS PREVIA A LA OBTENCIÓN DEL GRADO DE MÁSTER EN
GESTIÓN DE LAS COMUNICACIONES Y TECNOLOGÍAS DE LA
INFORMACIÓN.
GALLEGOS GUZMÁN FREDDY PATRICIO.
[email protected]
MURILLO NARANJO MARIO FERNANDO.
[email protected]
DIRECTOR: ING. CARLOS MONTENEGRO.
[email protected]
Abril, 2015
I
DECLARACIÓN
Nosotros, Gallegos Guzmán Freddy Patricio y Murillo Naranjo Mario Fernando,
declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que
no ha sido previamente presentada para ningún grado o calificación profesional; y,
que hemos consultado las referencias bibliográficas que se incluyen en este
documento.
A través de la presente declaración cedemos nuestros derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional,
según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por
la normatividad institucional vigente.
Gallegos Guzmán Freddy
Murillo Naranjo Mario
Patricio.
Fernando.
II
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Gallegos Guzmán Freddy
Patricio y Murillo Naranjo Mario Fernando, bajo mi supervisión.
Ing. Carlos Montenegro.
DIRECTOR DE PROYECTO
III
AGRADECIMIENTOS
A mi madre que jamás claudico sus
ideales de lucha por la familia y
permitirme sentir el sabor de la
libertad, Gracias por enseñarme que
padre y madre eres tú.
También
quiero
manifestar
mi
agradecimiento a algunos de quienes,
directa
o
indirectamente,
contribuyeron al resultado de esta
magnífica Tesis, ya que me sería
imposible mencionarlos a todos. Pero
no puedo dejar de mencionar a mi
esposa Diana Carolina Zurita Salazar
que me brindó su apoyo, tiempo y
dedicación sin ningún tipo de interés,
y en particular quiero agradecer al
MSc.
Carlos
Montenegro,
por
habernos dado muchísimos ejemplos
y conocimientos de lo que debe de ser
un
argumento
estructurado.
sólido
y
bien
A la “Escuela Politécnica Nacional”
por darme el conocimiento y dejar que
nuevos horizontes se abran a mi paso
profesional, y por permitirme el placer
de conocer profesores y amigos que
aprecio y valoro
Freddy Gallegos G.
I
AGRADECIMIENTOS
Quiero agradecer profundamente a
mis padres, a su ejemplo de vida y
valores morales inquebrantables, los
cuales guían mi vida en todo momento.
A mi esposa por ser la compañera fiel
de mil batallas y a mis hijas Melanie y
Nicole, por recordarme todos los días
con su mirada que soy un hombre
afortunado. A mi hermana por su
ejemplo de tenacidad inspiradora y
los buenos consejos. A mi abuelita
Carmela que ya no está en esta
dimensión; pero, aún logro sentir su
presencia y cariño. A mi gran amigo
René
por
su
transparencia
y
honestidad.
Además
quiero
agradecimiento
dar
al.
un
sincero
Ing.
Carlos
Montenegro Msc, por su invaluable
apoyo profesional en el desarrollo de
la presente Tesis y su calidad humana.
Mario Murillo N.
I
DEDICATORIA
Quiero
dedicar
investigación
este
trabajo
de
a mi esposa, por
acompañarme en cada uno de mis
retos que he emprendido en mi vida y
ser siempre mi mejor amiga.
A “Dios” por permitirme existir y
dotarme de los medios y las personas
para lograr conseguir hoy dar este
paso tan importante para mí, por no
dejarme nunca en la oscuridad y
sacarme de los problemas en los que
yo mismo logre meterme, sin ti no
podría lograr este éxito
A mi madre amada “Adema Guzmán”,
por todo lo que me han dado en esta
vida, especialmente por sus sabios
consejos y por estar a mi lado en los
momentos difíciles.
Freddy Gallegos.
II
DEDICATORIA
Este esfuerzo va dedicado a mi hermano Johnny, por ser quien es en mi vida
espiritual; quiero a la vez renovar mi compromiso con él, de cumplir la promesa
que le hice cuando fuimos niños.
Mario Murillo N.
I
CONTENIDO
CAPÍTULO 1. GESTIÓN DE LAS SEGURIDADES EN LAS EMPRESAS DE
TELECOMUNICACIONES. ................................................................................................................ 1
1.1. ESTUDIO EXPLORATORIO DEL FRAUDE INFORMÁTICO EN LAS TELCO’S ECUATORIANAS. ..................... 1
1.1.1. INCIDENCIA DEL FRAUDE INFORMÁTICO EN LAS TELCO´S ECUATORIANAS. ................................. 3
1.1.2. CATÁLOGO DE FRAUDE INFORMÁTICO EN LAS TELCO ECUATORIANAS. ...................................... 4
1.1.2.1. Bypass Telefónico. ................................................................................................................................... 5
1.2. ESTUDIO EXPLORATORIO DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LAS TELCO´S
ECUATORIANAS. ........................................................................................................................................... 9
1.2.1. ESTRATEGIA ORGANIZATIVA DE GSI CNT EP. .............................................................................. 11
1.2.2. ESTRATEGIA ORGANIZATIVA DE GSI GRUPO TVCABLE................................................................ 17
1.3. ANÁLISIS DE LOS ESTUDIOS REALIZADOS. ............................................................................................ 24
CAPÍTULO 2. SELECCIÓN, INTEGRACIÓN DE ESTÁNDARES Y MEJORES PRÁCTICAS DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. ..................................................................... 27
2.1. ESTADO DEL ARTE EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. ............................................... 27
2.1.1. eTOM. [11] ................................................................................................................................... 29
2.1.2. COBIT. [12] ................................................................................................................................... 32
2.1.3. FAMILIA ISO/IEC 27000. 27011. [2] .............................................................................................. 33
2.2. SELECCIÓN DE PROCESOS DE ETOM. .................................................................................................... 35
2.2.1. METODOLOGÍA DE SELECCIÓN DE PROCESOS. ............................................................................ 35
2.2.1.1. Definición de Nomenclatura de Procesos de eTOM. ............................................................................. 35
2.2.1.2. Identificación de Procesos Críticos. ...................................................................................................... 37
2.2.1.3. Evaluación del Nivel de Riesgo aplicado a los procesos críticos. ........................................................... 40
2.2.2. APLICACIÓN DE LA METODOLOGÍA DE SELECCIÓN DE PROCESOS. .............................................. 45
2.2.2.1. Aplicación de procedimiento de identificación de Procesos Críticos. .................................................. 45
2.2.2.2. Aplicación de Evaluación del Nivel de Riesgo a Procesos Críticos. ...................................................... 47
2.3. INTEGRACIÓN DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS DE ETOM. ............................................. 47
2.3.1. MAPEO COBIT 5 E ISO/IEC 27011. ................................................................................................ 47
2.3.2. MAPEO DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS DE ETOM. .............................................. 51
CAPÍTULO 3. PROPUESTA METODOLÓGICA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA EMPRESAS DE TELECOMUNICACIONES. ............................................ 53
3.1. DEFINICIÓN DE ARQUITECTURA DE LA GSI.......................................................................................... 53
3.1.1. ESTRUCTURA ORGANIZACIONAL DE LA GSI. ................................................................................ 53
3.1.1.1. Roles en la GSI [13] . .............................................................................................................................. 54
3.1.1.2. Comités [13]. ......................................................................................................................................... 56
II
3.1.2. PRINCIPIOS EN LA GSI [13]. .......................................................................................................... 58
3.1.3. LINEAMIENTOS PARA LA DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.60
3.1.3.1. Lineamientos para la Implementación. ................................................................................................. 61
3.1.4. PROCESOS. ................................................................................................................................... 62
3.1.5. MODELO DE MADUREZ DE LA GSI................................................................................................ 63
3.1.6. CICLO DE MEJORA CONTINUA DE LA GSI. .................................................................................... 63
3.1.6.1. Enfoque de mejoramiento continuo para la GSI. .................................................................................. 64
3.2. DESARROLLO DE PROPUESTA METODOLÓGICA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. .. 67
3.2.1. METODOLOGÍA DE GSI. ................................................................................................................ 68
3.2.1.1. CHECK/STUDY (VERIFICAR/ESTUDIO). .................................................................................................. 68
3.2.1.2. ACT (ACCIONES Y/O MEJORAS). ........................................................................................................... 68
3.2.1.3. PLAN (PLANIFICAR). ............................................................................................................................... 68
3.2.1.4. DO (HACER). ......................................................................................................................................... 68
3.2.2. ALTERNATIVA COMO METODOLOGÍA GENÉRICA DE GSI PARA TELCO’S. .................................. 69
CAPÍTULO 4. DESARROLLO DEL MODELO DE MADUREZ DE LA METODOLOGÍA DE GSI.
.......................................................................................................................................................... 70
4.1. DEFINICIÓN DE MÉTRICAS Y PROCESOS DEPENDIENTES. .................................................................... 71
4.1.1. Métricas del Modelo de Madurez de GSI. .................................................................................... 71
4.2. DEFINICIÓN DE ESCALAS, CUANTIFICACIÓN Y RECOMENDACIONES. .................................................. 79
4.2.1. RANGOS Y ESCALAS ASOCIADOS AL PROGRESO DE IMPLANTACIÓN DE LA METODOLOGÍA DE
GSI. ......................................................................................................................................................... 79
4.2.2. RANGOS Y ESCALAS ASOCIADOS AL ESTADO DE LA GSI. ............................................................. 79
4.3. ZONAS DE MADUREZ Y PLAN DE ACCIÓN PROPUESTO. ........................................................................ 80
4.3.1. ZONAS DE MADUREZ. .................................................................................................................. 81
4.3.2. PLAN DE ACCIÓN. ......................................................................................................................... 84
4.4. MODELO DE MADUREZ DE LA GSI........................................................................................................ 85
4.4.1. PERIODO DE EVALUACIÓN. .......................................................................................................... 85
4.4.2. CONTABILIZACIÓN DE MÉTRICAS. ................................................................................................ 86
4.4.3. EVALUACIÓN. ............................................................................................................................... 86
CAPÍTULO 5. CASO DE ESTUDIO................................................................................................. 87
5.1. SELECCIÓN DEL CASO DE ESTUDIO APLICADO A UN SERVICIO DE TELECOMUNICACIONES................. 87
5.2. EVALUACIÓN DEL CASO DE ESTUDIO. .................................................................................................. 87
5.2.1. CHECK/STUDY (Verificar/Estudio). .............................................................................................. 88
5.2.2. ACT (ACCIONES Y/O MEJORAS). ................................................................................................ 131
5.2.3. PLAN (PLANIFICAR)..................................................................................................................... 131
5.2.4. DO (HACER). .............................................................................................................................. 138
5.2.4.1. Descripción del estado actual de la GSI en el Grupo TVCABLE [17]. .................................................. 138
III
5.2.4.2. Estrategia organizacional para implementar la GSI. ............................................................................ 140
5.2.4.3. Mapeo de procesos de Grupo TVCable con los procesos objetivo de la Metodología de GSI. ........... 143
5.3. INFORME EJECUTIVO. ........................................................................................................................ 144
CAPÍTULO 6. CONCLUSIONES Y RECOMENDACIONES. ........................................................ 145
6.1. CONCLUSIONES. ................................................................................................................................. 145
6.2. RECOMENDACIONES. ......................................................................................................................... 147
BIBLIOGRAFÍA.............................................................................................................................. 149
GLOSARIO DE TÉRMINOS. ......................................................................................................... 152
ANEXOS ........................................................................................................................................ 154
ANEXO A. [14] ............................................................................................................................... 155
ANEXO B. [14] ............................................................................................................................... 163
ANEXO C. [14] ............................................................................................................................... 182
ANEXO D. [14] ............................................................................................................................... 186
ANEXO E. [14] ............................................................................................................................... 199
ANEXO F. [14] ............................................................................................................................... 200
ANEXO G. [14]............................................................................................................................... 212
IV
ÍNDICE DE FIGURAS
FIGURA 1-1: RUTA TELEFÓNICA LEGAL SIN BYPASS TELEFÓNICO [5]. ............................................................................... 7
FIGURA 1-2: RUTA ILEGAL CON BYPASS TELEFÓNICO [5]. .............................................................................................. 8
FIGURA 1-3: PARTICIPACIÓN DEL MERCADO DE TELEFONÍA MÓVIL [8] . ......................................................................... 10
FIGURA 1-4: PORCENTAJE DE ACCESO A INTERNET POR OPERADORAS MARZO 2012 [8] . ................................................. 11
FIGURA 1-5: ESTRUCTURA ORGANIZACIONAL CNT EP ENERO-2012 [9] . ...................................................................... 14
FIGURA 1-6: ESTRUCTURA ORGANIZACIONAL GRUPO TVCABLE [10] . ........................................................................... 19
FIGURA 1-7: ESQUEMA GENERAL DE LAS REDES - GERENCIA NACIONAL TÉCNICA [10] . .................................................... 21
FIGURA 2-1: ESTÁNDARES RELACIONADOS CON LA GSI. [3] ......................................................................................... 27
FIGURA 2-2: MODELO NGOSS. [11] ...................................................................................................................... 28
FIGURA 2-3: MODELO DE REFERENCIA ETOM [11]. ................................................................................................... 32
FIGURA 2-4: EVOLUCIÓN DE COBIT [12]. ................................................................................................................ 33
FIGURA 3-1 ESTRUCTURA ORGANIZACIONAL PROPUESTA PARA LA GSI. [14] ................................................................... 53
FIGURA 3-2 CICLO PDCA DE MEJORA CONTINUA. [15] .............................................................................................. 64
FIGURA 3-3 ENFOQUE DE MEJORA CONTINUA, ACOPLADO A LA METODOLOGÍA DE GSI. [14] ............................................. 65
FIGURA 3-4 METODOLOGÍA DE GSI, ENFOQUE DE MEJORA CONTINUA PDCA, VARIAS ITERACIONES. [14] ............................. 66
FIGURA 5-1 PROGRESO DE LA IMPLEMENTACIÓN, GRUPO TVCABLE. [14] .................................................................... 107
FIGURA 5-2 ESTRUCTURA ORGANIZACIONAL PARA LA GSI, GRUPO TVCABLE (PROPUESTA). [17] ..................................... 141
V
INDICE DE TABLAS
TABLA 1-1: TOP 5 CATEGORÍA DE FRAUDE EN LAS TELCO EN EL 2011 [1] . ..................................................................... 1
TABLA 1-2: MODALIDADES DE FRAUDE EN LAS EMPRESAS TELCO ECUATORIANAS [5] . ...................................................... 5
TABLA 1-3: TELEFONÍA FIJA, PROYECCIÓN DE LA POBLACIÓN JUNIO 2012 [8] . ............................................................... 10
TABLA 1-4: EMPRESAS GRUPO TVCABLE [10] . ......................................................................................................... 17
TABLA 2-1 ÁREAS DE PROCESOS, ETOM V.12. [14]................................................................................................... 35
TABLA 2-2 AGRUPACIÓN HORIZONTAL, ÁREA DE PROCESOS: ESTRATEGIA, INFRAESTRUCTURA Y PRODUCTO, OPERACIONES,
ETOM V.12. [14] ...................................................................................................................................... 36
TABLA 2-3 AGRUPACIÓN HORIZONTAL, ÁREA DE PROCESOS: GESTIÓN EMPRESARIAL, ETOM V.12. [14] .............................. 36
TABLA 2-4 AGRUPACIÓN VERTICAL, ÁREA DE PROCESOS: ESTRATEGIA, INFRAESTRUCTURA Y PRODUCTO, ETOM V.12. [14] .... 36
TABLA 2-5 AGRUPACIÓN VERTICAL, ÁREA DE PROCESOS: OPERACIONES, ETOM V.12. [14] ............................................... 36
TABLA 2-6: CUMPLIMIENTO DE OBJETIVOS ESTRATÉGICOS. [14] .................................................................................... 38
TABLA 2-7: TIEMPO MÁXIMO FUERA DE SERVICIO. [14] .............................................................................................. 38
TABLA 2-8: PROBLEMAS EN LA EJECUCIÓN DEL PROCESO. [14] ...................................................................................... 38
TABLA 2-9: CALIFICACIÓN Y NIVEL DE CRITICIDAD DE PROCESOS. [14] ........................................................................... 39
TABLA 2-10: CATÁLOGO DE AMENAZAS [2] . ............................................................................................................ 41
TABLA 2-11: CATÁLOGO DE VULNERABILIDADES [2]. .................................................................................................. 43
TABLA 2-12: DEFINICIÓN DEL IMPACTO. [14]............................................................................................................ 43
TABLA 2-13: PROBABILIDAD DE OCURRENCIA. [14].................................................................................................... 44
TABLA 2-14: CUALIFICACIÓN DEL RIESGO. [14] ......................................................................................................... 45
TABLA 2-15: RESULTADO DE PROCESOS CRÍTICOS DE ETOM. [14] ................................................................................ 46
TABLA 2-16: PROCESOS CRÍTICOS CON ALTO NIVEL DE RIESGO DE ETOM. [14] ............................................................. 47
TABLA 2-17 MAPEO COBIT 5 CON ISO/IEC 27011, PARA LA GSI. [14] ....................................................................... 51
TABLA 2-18 VULNERABILIDADES PRINCIPALES DEL PROCESO BILL INVOICE MANAGEMENT. [14].................................. 52
TABLA 3-1 INTEGRANTES ISSC, REFERENCIA TOMADA DE COBIT5 Y ACOPLADA PARA LA GSI. [13] .................................... 56
TABLA 3-2 FUNCIONES DEL ISSC, REFERENCIA TOMADA DE COBIT5 Y ACOPLADA PARA LA GSI. [13] .................................. 57
TABLA 3-3 INTEGRANTES DEL ERM, REFERENCIA TOMADA DE COBIT5 Y ACOPLADA PARA LA GSI. [13] ............................... 58
TABLA 3-4 PRINCIPIOS DE LA GSI, DEFENDER EL NEGOCIO. [13] ................................................................................... 59
TABLA 3-5 PRINCIPIOS DE LA GSI, APOYAR EL NEGOCIO. [13] ...................................................................................... 59
TABLA 3-6 PRINCIPIOS DE LA GSI, DAR SOPORTE AL NEGOCIO. [13] ............................................................................. 60
TABLA 3-7 PROCESOS CRÍTICOS CON ALTO NIVEL DE RIESGO DE ETOM. [14] ................................................................ 63
TABLA 3-8 ITERACIONES DE LA METODOLOGÍA DE GSI, ENFOQUE DE MEJORA CONTINUA. [14] ......................................... 66
TABLA 4-1 PROCESOS CRÍTICOS CON ALTO NIVEL DE RIESGO DE ETOM. [14] ................................................................ 71
TABLA 4-2 OBJETIVOS DE LA GSI A PARTIR DE LAS ACTIVIDADES DE LAS GUÍAS DE IMPLEMENTACIÓN, PROCESO BILL INVOICE
MANAGEMENT. [14]................................................................................................................................... 72
VI
TABLA 4-3 EXTRACTO, GUÍA DE IMPLEMENTACIÓN DE METODOLOGÍA DE GSI, PROCESO BILL INVOCE MANAGEMENT. [14]
............................................................................................................................................................... 74
TABLA 4-4 MÉTRICAS DE GSI, PROCESO BILL INVOICE MANAGEMENT. [14] ............................................................ 75
TABLA 4-5 MÉTRICAS DE GSI, PROCESO SM&O SUPPORT & READINESS. [14]......................................................... 76
TABLA 4-6 MÉTRICAS DE GSI, PROCESO FRAUD MANAGEMENT. [14] ..................................................................... 77
TABLA 4-7 MÉTRICAS DE LA GSI, PROCESO SERVICE CONFIGURATION & ACTIVATION. [14] ................................... 78
TABLA 4-8 MÉTRICAS DE LA GSI, PROCESO REGULATORY MANAGEMENT. [14] ....................................................... 78
TABLA 4-9 MÉTRICAS DE LA GSI, PROCESO AUDIT MANAGEMENT. [14] .................................................................. 78
TABLA 4-10 RANGOS DE PORCENTAJE Y ESCALA DEL PROGRESO DE IMPLANTACIÓN DE CONTROLES DE GSI. [14].................... 79
TABLA 4-11 RANGOS DE VALORACIÓN Y ESCALA CUALITATIVA PARA MÉTRICA DE GSI. [14] ................................................ 80
TABLA 4-12 ZONAS DEL MODELO DE MADUREZ DE GSI. [14] ..................................................................................... 81
TABLA 4-13 PRIORIDAD DE LAS ZONAS DEL MODELO DE MADUREZ DE LA GSI. [14] ........................................................ 82
TABLA 4-14 EJEMPLO SIMPLIFICADO, ZONA DE MADUREZ, PROCESO BILL INVOICE MANAGEMENT. [14] ............................. 83
TABLA 4-15 EJEMPLO DE PROCESOS CON SU RESPECTIVA ZONA DE MADUREZ. [14] ......................................................... 84
TABLA 4-16 SIMPLIFICADO DE TABLA 4-10, PRIORIDAD, ZONAS DE MADUREZ Y ACCIONES. [14] ........................................ 85
TABLA 5-1 RANGOS DE PROGRESO DE IMPLEMENTACIÓN. [14] .................................................................................... 88
TABLA 5-2 MODELO DE MADUREZ DE LA GSI, RANGOS DE MÉTRICAS, GRUPO TVCABLE. [14] .......................................... 91
TABLA 5-3 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO BILL INVOICE MANAGER, GRUPO TVCABLE. [14]..................... 95
TABLA 5-4 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO SERVICE MANAGER OPERATION SUPPORT READINESS, GRUPO
TVCABLE. [14] .......................................................................................................................................... 98
TABLA 5-5 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO SERVICE CONFIGURATION AND ACTIVATION, GRUPO TVCABLE. [14]
............................................................................................................................................................. 102
TABLA 5-6 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO FRAUD MANAGEMENT, GRUPO TVCABLE. [14] .................... 103
TABLA 5-7 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO AUDIT MANAGEMENT, GRUPO TVCABLE. [14] .................... 105
TABLA 5-8 EVALUACIÓN DE PROGRESO Y CALIDAD, PROCESO REGULATORY MANAGEMENT, GRUPO TVCABLE. [14] ........... 106
TABLA 5-9 ZONAS DE MADUREZ DE LOS PROCESOS, GRUPO TVCABLE [14]................................................................... 107
TABLA 5-10 PLAN DE ACCIÓN PROPUESTO, GRUPO TVCABLE. [14] ............................................................................. 130
TABLA 5-11 PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE. [14] ........................................................ 136
TABLA 5-12 ESTADO DESEADO AL FINALIZAR EL PERIODO, GRUPO TVCABLE. [14] .......................................................... 137
TABLA 5-13 MAPEO ENTRE PROCESOS DE METODOLOGÍA DE GSI Y PROCESOS DEL GRUPO TV CABLE. [14] ....................... 143
TABLA 5-14 MAPEO ENTRE PROCESOS DE METODOLOGÍA DE GSI Y PROCESOS DEL GRUPO TV CABLE (DESCRIPCIÓN DEL
PROCESO Y RESPONSABLE). [14] .................................................................................................................. 143
TABLA 6-1 GLOSARIO DE TÉRMINOS Y DEFINICIONES. [14] ......................................................................................... 153
VII
RESUMEN
Partiendo del alto impacto del fraude en la Industria de las Telecomunicaciones,
los múltiples problemas de Seguridad de la Información en las organizaciones y la
no adecuada Gestión de la Seguridad de la Información (GSI) en las Operadoras
de Telecomunicaciones (TELCO) ecuatorianas, el presente trabajo propone una
Metodología de GSI, enfocada a la industria de las Telecomunicaciones del
Ecuador; basándose en Enhanced Telecom Operations Map (eTOM v12), COBIT 5
y la ISO/IEC 27011. El framework eTOM v12, contempla todos los procesos de
negocio de una TELCO, con sus 86 procesos de nivel 2, Objetivos de Control para
Tecnologías de Información o Relacionadas (COBIT 5) es un framework de
Gobierno de Tecnología, en tanto que la ISO/IEC 27011 es un estándar de
Seguridad de la Información para la Industria de las Telecomunicaciones, basado
en la ISO/IEC 27002. La Metodología de GSI propuesta, se orienta a la mejora
continua de la GSI y se enfoca en un conjunto reducido de procesos de eTOM; para
el efecto, se propone y aplica una Metodología de Selección de Procesos, que se
basa en dos criterios; el primero son los Procesos críticos para el negocio y el
segundo son Los procesos con mayor nivel de riesgo. Tras la aplicación de la
Metodología de Selección de Procesos propuesta, se reduce de 86 a 6 procesos
de nivel 2 de eTOM; sobre los cuales, se enfoca el desarrollo de la Metodología de
GSI. La integración formal entre COBIT 5 For Security Information y la ISO/IEC
27002 propuesta por ISACA, da un sólido soporte conceptual a la Metodología de
GSI desarrollada; pues, de esta se desprenden las Guías de Implementación de
procesos, acopladas para la Industria de las Telecomunicaciones en el Ecuador.
Es importante hacer énfasis en el Modelo de Madurez desarrollado, como parte de
la Metodología de GSI desarrollada, el cual se fundamenta en el Progreso de
Implantación de la Metodología y en la Calidad de Implementación de la misma;
cuyo módulo automatizado está en el Anexo Digital. Finalmente se realiza un caso
de estudio de aplicación de la Metodología de GSI a una TELCO del Ecuador.
1
CAPÍTULO 1. GESTIÓN DE LAS SEGURIDADES EN LAS
EMPRESAS DE TELECOMUNICACIONES.
1.1. ESTUDIO EXPLORATORIO DEL FRAUDE INFORMÁTICO EN
LAS TELCO’S ECUATORIANAS.
Las Tecnologías de la Información (TI) son fundamentales para las Operadoras de
Telecomunicaciones (TELCO), ya que las TI intervienen en todos los procesos
que una TELCO requiere para proveer sus servicios; lo que ha posicionado a la
gestión de TI en un rol estratégico de la organización.
Las TI en una TELCO se desarrollan en un entorno técnico complejo, por la
convergencia tecnológica necesaria para implementar nuevos servicios que
demanda el mercado, generando una plataforma tecnológica heterogénea con
diferentes sistemas operativos, marcas de equipos de comunicación, soluciones
propietarias, motores de bases de datos, sistemas distribuidos, entre otros; que
tienen vulnerabilidades o las mismas son inducidas durante su ciclo de vida, que
generan riesgos a todo el entorno tecnológico.
“Las pérdidas por fraude en las TELCO son altas, la Communications Fraud Control
Association (CFCA) publicó en diciembre del 2011 el top 5 a nivel mundial de las
categorías de fraude en la industria de las Telecomunicaciones con sus respectivos
montos de pérdida aproximando”. [1]
En la Tabla 1-1 se expone el ranking con sus respectivas pérdidas.
RANKING
BILLONES (USD)
CATEGORÍA DE FRAUDE
1
4.96
Compromised PBX/Voicemail Systems.
2
4.32
Subscription/Identity Theft.
3
3.84
International Revenue Share Fraud.
4
2.88
By-Pass Fraud.
5
2.4
Credit Card Fraud.
Tabla 1-1: Top 5 Categoría de Fraude en las TELCO en el 2011 [1] .
2
La GSI en una TELCO debe ser formal, por su parte la International Organization
for Standarization (ISO) ha publicado el estándar ISO/IEC 27011 orientado a la
Gestión de Seguridad de la Información de las TELCO [2]; mientras la International
Telecomunication Union (ITU) desarrolló y mantiene actualizado un compendio de
recomendaciones técnicas para la seguridad
en la industria de las
telecomunicaciones [3].
Considerando los párrafos anteriores, el objetivo de la tesis es desarrollar una
Metodología de GSI acorde a las TELCO ecuatorianas, que sea un referente para
las empresas, en la implementación de la GSI y para el ente regulador en su rol
de control.
DEFINICIONES DE FRAUDE.
A continuación se describen definiciones de fraude en el ámbito de las
telecomunicaciones:
1. “Acción intencional efectuada generalmente con el propósito de eludir los
derechos de las operadoras de telecomunicaciones, para obtener beneficios
económicos, aprovechando la vulnerabilidad existente en diferentes
componentes de sus redes y en los procesos de sus servicios. [4]”
2. “Toda la acción contraria a la verdad y a la rectitud, que perjudica a la
persona contra quien se comete; acto cumplido intencionalmente tendiente
a eludir, herir o menoscabar disposiciones legales o derechos del Estado o
de terceros. Engaño que se realiza eludiendo obligaciones legales o
usurpando derechos con el fin de obtener un beneficio. [5] ”
3. “Es el uso o adquisición de los servicios de telecomunicaciones a través de
medios ilegales y sin la intención de pagar por ellos. [6]”
Partiendo de las definiciones anteriores, con un enfoque de Gestión en las TELCO,
se propone la siguiente definición:
3
4. “El Fraude en las Telecomunicaciones es el acto intencional perpetrado por
personas u organizaciones con el propósito de
eludir derechos de las
TELCO y/o de los usuarios, para obtener beneficios económicos,
aprovechando vulnerabilidades existentes en componentes tecnológicos
de las redes y/o en los procesos del servicio, generando un impacto negativo
en el aspecto económico y administrativo de las TELCO que han sido
víctimas del fraude.”
1.1.1. INCIDENCIA
DEL
FRAUDE
INFORMÁTICO
EN
LAS
TELCO´S
ECUATORIANAS.
Un estudio de la SUPERTEL destaca que las pérdidas por fraude ascienden al 10%
de los ingresos de las TELCO; según una encuesta del CFCA el 80% de las
operadoras respondió que el fraude va en incremento, en tanto que un 45%
aprecian que el fraude va en ascenso en sus propias organizaciones; tomando
como ejemplo a CONECEL, la empresa con mayor monto de facturación del país
en 2011, cuyo valor asciende a 1258 millones de dólares, se estima que son 126
millones de pérdidas por concepto de fraude [5] .
El fraude impacta negativamente a los ingresos de las TELCO, ya que incrementa
su costo operacional y según el tipo de fraude a sus clientes. Las
telecomunicaciones en calidad de “servicio de los
servicios”, recorre
transversalmente diferentes actividades de la sociedad, por lo que su afectación
puede causar perjuicios a estas actividades y además puede ser usada para
cometer fraudes o delitos graves como el terrorismo.
Un ejemplo de fraude en el país es la comercialización de kits de televisión para
250 canales con suscripción no autorizada, la señal es decodificada ilegalmente
de operadores satelitales como Hispasat y Amazonas, este producto se ha
comercializado libremente desde hace varios años en el país y apenas en Julio2012 la SUPERTEL en base a la resolución No. RTV-682-22-CONATEL-2010,
remite la disposición al Servicio Aduanero Ecuatoriano y a La Fiscalía General del
Estado, para prohibir la importación y comercialización de estos dispositivos [7] .
4
Tras la prohibición de la SUPERTEL el 16 de octubre del 2012 Hispasat y
Amazonas codificaron su señal con el sistema de seguridad Nagra3, con el objetivo
de inhabilitar los decodificadores ilegales de forma definitiva; sin embargo, el 13 de
octubre del 2012, tres días antes de la codificación de la señal ya se tenían dos
alternativas de fraude, la una, con un dispositivo adicional de bajo costo llamado
dongle i-box y la otra por medio de una suscripción de bajo costo por IKS privado,
que en conjunto con el kit de televisión “obsoleto” decodifican cientos de canales
de televisión internacional entre HD y de resolución normal, evidenciando así la
primera vulnerabilidad de Nagra3, actualmente en junio del 2014 en el país, a pesar
de las leyes impuestas y restricciones de importación de estos decodificadores, es
posible conseguir en el mercado informal decodificadores con nueva tecnología
para para perpetrar el fraude.
1.1.2. CATÁLOGO
DE
FRAUDE
INFORMÁTICO
EN
LAS
TELCO
ECUATORIANAS.
En la Tabla 1-2, se cita un compendio de las principales modalidades de fraude
que ocurren en las empresas TELCO ecuatorianas, de todas ellas, la que mayor
perjuicio ha causado al Estado es el Bypass Telefónico [5], por esta razón a
continuación se explica a detalle esta modalidad de fraude.
No.
SERVICIO
TIPO
FRAUDE
DESCRIPCIÓN
1
Telefonía Fija
y Móvil
Telecomunicaciones
ByPass
Telefónico
La Operadora cobra una llamada Internacional a precio de
llamada local, en tanto que la persona o empresa autora del
fraude cobra a sus usuarios la llamada a tarifa internacional
reducida, lo que se hace del bypass un servicio apetecible
para el usuario.
2
Telefonía Fija
y Móvil
Telecomunicaciones
Call Back
En términos simples, la llamada desde el país "X" al país" Y"
se cobra a tarifa de llamada del país "Y" al" X", donde la tarifa
de llamada desde el país "X" es mayor que la tarifa de
llamada desde el país "Y".
Hacking a
PBX
Corporativo
El atacante llama a un PBX Corporativo, por ende paga una
llamada local, pero obtiene tono de marcado para llamadas a
móviles o Internacionales, todas las llamadas realizadas son
cargadas a la empresa dueña del PBX, normalmente en este
tipo de fraude existe un contacto técnico al interior de la
empresa del PBX.
3
4
Centrales
PBX
Corporativas
Telecomunicaciones
Internet por
Clonación de
Telecomunicaciones
Cable Modem
Cable Modem
Un suscriptor del servicio de Televisión por Cable es decir
que está dentro de la red de servicios de la TELCO, tiene la
opción de adquirir en el mercado informal un cable modem
con acceso a internet sin limitación de ancho de banda por
un solo pago, la persona quien lo vende no le garantiza el
funcionamiento continuo del servicio.
5
5
6
Telefonía Fija
y Móvil
Telefonía
Móvil
7
Telefonía Fija
8
Telefonía Fija
Pública
Refilling
Una Operadora legalmente establecida en el país "A" llega a
un acuerdo con otra operadora legalmente establecida en el
país
"C",
para
que
el
tráfico
telefónico
internacional originado en el país "A" y destinado al país "B",
pase primero por dicha operadora C; esto debido a que los
cargos tarifarios entre el país "A" y el país "B" son
sumamente altos, entonces, el fraude consiste en enrutar las
llamadas desde "A" pasando por "C" para llegar a "B" , al
reenrutar las llamadas, los costos de interconexión y
terminación de llamada a pagar por el país "A" para
comunicarse con el país "B" son menores.
Telecomunicaciones
Fraude en
Roaming
El fraude en roaming es el uso de un servicio móvil de un
operador, mientras el usuario está fuera del país de “origen”,
sin la intención de pagar por las llamadas realizadas. El
fraude en roaming es normalmente un fraude secundario,
siendo el fraude de suscripción el fraude primario, es decir, el
defraudador tiene que obtener primero una suscripción a una
red, utilizando identidades falsas o robadas.
Telecomunicaciones
Robo de
líneas
telefónicas
Este tipo de fraude puede ser interno o externo, se da cuando
líneas activas con asignación a usuarios son cambiadas de
domicilio sin autorización del suscriptor o de la empresa local
proveedora del servicio.
Telecomunicaciones
Fraude en
teléfonos
públicos
Es un tipo de fraude telefónico externo, el cual ocurre cuando
se conecta otro aparato telefónico en paralelo o directamente
a la línea asociada al teléfono público, para originar tráfico
telefónico sin costo alguno.
Telecomunicaciones
9
Internet
Informático
Pishing
Es la capacidad de duplicar una página web para hacer creer
al visitante que se encuentra en la página original en lugar de
la duplicada, normalmente se utiliza con fines delictivos
imitando páginas web de bancos o tiendas virtuales.
10
Internet
Informático
Robo de
contraseñas
El objetivo es obtener las claves de acceso a las cuentas de
webmail para luego pedir una recompensa por las mismas.
11
Internet
Informático
Vbonbing
Es la captura de información durante una llamada por
internet.
12
Internet
Informático
Keyloggers
Se detecta la pulsación de cada tecla del pc de un usuario y
esta información es notificada periódicamente al atacante.
13
Internet
Informático
Spyware
Son programas que se instalan en el pc del atacante siendo
muy difícil detectar su presencia, que recolectan todo tipo de
información de usuario y es enviada al atacante.
Tabla 1-2: Modalidades de Fraude en las Empresas TELCO Ecuatorianas [5] .
1.1.2.1. Bypass Telefónico.
Esta modalidad de fraude causa pérdidas millonarias a nuestro país, en resumen
el “ByPass” encamina directamente el tráfico que viene del exterior hacia centrales
locales privadas, sin pasar por la central de tráfico internacional, es decir, se evita
la tarifación de la llamada internacional y se la convierte en una llamada local, el
tráfico de llamadas entrantes es aproximadamente 8 veces mayor que el de las
llamadas salientes y en esta misma relación se comete el ilícito del “ByPass”.
6
El “ByPass” se muestra como una ruta alternativa para los carriers internacionales,
el cual presenta un costo menor que el exigido por las compañías telefónicas
locales; por este motivo deciden ingresar sus volúmenes de tráfico mediante esta
vía alternativa o fomentar la implementación de sistemas de “ByPass” para ingresar
su tráfico a un menor costo.
El tráfico telefónico internacional se enruta por telepuertos privados y no por las
estaciones terrenas internacionales de las empresas telefónicas ecuatorianas, del
telepuerto privado acceden a un local clandestino mediante enlaces de última milla
como fibra óptica, spread spectrum, líneas dedicadas de cobre o microondas,
previamente se debió equipar el local clandestino con numerosas líneas telefónicas,
dependiendo del tamaño del “ByPass” estas líneas son conseguidas normalmente
a través de cómplices en la misma empresa telefónica o con documentación falsa,
adulterada o robada.
Una vez que todo el volumen de tráfico ha ingresado al local clandestino, equipos
de telecomunicaciones procesan la información como una mini central telefónica;
las llamadas procesadas por la mini central telefónica generan llamadas locales
hacia los abonados finales en el Ecuador, completando la llamada que se generó
desde cualquier parte del mundo hacia nuestro país.
Las empresas telefónicas locales sólo perciben una llamada local, mientras la
porción internacional la cobra la empresa que comete el fraude.
Para continuar con el estudio de esta modalidad de fraude se detalla las
características fundamentales de una “Ruta Telefónica Legal” frente a una “Ruta
Telefónica Bypass”.
7
·
RUTA TELEFÓNICA LEGAL:
Se detalla en el siguiente escenario:
3
4
5
2
Operador Local
o Celular
6
7
Facturación
CARRIER A
1
Central de
Tránsito
Empresa
Telefónica
ESTACION
TERRENA B
Central
Local
Operador Local
o Celular
País B (Donde termina la llamada)
País A (Donde inicia la llamada)
Figura 1-1: Ruta Telefónica Legal sin ByPass Telefónico [5].
PASO 1: el usuario en el “País A”, desea comunicarse con un usuario en el
“País B”, puede realizarlo mediante la Empresa Telefónica (la cual tiene
contrato de concesión de telefonía internacional) o a su vez mediante el uso
de tarjetas telefónicas (legalmente establecidas). El usuario “A” marca el
número de destino y la llamada ingresa a la empresa telefónica.
PASOS 2, 3 Y 4: la llamada es transferida por la Empresa Telefónica hacia
un CARRIER “A”, con el cual tiene un acuerdo para enrutar las llamadas
internacionales. Este CARRIER “A”, se encarga de entregar la llamada a la
ESTACIÓN TERRENA “B”, con la cual tiene un acuerdo la Central local del
“País B”, para terminar las llamadas internacionales.
PASOS 5 Y 6: la central local del “País B” recibe la llamada mediante la
Central de Tránsito, la cual la factura como una Llamada Internacional.
8
PASO 7: la central local del “País B” enruta la llamada para su recepción por
el usuario en el “País B”.
·
RUTA TELEFÓNICA BYPASS:
Se detalla en el siguiente escenario:
3
4
2
6
5
Sitio
Clandestino
Líneas
Telefónicas
7
Equipamiento
1
CARRIER NO
AUTORIZADO
Operador Local
o Celular
TELEPUERTO NO
AUTORIZADO PARA
RECIBIR TRAFICO
INTERNACIONAL
Empresa
Telefónica
Central
Local
Operador Local
o Celular
País B (Donde termina la llamada)
País A (Donde inicia la llamada)
Figura 1-2: Ruta Ilegal con ByPass Telefónico [5].
PASO 1: en este caso generalmente se usan tarjetas de telefonía
internacional, el usuario prefiere adquirir estas tarjetas debido a que tienen
un menor costo por minuto.
El usuario en el “País A” sigue los pasos detallados en la misma, y realiza la
llamada deseada; la llamada ingresa a la Empresa Telefónica en el “País A”,
en la cual se encapsula en paquetes IP.
PASO 2, 3 Y 4: el paquete IP que contiene la llamada se enruta hacia el
CARRIER (el cual podría o no ser autorizado). El paquete es transferido por
el CARRIER NO AUTORIZADO en el “País A” hacia el TELEPUERTO NO
AUTORIZADO en el “País B”, el cual pertenece al sitio clandestino donde se
9
procesa la llamada telefónica internacional no autorizada, en este paso se
hace uso de proveedores de SIP Trunking.
PASO 5: una vez que la información se recibe en el TELEPUERTO NO
AUTORIZADO en el “País B”, el tráfico es ingresado al sitio clandestino, en
el cual se desencapsula la información de los paquetes IP.
PASO 6: posteriormente se envía la información a su destino mediante las
líneas telefónicas adquiridas por los defraudadores, la llamada es ingresada
a la central local del “País B”, como si se tratara de una llamada local.
PASO 7: la llamada es entregada al usuario del “País B”. Como ya se dijo,
la forma de operar de los defraudadores empieza por la venta en el exterior
de tarjetas de telefonía internacional, mediante las cuales las llamadas
ingresan por rutas ilegales.
1.2. ESTUDIO EXPLORATORIO DE LA GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN EN LAS TELCO´S ECUATORIANAS.
La SUPERTEL como ente rector de las telecomunicaciones del país, tiene la
misión de vigilar y controlar técnicamente la prestación de los servicios de telefonía,
radiodifusión, televisión, Internet, transmisión de datos y el uso del espectro
radioeléctrico, para que estos se proporcionen con eficacia y calidad.
Para tener una idea clara de la participación de mercado de las empresas TELCO
sobre los principales servicios que se ofrecen en el país (Telefonía Fija, Telefonía
Móvil, Acceso a Internet), se presenta la siguiente información estadística tomada
de la SUPERTEL, ver Taba 1-3, Figura 1-3, Figura 1-4.
10
ESTADÍSTICAS DE TELEFONÍA FIJA SUPERTEL.
Líneas principales
TELCO
ECUATORIANAS
Líneas en
Conmutación
Abonados
Teléfonos
Públicos
Población
Ecuatoriana
Centrales
Total
Densidad
Telefónica
por
Operadora
(%)
Digitalización
(%)
1.941.015,00
7.459,00
1.955.829,00
2.602.167,00
787,00
13,26%
100,00%
LINKOTEL S.A.
7.795,00
271,00
8.364,00
15.488,00
9,00
0,16%
100,00%
SETEL S.A.
45.612,00
4.702,00
50.369,00
70,00
3,00
0,49%
100,00%
ECUADORTELECO
M S.A.
71.539,00
4.606,00
76.235,00
102.995,00
3,00
0,89%
100,00%
ETAPA EP
147.215,00
607,00
148.808,00
18.687,00
130,00
1,96%
100,00%
GLOBAL
CROSSING
2.851,00
0,00
2.962,00
966,00
1,00
-
100,00%
10,00
0,00
10,00
250,00
1,00
-
100,00%
2.216.037,00
17.645,00
2.242.577,00
3.237.180,00
934,00
CNT EP
GRUPOCORIPAR
S.A.
TOTAL
15.286.209,00
15.286.209,00
16,76%
Tabla 1-3: Telefonía Fija, Proyección de la Población Junio 2012 [8] .
ESTADÍSTICA DE TELEFONÍA MÓVIL (SERVICIO MÓVIL AVANZADO)
SUPERTEL.
DISTRIBUCIÓN DEL MERCADO DE
TELEFONÍA MÓVIL, POR OPERADORA
2,02%
28,94%
69,04%
% Otecel
% Conecel
% CNT EP
Figura 1-3: Participación del Mercado de Telefonía Móvil [8] .
11
ESTADÍSTICA DE ACCESO INTERNET SUPERTEL.
Figura 1-4: Porcentaje de Acceso a Internet por Operadoras Marzo 2012 [8] .
Entrando en el contexto de la GSI en el Ecuador, a continuación se realiza una
descripción de la estrategia de GSI de las empresas “CNT EP” y “GRUPO
TVCABLE”, se han seleccionado estas organizaciones porque corresponden al
sector público y privado respectivamente, por proveer varios servicios, por tener
plataformas tecnológicas para proveer servicios convergentes y también por ser
líderes de mercado en el país.
1.2.1. ESTRATEGIA ORGANIZATIVA DE GSI CNT EP.
El 30 de octubre del 2008 la Corporación Nacional de Telecomunicaciones CNT
S.A fue resultado de la fusión de Andinatel S.A. y Pacifictel S.A, el 14 de enero del
2010 la CNT S.A se convierte en empresa pública y pasa a ser la CNT EP, el 30 de
julio del 2010 se oficializa la fusión de la CNT EP con TELECSA comercialmente
conocida como ALEGRO, permitiéndole potenciar su cartera de productos y
servicios.
La CNT EP tiene presencia en todas las provincias del país, pero el poder de
decisión y las Gerencias Principales se encuentran físicamente ubicadas en Quito,
12
que tienen injerencia a nivel nacional, su estructura organizacional se muestra en
la Figura 1-5.
La Corporación Nacional de Telecomunicaciones CNT EP, está integrada por los
siguientes niveles en la organización:
NIVEL DIRECTIVO: es responsable de emitir las normas, políticas y regulaciones
para la planificación, organización y administración de la empresa. El nivel
Directivo, está conformado por el Directorio.
NIVEL DE ADMINISTRACIÓN Y PLANIFICACIÓN: este nivel está enfocado en la
planificación empresarial y en la organización interna, encaminado en establecer y
dirigir los planes y programas operacionales, comerciales, técnico y administrativos
de CNT EP, que permitan cumplir con las políticas y objetivos determinados por el
Directorio, promueve la interfaz con los niveles Directivo y de Administración de la
Operación.
Este nivel está conformado por dos subniveles que son:
·
Subnivel de Administración: se encuentra representado por el Gerente
General como máxima autoridad administrativa de la empresa.
·
Subnivel de Planificación: se encuentra representado por los Gerentes de
las áreas de la Gerencia General y por los Gerentes Nacionales, teniendo
competencia a nivel nacional de acuerdo a su ámbito de acción.
NIVEL DE ADMINISTRACIÓN DE OPERACIÓN: este nivel es responsable de la
ejecución de los procesos operativos de la empresa de acuerdo a su jurisdicción y
se encuentra conformado por los Administradores Regionales y Provinciales bajo
la denominación de Gerentes.
13
Actualmente existen tres gerencias que llevan a cabo los procesos relacionados
con la GSI:
a) Gerencia de Riesgo y Aseguramiento de Ingresos.
b) Gerencia Nacional Técnica.
c) Gerencia Nacional de Tecnología de Información.
Son estas gerencias las responsables de todo el ámbito tecnológico, relacionado
con la implementación, provisión, mantenimiento y operación de los servicios de
telecomunicaciones que se proveen:
14
Figura 1-5: Estructura Organizacional CNT EP Enero-2012 [9] .
15
a) GERENCIA DE RIESGOS Y ASEGURAMIENTO DE INGRESOS (GRAI).
Esta unidad organizacional es una Gerencia Nacional de tipo STAFF de la
Gerencia General, al más alto nivel de la organización, que está conformada por
las siguientes unidades funcionales:
·
Aseguramiento de Ingresos.
·
Prevención del Fraude.
·
Gestión de Riesgos.
·
Control de Facturación.
Las unidades funcionales citadas son las encargadas de establecer
procedimientos de control de su competencia, en todas las áreas de la
organización que lo requieran.
b) GERENCIA NACIONAL TÉCNICA (GNT).
Esta unidad organizacional es la encargada de gestionar las plataformas
tecnológicas para brindar los servicios de telecomunicaciones, así tenemos
entre sus responsabilidades:
·
Gestión de redes de cobertura de todos los servicios que se proveen.
·
Gestionar las centrales telefónicas que proveen los servicios de telefonía
fija y móvil a los suscriptores.
·
Gestión de anillos SDH de fibra óptica que generan redundancia a los
clientes de transmisión de datos.
·
Gestión de los routers de borde con el protocolo BGP que publican los
rangos de redes de Internet de Ecuador hacia todo el mundo.
·
Gestión de la infraestructura para dar cobertura de navegación a
dispositivos móviles.
·
Gestión de
redes de planta externa para todos los servicios
telecomunicaciones que se proveen.
de
16
c) GERENCIA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (GNTI).
La GNTI es la unidad organizacional responsable de todos los servicios de TI
internos de la organización y a su vez tiene responsabilidades compartidas con
la Gerencia Nacional Técnica, sobre las plataformas tecnológicas que brindan
los servicios a los suscriptores, entre estas tenemos:
·
Sistemas de facturación de todas las líneas de negocios.
·
Sistemas de mediación entre el sistema de servicio al cliente y las
plataformas tecnológicas, por ejemplo el
sistema de mediación de
telefonía móvil que permite que un empleado de atención al cliente pueda
activar o desactivar una línea móvil de forma inmediata.
·
Gestión de procesos automáticos de corte de servicio, activaciones y
reconexiones ya sea para telefonía fija, móvil o Internet.
Las tres gerencias (GRAI, GNT y GNTI) han definidos los siguientes procesos para
la gestión de la seguridad de la información en todo la CNT EP.
Proceso de Control de Calidad: es un proceso de la GNTI que determina si un
proceso definido ha sido correctamente implementado, definiendo lo que debe ser
verificado, un plan de pruebas y ejecución de las validaciones a ser realizadas en
cada una de las fases del proceso.
Proceso de Gestión de Incidentes: es un proceso de la Gerencia Nacional de TI,
enfocado a recuperar en el menor tiempo posible la operación de los sistemas
informáticos y la atención de los requerimientos tecnológicos de los usuarios de la
compañía.
Proceso de Gestión del Cambio: es un proceso utilizado en la empresa para
estimar, planificar, controlar y supervisar la ejecución de cualquier cambio que
impacte a los servicios que provee la organización, los cuales son implementados
por los sistemas informáticos en producción. (Software, hardware, redes de datos,
procedimientos e instalaciones físicas de Gerencia Nacional de Tecnologías de la
Información.
17
Proceso de Gestión de la Seguridad: la Gerencia Nacional de TI es responsable
de la custodia de la información y de la infraestructura tecnológica de los sistemas
internos de la CNT E.P.
La Seguridad de la Información está delegada a la GNTI, a través del Área de
Seguridad Informática y es la responsable de la Seguridad de la información en la
CNT E.P., además de asistir al personal de la CNT E.P. en materia de seguridad y
junto con los propietarios de los procesos, analiza el riesgo de los activos de
información de la compañía y verifica la aplicación de las medidas de seguridad
necesarias para la protección de la misma. También es responsable de diseñar e
implementar un plan de seguridad de la información que este alineado con los
objetivos de negocio tomando en cuenta los riesgos existentes en la compañía.
Proceso de Administración de Identidades: la GNTI, es la encargada de
administrar y asegurar las TI de la compañía, la cual se compone de múltiples
sistemas y aplicaciones utilizadas por los usuarios internos para el normal
desempeño de sus tareas y el correcto funcionamiento del negocio. A cada sistema
informático se da protección de una seguridad de acceso (usuario, contraseña y
perfil o rol); el número de aplicaciones a las que tendrá acceso el colaborador
dependerá de las funciones que este va a desempeñar.
1.2.2. ESTRATEGIA ORGANIZATIVA DE GSI GRUPO TVCABLE.
La empresa TVCable S.A, empieza sus actividades en Ecuador en 1987 con el
servicio de Televisión Pagada por suscripción, en el año 2003 se forma el Grupo
TVCable S.A, diversificando sus servicios con las siguientes empresas detalladas
en la Tabla 1-4:
EMPRESA
SERVICIOS
TVCable S.A.
TV Pagada región Sierra
Satelcom S.A
TV Pagada región Costa
Satnet S.A
Proveedor de Servicios de Internet
Suratel S.A
Transmisión de datos
Setel S.A
Telefonía Fija
Tabla 1-4: Empresas Grupo TVCable [10] .
18
Cabe acotar que en el año 2003 se conforma Setel S.A, luego de obtener la
concesión de la licencia de operador de Telefonía Fija, estableciéndose como un
Holding privado propiedad del Grupo “El Juri” y Grupo “Isaías”, líder en la industria
de las Telecomunicaciones en el país en ese entonces.
En el año 2011 el 35,48% de las acciones del Grupo TvCable es incautado por el
estado ecuatoriano al grupo “Isaías” y posteriormente, este porcentaje es adquirido
por Hersalbar Holding S.A, y el 64,52% se mantiene bajo la propiedad del Grupo
“El Juri”.
El Grupo TVCable no tiene certificación en estándares de calidad internacionales,
tanto en sus procesos técnicos como administrativos; sin embargo, todos los
procesos están definidos por la Gerencia de Organización y Métodos, la cual
define, implementa y mantiene los procesos de la organización en base a la
experiencia y ciertos criterios tomados de la ISO/IEC 9001.
En cuanto a la GSI partimos del siguiente Organigrama. (Ver Figura 1-6).
19
Figura 1-6: Estructura Organizacional Grupo TVCable [10] .
20
En el organigrama funcional no está definida una gerencia responsable de la
seguridad de la información a nivel de toda la organización; sin embargo, cada
gerencia de acuerdo a su círculo de influencia y responsabilidad, adopta medidas
de seguridad aisladas a su problemática y autoevaluadas por su misma gestión.
A continuación se describen las unidades funcionales que toman medidas de
seguridad de la información, por su cuenta en pro de la seguridad de su proceso.
a) GERENCIA DE ASEGURAMIENTO DE INGRESOS Y SEGURIDAD.
Su actividad central es el control de fraude de clientes, específicamente en los
servicios de Televisión Pagada e Internet, se apoya en reportes generados por
la Gerencia de Monitoreo y Control; los reportes son generados en base a
patrones técnicos que determinan tramos de la red donde posiblemente hay
fraude, para en base a esto proceder con revisiones a los clientes del segmento
de red indicado.
Es también responsabilidad de esta gerencia, la seguridad física en
instalaciones de oficinas y nodos de telecomunicaciones a nivel nacional, dentro
de su competencia está también el tomar todas las acciones legales en contra
de personas naturales o jurídicas que cometan fraude o violen las políticas de
seguridad interna en la organización.
b) VICEPRESIDENCIA DE TECNOLOGÍA.
Se encarga de la gestión de toda la Infraestructura de Telecomunicaciones
necesaria para proveer a los clientes los siguientes servicios de:
·
Telefonía Fija.
·
Transmisión de datos.
·
Internet residencial y corporativo.
·
TV pagada.
21
c) GERENCIA NACIONAL TÉCNICA.
Es responsable de los siguientes procesos:
·
Instalaciones.
·
Monitoreo.
·
Soporte y Mantenimiento.
·
Desarrollo de Proyectos.
·
Redes de Core y Acceso.
En la Figura 1-7, se muestra un esquema general de las redes que gestiona
esta gerencia:
Figura 1-7: Esquema General de las Redes - Gerencia Nacional Técnica [10] .
Esta gerencia es consciente de la necesidad de adoptar mejores prácticas para
gestión de TI, pero se limita a capacitar a los mandos medios en ITIL. No
existe una unidad funcional, ni persona responsable con recursos para
implementar procesos de ITIL u orientados a la GSI; la Seguridad de la
Información, se limita a la adquisición de soluciones tecnológicas de acuerdo a
las necesidades percibidas; por ejemplo, en octubre del 2012 el Grupo TVCable
hace un contrato con la empresa Conax, proveedor líder mundial de soluciones
para la protección de contenido digital en multidispositivos, exclusivamente para
22
implementar las seguridades en su plataforma de video digital para servicios
DVB (Digital Video Broadcasting) [10] .
d) VICEPRESIDENCIA DE SISTEMAS.
Esta vicepresidencia es responsable de todas las Tecnologías de la Información,
que implementan los servicios para usuarios internos de la organización, dentro
de sus principales responsabilidades tenemos:
·
Desarrollo y/o adquisición de aplicaciones.
·
Facturación y Operación de Sistemas.
·
Servicios de Colaboración.
·
Infraestructura Tecnológica.
·
Organización y Métodos.
Cabe recalcar que existen servicios tecnológicos que son críticos tanto para los
usuarios internos como para proveer el servicio a los clientes, que son de
responsabilidad compartida entre la VP. Técnica y la VP. de Sistemas, por
ejemplo, las plataformas de mediación y aprovisionamiento.
Esta VP es consciente de la necesidad de adoptar las mejores prácticas de la
gestión de TI en toda la organización; sin embrago, se han tenido ya intentos
fallidos de hacerlo ya que no se han asignado los recursos necesarios para
lograr el objetivo.
e) GERENCIA DE INFRAESTRUCTURA.
Es responsable
de toda la infraestructura tecnológica interna, tiene las
siguientes responsabilidades:
·
Administración de servidores a nivel nacional.
·
Administración de redes LAN, WAN y
seguridad perimetral a nivel
nacional.
·
Administración de perfiles de usuarios y aplicaciones de la organización.
·
Soluciones corporativas de seguridad Informática:
23
o Sistemas de detección de Intrusos.
o Sistemas de filtrado de navegación por contenido.
o Apliances antispam.
o Sistemas de filtrado de paquetes.
o Políticas de uso de equipos terminales y servidores.
o Soluciones antivirus y antispam corporativas.
·
Estrategia y operación de respaldos de sistemas operativos y
aplicaciones.
·
Administración
de
aprovisionamiento
servidores
de
de
Gestión
Telecomunicaciones
de
Plataformas
de
(para
plataformas
de
Transmisión de datos, Telefonía, Internet y TV pagada).
·
Telefonía IP y PBX para todas las áreas de la organización.
Esta gerencia es importante dentro de la GSI, pero actualmente se limita a
hacer Seguridad Informática y no Gestión de Seguridad de la Información.
Esta gerencia tiene responsabilidades críticas dentro de la VP. de Sistemas y
para el negocio, pero a su vez muestra grandes falencias a nivel operativo y
de gestión, que implica un alto riesgo a la seguridad de la información, dentro
de las principales tenemos:
·
No existe un plan de recuperación de desastres definido.
·
La capacitación al personal es concebida como un gasto y no como una
inversión.
·
El personal técnico no recibe capacitación especializada en los
productos que se adquieren, sino es el proveedor que da una breve
inducción operativa sobre la solución adquirida y para todo cambio no
operativo se necesita acompañamiento del soporte técnico del
proveedor, es decir, se prefiere pagar horas de soporte técnico para que
se realicen cambios de complejidad media en lugar de capacitar
formalmente al personal de la unidad.
24
·
Existe mucha rotación de personal por cuanto la organización no tiene
planes de carrera para poder retener profesionales valiosos.
1.3. ANÁLISIS DE LOS ESTUDIOS REALIZADOS.
Las siguientes observaciones son el resultado de entrevistas y encuestas
realizadas a funcionarios del CNT E.P. y del Grupo TVCable (Ver Anexo A).
OBSERVACIONES CNT EP:
·
Las recomendaciones y requerimientos que se realizan desde la GRAI, son
producto de un profundo estudio, sin embargo el cumplimiento de estas
tienen baja prioridad en la GNT y la GNTI, ya que el día a día consume todos
los recursos de estas gerencias y no se cumplen a cabalidad los
requerimientos y/o recomendaciones.
·
Partiendo de la premisa que la Seguridad Informática es inversamente
proporcional a la facilidad de gestión de las Tecnologías de Información, es
frecuente que la unidad funcional que debe implementar los requisitos de
seguridad, racionalice los requerimientos a cumplir, por la complejidad que
ello implica hacerlo, así como la complejidad que se induce en la gestión
misma de las plataformas, sistemas de gestión y/o procesos.
·
La calidad de las políticas generadas por la GRAI son adecuadas para una
empresa de la envergadura del CNT EP, sin embargo es notoria la falta de
empoderamiento de esta gerencia para controlar y hacer cumplir las políticas
y normas establecidas.
·
El equipo de profesionales de la GRAI es calificado para sus funciones, sin
embargo no disponen del suficiente personal para auditar a detalle todas las
políticas aprobadas.
·
Cuando el cumplimiento de una política de seguridad tiene alta prioridad,
un grupo técnico de la GRAI audita el cumplimiento de la misma, donde son
25
notorios los conflictos y la burocracia que se generan para otorgar los
permisos de autenticación y autorización al personal de la GRAI, fruto de una
resistencia por parte de las técnicos de la GNT y GNTI.
OBSERVACIONES GRUPO TVCABLE:
·
Respecto a la GSI el Grupo TVCable no tiene una estrategia definida, se
maneja
reactivamente con el concepto de seguridad informática,
limitándose a la adquisición e implementación de dispositivos tecnológicos.
·
Existe una separación y rivalidad evidente entre la VP. Técnica y la VP. de
Sistemas, que no permite la conformación de comisiones para definir en
conjunto una estrategia de GSI a nivel de negocio, un ejemplo que evidencia
este problema es que varias jefaturas que reportan a la Gerencia Nacional
Técnica tienen sus PC´s con dos tarjetas de red, una conectada a la red
Interna de la organización y otra con IP pública conectada hacia un Cable
Modem,
lo cual minimiza a cero todos los esfuerzos que hace la VP. de
Sistemas para mantener la red interna segura.
·
Las VP´s Técnica y de Sistemas del Grupo TVCable en el modelo de
madurez de COBIT 4.1, Proceso PO9, Planear y Organizar – Administración
de Riesgos de IT, ubicamos a esta organización en un estado “1 Inicial / Ad
Hoc”, que considera:
o “Los riesgos de TI se toman en cuenta de manera ad hoc. Se realizan
evaluaciones informales de riesgos según lo determine cada proyecto.
En algunas ocasiones se identifican evaluaciones de riesgos en un
plan de proyectos pero se asignan rara vez a gerentes específicos.
o Los
riesgos
específicos
relacionados
con
TI
respecto
a
confidencialidad, disponibilidad e integridad se toman en cuenta
ocasionalmente. Los riesgos relativos a TI que afectan las
operaciones del día a día, son rara vez discutidas en reuniones
gerenciales.
26
o Cuando se toman en cuenta los riesgos, la mitigación de los mismos
tienen muy baja prioridad. Existe un entendimiento relativo de que los
riesgos de TI son importantes y necesitan ser considerados.
27
CAPÍTULO 2. SELECCIÓN,
INTEGRACIÓN
DE
ESTÁNDARES Y MEJORES PRÁCTICAS DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN.
2.1. ESTADO DEL ARTE EN GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN.
Como se puede ver en la Figura 2-1, hay varios enfoques para abordar la GSI.
Un primer enfoque es la familia de normas de la serie ISO/IEC 27000, que es un
grupo de estándares complementarios entre sí que tratan sobre la GSI y se alinean
a los requerimientos específicos de la ISO/IEC 27001, en la misma línea tenemos
estándares y buenas prácticas, específicas para una industria como es la ISO/IEC
27011
y
la
recomendación
ITU-T
X.10.51
para
la
industria
de
las
Telecomunicaciones.
Figura 2-1: Estándares Relacionados con la GSI. [3]
El segundo enfoque a la GSI se lo tiene desde el concepto de Gobierno de TI, que
considera a la tecnología como protagonista en la creación de valor para las
empresas. COBIT 5 que ha desarrollado también un marco de referencia específico
para la GSI como lo es “COBIT 5.0 for Security Information”, se basa en COBIT 4.1,
28
y a su vez lo amplía mediante la integración de otros marcos de referencia como
Val IT, Risk IT, ITIL.
El tercer enfoque se tiene de la perspectiva de modelos de madurez para la GSI,
en particular ISM3 (Information Security Management Maturity Model), que es un
modelo alineado con la Gestión de la Calidad de la Seguridad de la Información, es
compatible con la norma ISO 9001 e ISO/IEC 27001, que se describe como una
norma orientada a las necesidades propias del negocio y no solamente a los a
controles de la GSI.
Considerando que la metodología a desarrollar es aplicada a la Industria de las
Telecomunicaciones, se adopta el marco de referencia de procesos eTOM
(Enhanced Telecom Operations Map) v.12, que es un framework de procesos de
negocio, parte del modelo NGOSS (New Generation Operations Systems and
Software) desarrollado por el TM Forum (TeleManagement Forum). NGOSS es un
marco de referencia de procesos para sistemas OSS (Operation Support System)
y BSS
(Bussiness suport Systems) (Figura 2-3), que incluye los siguientes
frameworks del TMN Forum:
·
eTOM Business Process Framework.
·
SID Information Framework.
·
TAM Application Framework.
·
Integration Framework - Architecture and standard interfaces.
Figura 2-2: Modelo NGOSS. [11]
29
Entrando en el contexto de la tesis, para el desarrollo de la Metodología de GSI, se
aplicarán los conceptos de GSI de COBIT 5 y la ISO/IEC 27011, sobre el marco de
referencia eTOM v.12.
2.1.1. eTOM. [11]
Es
un
modelo
empresarial
para
los
proveedores
de
servicios
de
Telecomunicaciones, su principal objetivo es hacer que las aplicaciones de soporte
al negocio (BSS - Business Support Systems) y a las operaciones (OSS Operations Support Systems) inter operen entre sí, está organizado en tres zonas
de procesos (Ver Figura 2-3):
Estrategia, Infraestructura y Producto.
Esta Zona de procesos comprende aquellos relacionados con el desarrollo
de la estrategia, el compromiso con la empresa, la creación de la
infraestructura, el desarrollo y gestión de los productos al igual que el
desarrollo y gestión de la Cadena de Aprovisionamiento. En el Marco
Estructural eTOM, la infraestructura no se limita exclusivamente a la
infraestructura TI y a la de los recursos que soportan productos y servicios,
sino también a la infraestructura que se requiere para sostener los procesos
funcionales, como la Gestión de la Relación con Clientes. Son justamente
estos procesos los que guían y permiten la puesta en ejecución de todas las
actividades concernidas en la zona de procesos de Operaciones.
Operaciones.
La zona de Procesos de Operaciones constituye el núcleo del marco eTOM.
Incluye todos los procesos de operaciones que dan soporte a la logística
operacional del cliente y las actividades de gestión, al igual que aquellos que
permiten poner en marcha todas las operaciones directas relacionadas con
el cliente. Estos procesos enmarcan de igual forma el soporte a las
operaciones día a día y la implantación de los procesos. La visión que
propone el Marco eTOM en su zona de Operaciones, abarca también la
Gestión de Ventas y Gestión de la Relación Proveedor/Asociado.
30
Gestión Empresarial.
Esta Zona de Procesos Gestión de la Empresa, implica todos aquellos
procesos de negocios elementales que son necesarios para poner en
funcionamiento cualquier sociedad comercial. La óptica de estos procesos
va dirigida a todos los procesos a nivel Empresa, las metas y objetivos a
alcanzar. Por otro lado, estos procesos mantienen interfaces con
prácticamente todos los demás procesos en el interior de la empresa, ya sea
que se trate de procesos operacionales o aquellos que atañen a la
infraestructura y los productos. En algunas ocasiones, son visualizados a
modo de funciones empresariales o simplemente procesos empresariales,
como la Gestión de Finanzas, Gestión de Recursos Humanos.
A nivel de las dos primeras zonas de procesos como son “Operaciones” y
“Estrategia, Infraestructura y Producto”, eTOM establece una agrupación horizontal
de procesos (Ver Figura 2-3) que cruza
los procesos de las dos zonas
mencionadas, que son:
Gestión de las Relaciones con el Cliente (CRM).
Comprende el conocimiento fundamental de las necesidades de los clientes
e incluye todas las funcionalidades necesarias para la adquisición,
ampliación, retención y fidelización de una relación con un cliente. Implica
el servicio y soporte al cliente, ya sea en centros de atención, por teléfono,
web o servicio en campo, contienen todo lo relacionados con la Gestión de
Ventas y Canales, la Gestión Marketing y la Gestión del Producto y de la
Oferta, al igual que la Gestión de Pedidos, Gestión de Incidentes, Gestión
del Contrato de Nivel del Servicio y los procesos de Facturación.
31
Gestión y Operaciones de Servicios.
Involucra el conocimiento de los servicios (acceso, conectividad, contenido)
e incluye todas las funcionalidades necesarias para la gestión y las
operaciones de comunicaciones y los servicios de información requeridos
por los clientes. El enfoque está en la entrega y gestión de los servicios, y no
en la gestión de la red y la tecnología de información subyacentes.
Gestión y Operaciones de Recursos.
Mantiene el conocimiento de los recursos (aplicaciones, computación e
infraestructura de red) y es responsable de la gestión de todos los recursos
utilizados en la entrega y soporte de los servicios requeridos por los clientes,
o propuestos por ellos. También incluye todas las funcionalidades
responsables de la gestión directa de todos esos recursos utilizados en la
empresa. Estos procesos son responsables de asegurar que la
infraestructura de red y de tecnologías de información dé el soporte
necesario a la entrega diaria de los servicios requeridos.
Gestión de las Relaciones con Proveedores.
Soporta
los
procesos
operacionales
básicos,
aprovisionamiento,
aseguramiento de ingresos y facturación de instancias del cliente, y los
procesos funcionales de operaciones. Estos procesos se alinean
fuertemente con los procesos de Gestión de las Relaciones con el Cliente y
Proveedores.
Por su parte el área de procesos de Operaciones tiene una agrupación vertical que
cubre el proceso de Facturación, Aseguramiento de ingresos, Aprovisionamiento
de servicios y Cumplimiento, en tanto que el área de procesos de Estrategia,
Infraestructura y Producto se agrupa verticalmente en procesos de Gestión del
Ciclo de vida de la Infraestructura, Gestión de ciclos de vida de Productos
Gestión de Estrategia y Cumplimiento.
y
32
Como se puede ver en la Figura 2-3, la intersección del agrupamiento horizontal y
vertical en las zonas de procesos de Operaciones y Estrategia, generan procesos
más detallados catalogados como de nivel 2 en eTOM, los cuales son el punto de
partida para la generación de la metodología de GSI en cuestión.
Figura 2-3: Modelo de Referencia eTOM [11].
2.1.2. COBIT. [12]
Es un marco de Gobierno de las Tecnologías de Información que proporciona una
serie de herramientas para que la gerencia pueda conectar los requerimientos de
control con los aspectos técnicos y los riesgos del negocio, permite el desarrollo de
las políticas y buenas prácticas para el control de las tecnologías en toda la
organización. COBIT enfatiza el cumplimiento regulatorio y ayuda a las
organizaciones a incrementar su valor a través de las tecnologías, permitiendo su
alineamiento con los objetivos del negocio, COBIT ha evolucionado de ser una
herramienta de auditoría a un marco de gobierno de las TI (Figura 2-4).
COBIT 5 agrupa también los siguientes frameworks:
33
·
Val IT: marco de referencia de gobierno que incluye principios rectores
generalmente aceptados y procesos de soporte relativos a la evaluación
y selección de inversiones de negocios de TI.
·
Risk IT: marco de referencia normativo basado en un conjunto de
principios rectores para una gestión efectiva de riesgos de TI.
·
BMIS (Business Model for Information Security): es una aproximación
holística y orientada al negocio para la administración de la seguridad
informática.
·
ITAF (IT Assurance Framework): marco para el diseño, la ejecución y
reporte de auditorías de TI y de tareas de evaluación de cumplimiento.
Figura 2-4: Evolución de COBIT [12].
Para el desarrollo de la Metodología de GSI en cuestión, usaremos la guía de
implementación de “COBIT 5 For Security Information, por cuanto es una guía de
ISACA para el Gobierno y la Gestión Corporativa de la Seguridad de la Información,
basada en los procesos APO13 Gestionar la Seguridad, DSS04 Gestión de la
Continuidad y DSS05 Gestión los servicios de Seguridad [13].
2.1.3. FAMILIA ISO/IEC 27000. 27011. [2]
Las normas de la familia ISO/IEC 27000, en especial ISO/IEC 27001 e ISO/IEC
27002, tienen como principales objetivos:
·
Establecer un marco metodológico para un SGSI.
34
·
La adopción de controles proporcionales a los riesgos percibidos.
·
La documentación de políticas, procedimientos, controles y tratamiento de
riegos.
·
Identificación y asignación de responsabilidades al nivel adecuado.
·
Formalización, seguimiento y revisión de los controles y riesgos, de forma
sistemática (periódica) y metodológica.
·
Generación y preservación de evidencias.
·
Tratamiento de los incidentes de seguridad.
·
Revisión y mejora continua del SGSI.
·
Gestión de Riesgos.
·
Uso de métricas para evaluar efectividad y eficiencia de los controles y del
propio SGSI.
La ISO/IEC 27001, es la norma más importante de la familia ya que adopta un
enfoque de gestión de riesgos en la organización, es certificable y especifica los
requisitos para establecer, implantar, mantener y mejorar un SGSI, promueve la
mejora continua en los procesos basándose en el ciclo de Deming PDCA [2] .
En tanto que la ISO/IEC 27002 es un compendio de prácticas para la GSI para
preservar la confidencialidad, integridad y disponibilidad, se especifican objetivos
para los controles de la información y una guía para su implementación. ISO/IEC
27002 no es certificable y sirve de apoyo en la certificación de la ISO/IEC 27001.
La ISO/IEC 27011 aborda las directrices de gestión de seguridad para las empresas
de la industria de las telecomunicaciones, basada en la norma ISO/IEC 27002. Esta
norma facilita controles específicos para las TELCO, además de una orientación
para la implementación de los controles de seguridad.
35
2.2. SELECCIÓN DE PROCESOS DE eTOM.
En este apartado se define una Metodología de Selección de Procesos, en función
de su criticidad y nivel del riesgo para el negocio; luego, su aplicación manteniendo
el enfoque en las TELCO ecuatorianas, para así obtener los procesos resultantes
sobre los cuales se enfocará la Metodología de GSI.
2.2.1. METODOLOGÍA DE SELECCIÓN DE PROCESOS.
Esta metodología contempla:
·
La definición de Nomenclatura de Procesos de eTOM.
·
Identificación de Proceso Críticos.
·
Evaluación del Riesgo aplicado a los Procesos Críticos seleccionados.
2.2.1.1. Definición de Nomenclatura de Procesos de eTOM.
Cada proceso de nivel 2 de eTOM v.12, tendrá un código de acuerdo a la siguiente
nomenclatura:
·
2Ad(1) Bill Invoice Management.
El digito en primera posición desde la izquierda, identifica el área de proceso a la
que corresponde, de acuerdo a la Tabla 2-1:
DIGITO
ÁREA DE PROCESO
1
Estrategia, Infraestructura y Producto.
2
Operaciones.
3
Gestión.
Tabla 2-1 Áreas de Procesos, eTOM v.12. [14]
La letra mayúscula en la segunda posición es el agrupamiento horizontal al que
pertenece el proceso, de acuerdo a las Tablas 2-2 y 2-3:
36
LETRA MAYÚSCULA
ÁREAS DE PROCESOS: ESTRATEGIA, INFRAESTRUCTURA Y
PRODUCTO OPERACIONES
A
Gestión de las Relaciones con el Cliente (CRM).
B
Gestión y Operaciones de Servicios.
C
Gestión y Operaciones de Recursos.
D
Gestión de las Relaciones con el Proveedor.
Tabla 2-2 Agrupación horizontal, Área de procesos: Estrategia, Infraestructura y Producto,
Operaciones, eTOM v.12. [14]
LETRA
MAYÚSCULA
ÁREA DE PROCESOS:
GESTION EMPRESARIAL
A
Planeación Estratégica Empresarial.
B
Gestión de Recursos Humanos.
C
Gestión de Riesgos Empresariales.
D
Gestión Efectiva Empresarial.
E
Gestión del Conocimiento e Investigación.
F
Gestión Financiera.
G
Gestión de Stake Holders.
Tabla 2-3 Agrupación horizontal, Área de procesos: Gestión Empresarial, eTOM v.12. [14]
La letra en minúscula en tercera posición corresponde al agrupamiento vertical de
acuerdo a las Tablas 2-4 y 2-5:
LETRA
MINÚSCULA
ÁREA DE PROCESOS:
ESTRATEGIA, INFRAESTRUCTURA Y PRODUCTO
a
Estrategia y cumplimiento.
b
Gestión de ciclo de vida de infraestructura.
c
Gestión de ciclo de vida de producto.
Tabla 2-4 Agrupación vertical, Área de procesos: Estrategia, Infraestructura y Producto,
eTOM v.12. [14]
LETRA
MINÚSCULA
ÁREA DE PROCESOS: OPERACIONES
a
Soporte y Operaciones.
b
c
d
Cumplimiento.
Aseguramiento de Ingresos.
Gestión de la facturación.
Tabla 2-5 Agrupación vertical, Área de procesos: Operaciones, eTOM v.12. [14]
37
El digito entre paréntesis en cuarta posición, es un secuencial que determina el
número de proceso dentro de la intersección de agrupación horizontal y vertical de
procesos de eTOM, ver Figura 2-3.
Para el caso específico de los procesos del Área Gestión de eTOM, que tienen
solo una agrupación horizontal, la nomenclatura del código de procesos tiene tres
posiciones así:
·
3F4 Regulatory Management.
Donde el dígito en la tercera posición es un secuencial de los proceso dentro del
Área de procesos de Gestión.
2.2.1.2. Identificación de Procesos Críticos.
Los criterios empleados para la identificación de procesos críticos han sido elegidos
luego de conocer la naturaleza e importancia de los procesos en la industria de las
Telecomunicaciones. La selección de procesos críticos se evalúa en función de los
siguientes criterios:
·
Cumplimiento de objetivos estratégicos.
·
Tiempo máximo aceptable fuera de servicio.
·
Problemas en la ejecución del proceso.
Cumplimiento de Objetivos estratégicos.
Este criterio es altamente ponderado en los procesos directamente relacionados al
cumplimiento de los objetivos estratégicos, que atienden directamente la misión del
negocio y satisfacen necesidades concretas de los clientes. La ponderación
asignada al cumplimiento de objetivos estratégicos se detalla en la Tabla 2-6.
38
CUMPLIMIENTO DE OBJETIVOS ESTRATÉGICOS
PONDERACIÓN
Procesos directamente relacionados al cumplimiento de los objetivos.
3
Procesos medianamente relacionados al cumplimiento de los objetivos.
2
Procesos indirectamente relacionados al cumplimiento de los objetivos.
1
Tabla 2-6: Cumplimiento de objetivos estratégicos. [14]
Tiempo máximo aceptable fuera de servicio.
Este criterio evalúa la criticidad de los procesos en función del tiempo que los
mismos pueden dejar de operar total o parcialmente, la ponderación de este criterio
asignado a los procesos de acuerdo a un rango de horas fuera de servicio, se
detalla en la Tabla 2-7.
TIEMPO MÁXIMO ACEPTABLE FUERA DE SERVICIO.
Procesos que pueden esperar 0-2 horas para su recuperación.
PONDERACIÓN
Procesos que pueden esperar 2-8 horas para su recuperación.
2
Procesos que pueden esperar más de 8 horas para su recuperación.
1
3
Tabla 2-7: Tiempo máximo fuera de servicio. [14]
Problemas en la ejecución del proceso:
Este criterio evalúa el nivel de errores que se presentan en los procesos, que
generan
reclamos
de
usuarios
externos
y/o
internos,
correcciones
y
reprocesamientos, que se traducen en el uso ineficiente de recursos de la TELCO,
la ponderación de este criterio en función de los problemas y quejas que se generan
durante la ejecución del mismo se detalla en la Tabla 2-8.
PROBLEMAS EN LA EJECUCIÓN DEL PROCESO
PONDERACIÓN
Procesos que durante su ejecución presenta problemas y/o quejas
de manera frecuente.
Procesos que durante su ejecución presenta pocos problemas y/o
quejas.
Procesos que durante su ejecución casi no se presentan problemas
y/o quejas.
Tabla 2-8: Problemas en la ejecución del proceso. [14]
3
2
1
39
La ponderación de los tres criterios que fueron detallados en la Tabla 2-8, para
evaluar la criticidad de los procesos, se ha utilizado la escala de valores discretos
continuos 3,2,1, por cuanto los enunciados asociados a cada valor de la escala,
que son cualitativos tienen relación directa con la escala cualitativa Alta, Media y
Baja, por ejemplo:
En el criterio “Tiempo máximo fuera de Servicio”, ver Tabla 2-7, el enunciado:
·
Procesos que pueden esperar 0-2 horas para su recuperación, se asocia con
un nivel de criticidad Alto.
·
Procesos que pueden esperar de 2-8 horas para su recuperación, se
asociado con un nivel de criticidad Medio.
·
Procesos que pueden esperar más de 8 horas para su recuperación, se
asociado con un nivel de criticidad Bajo.
En este ejemplo, se puede apreciar que los enunciados cualitativos contemplan
rangos cuantitativos consecutivos, con ello se justifica el uso de la escala de
ponderación 3,2 y 1 para los criterios de evaluación de procesos críticos, un análisis
similar aplica a los dos criterios de evaluación restantes.
Luego de evaluar un proceso para cada criterio, la sumatoria de las ponderaciones
de los tres criterios dados, reflejan el Nivel de Criticidad del proceso el cual se lo
cataloga de acuerdo a la Tabla 2-9.
INTERVALOS DE
SUMATORIA DE
PONDERACIÓN
NIVEL DE
CRITICIDAD
Críticos
9–7
CARACTERÍSTICAS
Las actividades solo pueden realizarse si se reemplazan por otras
idénticas.
No pueden ser reemplazados por actividades manuales.
Muy baja tolerancia a las interrupciones.
6–5
Vitales
Pueden realizarse manualmente por un periodo breve.
Costos de interrupción tolerables.
4–3
No Críticos
Las actividades pueden interrumpirse por tiempos prolongados a bajo
costo.
Tabla 2-9: Calificación y Nivel de Criticidad de Procesos. [14]
40
Los procesos críticos de acuerdo a la Tabla 2-9 son la información de entrada para
la Evaluación del Nivel de Riesgo.
2.2.1.3. Evaluación del Nivel de Riesgo aplicado a los procesos críticos.
El riesgo se define como la combinación de la probabilidad de que se produzca un
evento y sus consecuencias negativas, los factores que componen el Riesgo son
la amenaza y la vulnerabilidad. La evaluación del nivel de riesgo relacionado a los
procesos críticos, se determina en función de:
·
Catálogo de Amenazas.
·
Catálogo de Vulnerabilidades.
·
Estimación del Impacto, Amenaza - Vulnerabilidad.
·
Estimación de Probabilidad de Ocurrencia, Amenaza – Vulnerabilidad.
·
Estimación de Riesgo, Amenaza - Vulnerabilidad.
Catálogo de Amenazas.
Las amenazas son escenarios negativos para la organización, que ocurren cuando
una vulnerabilidad a nivel de personas, procesos o tecnología es aprovechada por
un atacante; por lo tanto, en el contexto de la Gestión de Riesgos es importante
definir las amenazas reales a las que una organización se expone, ya que la GSI
enfoca sus esfuerzos en evitar en lo posible la materialización de dichas amenazas.
Por tal motivo se ha definido dentro del procedimiento de evaluación del Nivel de
Riesgo un catálogo de amenazas para la industria de las telecomunicaciones,
detallados en la Tabla 2-10.
41
CÓDIGO
AMENAZA
REFERENCIA
A1
LOS SERVICIOS DE UN CLIENTE PUEDEN
SER USADOS POR TERCERAS PERSONAS
SIN PAGAR POR ELLOS.
A2
PERSONAS NO AUTORIZADAS TIENEN
ACCESO Y PERMISOS DE MODIFICACIÓN
EN PLATAFORMAS TECNOLÓGICAS.
A3
PERSONAS NO AUTORIZADAS TIENEN
ACCESO Y PERMISOS DE MODIFICACIÓN A
SISTEMAS DE INFORMACIÓN.
A4
INCUMPLIMIENTO
CON
ENTES
CONTROL QUE IMPLIQUE MULTAS
A5
INCUMPLIMIENTO
CON
ENTES
DE
CONTROL QUE IMPLIQUEN SUSPENCIÓN
DE LICENCIA PARA PROVEER UN
SERVICIO.
A6
LOS SERVICIOS
QUE SE PROVEE A
CLIENTES SON INTERCEPTADOS POR
ENTIDADES O PERSONAS EXTERNAS.
A7
INFORMACIÓN DE AUTENTICACIÓN DE
CLIENTES ES REVELADA A TERCEROS.
A8
INFORMACIÓN TÉCNICA DEL KNOW HOW
DE LA TELCO ES REVELADA A TERCEROS.
ISO/IEC 27011, 7.1.1 INVENTORY OF ASSETS, PÁG
27. LITERAL G)
A9
INFORMACIÓN
ESTRATÉGICA
DE
NEGOCIOS, CONFIDENCIAL PARA LA
EMPRESA ES REVELADA A TERCEROS.
ISO/IEC 27011, 7.1.1 INVENTORY OF ASSETS, PÁG
27. LITERAL G)
A10
INTERRUPCIONES DEL SERVICIO A NIVEL
NACIONAL.
A11
INTERRUPCIONES DEL SERVICIO A NIVEL
REGIONAL O DE PROVINCIA.
A12
INTERRUPCIONES DEL SERVICIO EN
SECTORES DENTRO DE UNA CIUDAD.
A13
SISTEMAS DE INFORMACIÓN CRÍTICOS NO
ESTÁN DISPONIBLES POR PROBLEMAS
TÉCNICOS.
DE
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, CONSIDERACIONES DE
ENTORNO OPERACIONAL
E INCIDENTES EN
TELCOS, PÁG 13, LITERAL C).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, CONSIDERACIONES DE
ENTORNO OPERACIONAL
E INCIDENTES EN
TELCOS, PÁG 14, LITERAL D).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, CONSIDERACIONES DE
ENTORNO OPERACIONAL
E INCIDENTES EN
TELCOS, PÁG 14, LITERAL E).
ISO/IEC 27011, 4.2.4.1 HOW TO ESTABLISH
SECURITY
REQUIREMENTS,
ORIGENES
DE
REQUERIMIENTOS DE UN MARCO DE REFERENCIA
DE SEGURIDAD EN UNA TELCO, PÁG 15,LITERAL B).
ISO/IEC 27011, 4.2.4.1 HOW TO ESTABLISH
SECURITY
REQUIREMENTS,
ORIGENES
DE
REQUERIMIENTOS DE UN MARCO DE REFERENCIA
DE SEGURIDAD EN UNA TELCO, PÁG 15, LITERAL B).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS,
ORIGENES
DE
REQUERIMIENTOS DE UN MARCO DE REFERENCIA
DE SEGURIDAD EN UNA TELCO, PÁG 13, LITERAL A).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS,
ORIGENES
DE
REQUERIMIENTOS DE UN MARCO DE REFERENCIA
DE SEGURIDAD EN UNA TELCO, PÁG 13, LITERAL A).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, CONSIDERACIONES DE
ENTORNO OPERACIONAL
E INCIDENTES EN
TELCOS, PÁG 14, LITERAL C).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, CONSIDERACIONES DE
ENTORNO OPERACIONAL
E INCIDENTES EN
TELCOS, PÁG 14, LITERAL C).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, CONSIDERACIONES DE
ENTORNO OPERACIONAL
E INCIDENTES EN
TELCOS, PÁG 14, LITERAL C).
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, CONSIDERACIONES DE
ENTORNO OPERACIONAL
E INCIDENTES EN
TELCOS, PÁG 14, LITERAL B).
Tabla 2-10: Catálogo de Amenazas [2] .
Las amenazas que se listan en la Tabla 2-10, son consideraciones explicitas de la
ISO/IEC 27011 en su apartado 4.2.2, a pesar que la norma no define en sí misma
un catálogo de amenazas, es clara en citar en este apartado los escenarios que se
deben evitar en la industria de las Telecomunicaciones, a modo de ejemplo se
procede a detallar el análisis realizado para definir las amenazas A10, A11, A12 de
la Tabla 2-10:
42
Partiendo de la sección 4.2.2 de la ISO/IEC 27011, correspondiente a las
consideraciones específicas para la Seguridad de la Información en la industria de
las Telecomunicaciones, donde en el literal c), describe lo siguiente:
“A major concern of telecommunications organizations is the possibility of
compromised security that causes network down-time. Such down-time can be
extremely costly in terms of customer relations, lost revenue, and recovery costs.
Deliberate attacks on the availability of the
national
telecommunications
infrastructure can be viewed as a national security concern. [2] ”
Que se refiere a la mayor preocupación que deben tener las TELCO respecto a la
GSI, este párrafo tomado de la ISO/IEC 27011 justifica que se considere en el
catálogo de amenazas de la Tabla 2-10, la amenaza A10 cuya descripción es
INTERRUPCIONES DEL SERVICIO A NIVEL NACIONAL, del mismo párrafo de
la ISO/IEC 27011, se desprende la justificación para considerar las amenazas A11
INTERRUPCIONES DEL SERVICIO A NIVEL REGIONAL O DE PROVINCIA y A12
INTERRUPCIONES DEL SERVICIO EN SECTORES DENTRO DE UNA CIUDAD,
las cuales en contexto son lo mismo que la A10, pero su impacto es diferente, por
tanto las amenazas A10, A11 y A12 son aplicables a las TELCO ecuatorianas.
El mismo análisis se aplica para justificar todas las amenazas de la Tabla 2-10, con
su respectiva referencia a la norma ISO/IEC 27011.
Catálogo de Vulnerabilidades.
Una vulnerabilidad es un defecto o una debilidad en procedimientos de seguridad,
deficiencia en diseño o implementación de controles internos, que podrían ser
explotados y materializar una amenaza. Para la evaluación del Nivel de Riesgo, se
define un catálogo de vulnerabilidades, ver Tabla 2-11, basado en la ISO/IEC
27011, con un análisis análogo a la definición de las amenazas de la Tabla 2-10.
43
CÓDIGO
V1
V2
V3
V4
V5
V6
VULNERABILIDADES
TRÁFICO O DATOS SENSIBLES SIN
ENCRIPTACIÓN, SEA A NIVEL DE
COMUNICACIONES O BASES DE DATOS.
AUSENCIA O GESTIÓN INADECUADA DE
ALTA
DISPONIBILIDAD,
CONTEMPLA
PLATAFORMAS
TECNOLÓGICAS,
COMUNICACIONES Y SERVIDORES.
AUSENCIA O GESTIÓN INADECUADA DE
AUTENTICACIÓN Y/O AUTORIZACIÓN EN
CPDS , SISTEMAS DE INFORMACIÓN, NMS
DE PLATAFORMAS
ESTRATÉGIAS
DE
RESPALDOS
INEFICIENTES.
AUSENCIA DE CONTROL DE CAMBIOS DE
SISTEMAS
DE
INFORMACIÓN,
PLATAFORMAS
TECNOLÓGICAS
Y
DISPOSITIVOS DE COMUNICACIONES.
AUSENCIA DE POLÍTICA DE USO DE
INFORMACIÓN
Y
RECURSOS
TECNOLÓGICOS EN LA TELCO.
REFERENCIA
ISO/IEC 27011, 10.6.2, SECURITY OF PLATFORM
SERVICES, PÁG 46, LITERAL C)
ISO/IEC 27011, 4.2.2 SECURITY CONSIDERATIONS IN
TELECOMMUNICATIONS, PÁG 14, LITERAL A).
ISO/IEC 27011, SECCION 6.2, ADDRESSING SECURITY
WHEN DEALING WITH USERS AND CUSTOMERS, PÁG
20, LITERAL D).
ISO/IEC 27011, SECCION 10.5, BACKUP, PÁG 46.
ISO/IEC
27011,
SECCION
MANAGEMENT, PÁG 41.
10.1.2,
CHANGE
ISO/IEC 27011, SECCION 7.1.1, INVENTORY ASSETS,
TELECOMMUNICATIONS-SPECIFIC IMPLEMENTATION
GUIDANCE, PÁG 26.
Tabla 2-11: Catálogo de Vulnerabilidades [2].
Estimación del Impacto (Amenaza - Vulnerabilidad).
Es una valoración subjetiva en base a la combinación de una Amenaza y sus
Vulnerabilidades, en función de su incidencia en la Integridad, Confidencialidad y
Disponibilidad. Para trabajar bajo este enfoque se define una ponderación
especificada en la Tabla 2-12.
Amenaza - Vulnerabilidad
PONDERACIÓN
Bajo
1
Medio
3
Alto
5
Tabla 2-12: Definición del Impacto. [14]
En la ponderación de la Tabla 2-12, se utilizan los valores discretos no continuos
1, 3, 5 asociados al Impacto Bajo, Medio y Alto respectivamente, considerando que
el impacto de una combinación Amenaza – Vulnerabilidad asociada a uno de los
criterios de seguridad de la información sea Integridad, Confidencialidad y
Disponibilidad, puede determinar que todo el proceso tenga un alto Nivel de Riesgo,
se justifica que los valores de ponderación no sean continuos, ya que se requiere
mayor representación numérica en la evaluación del Impacto.
44
Estimación de Probabilidad de Ocurrencia (Amenaza – Vulnerabilidad).
La probabilidad de ocurrencia se establece para cada amenaza asociada a una
vulnerabilidad, se clasificada de acuerdo a la Tabla 2-8:
PROBABILIDA DE OCURRENCIA
PONDERACIÓN
Baja
1
Media
2
Alta
3
Tabla 2-13: Probabilidad de Ocurrencia. [14]
La ponderación de la Tabla 2-13, se basa en los valores discretos continuos 1, 2, 3
asociados a la Probabilidad de ocurrencia Baja, Media, Alta, mantenemos estos
valores por cuanto la mayor representación numérica está dada por el Impacto
asociado a la combinación Amenaza – Vulnerabilidad, y posteriormente se realizará
una operación matemática entre el Impacto y la probabilidad para obtener el Riesgo
asociado.
Estimación de Riesgo (Amenaza – Vulnerabilidad).
El Riesgo se determina en función del Impacto por la Probabilidad de Ocurrencia
de una Amenaza asociada a una Vulnerabilidad.
·
El riesgo de la Amenaza es el promedio del
riesgo de todas las
vulnerabilidades asociadas a la amenaza.
·
El riesgo del Proceso es el promedio del riesgo de todas las amenazas del
proceso.
·
El Nivel del Riesgo, es el riesgo del proceso en forma cualitativa de acuerdo
a la Tabla 2-14, cabe acotar que la calificación del Nivel de Riesgo, no puede
solamente depender de resultados matemáticos, por características propias
de los riesgos dentro de la Seguridad de la Información, el Nivel de Riesgo
de un proceso, obedece también a las siguientes consideraciones:
El Nivel de riesgo de todo el proceso se considera alto, si:
45
·
El resultado del promedio del Riesgo de
al menos una
Amenaza
asociada a sus vulnerabilidades es alto o muy alto.
·
Si el resultado del riesgo de una amenaza asociada a una vulnerabilidad
es muy alto.
CUALIFICACIÓN DEL RIESGO
PONDERACIÓN
Baja
>1 y <= 3
Media
> 3 < =9
Alta
>= 10
Muy alta
>=30
Tabla 2-14: Cualificación del Riesgo. [14]
2.2.2. APLICACIÓN DE LA METODOLOGÍA DE SELECCIÓN DE PROCESOS.
A continuación se detalla la aplicación y los resultados obtenidos de la Metodología
de Selección de procesos definida en la sección 2.2.1 de este documento, es
importante destacar, que el criterio para dicha aplicación, está en función de los
resultados de las encuestas realizadas a profesionales involucrados directamente
con la GSI en TELCO’s ecuatorianas (Anexo A Encuestas) y de la experiencia de
los autores en el ámbito de la Industria de las Telecomunicaciones en el país.
2.2.2.1. Aplicación de procedimiento de identificación de Procesos Críticos.
La información de entrada para este procedimiento, es el listado de procesos de
nivel 2 de eTOM v.12 con su respectiva descripción, aplicada la nomenclatura
establecida en la sección 2.2.1.1 de este documento (Anexo B), que comprende un
listado de 86 Procesos de eTOM. El proceso 3B2 Security Management, no se
contemplará dentro de la evaluación de procesos críticos, ya que el objetivo de la
tesis es desarrollar una Metodología de GSI para las TELCO ecuatorianas, con esta
omisión evitamos la posibilidad de caer en el caso de análisis ambiguo de generar
recomendaciones de GSI para un proceso de GSI de eTOM. Luego de aplicar el
procedimiento de evaluación de procesos críticos, de acuerdo a lo especificado en
la sección 2.2.1.2 de este documento, a los 86 procesos de eTOM v.12 (Anexo B),
46
con el enfoque en las TELCO ecuatorianas, la Tabla 2-15 lista los 25 procesos
considerados críticos, de acuerdo a la Metodología establecida.
CODIGO DE
PROCESO
1Ab
PROCESO eTOM
(NIVEL 2)
PRODUCT & OFFER CAPABILITY DELIVERY
1Cb
7
2Ab(2)
RESOURCE CAPABILITY DELIVERY
SUPPLY CHAIN DEVELOPMENT &
CHANGE MANAGEMENT
SELLING
2Ac(2)
CUSTOMER QOS/SLA MANAGEMEN
7
2Ad(1)
BILL INVOICE MANAGEMENT
9
2Ba
SM&O SUPPORT READINESS
9
1Dc
PONDERACIÓN
7
7
8
2Bb
SERVICE CONFIGURATION & ACTIVATION
7
2Ca
RM&O SUPPORT & READINESS
7
2Cb
RESOURCE PROVISIONING
7
2Da
S/P PROBLEM REPORTING & MANAGEMENT
7
2Dd(2)
S/P INTERFACE MANAGEMENT
7
3A6
ITIL CHANGE MANAGEMENT
7
3B1
BUSINESS CONTINUITY MANAGEMENT
7
3B3
FRAUD MANAGEMENT
8
3B4
AUDIT MANAGEMENT
9
3B7
ITIL IT SERVICE CONTINUITY MANAGEMENT
7
3C1
7
3C11
PROCESS MANAGEMENT & SUPPORT
ITIL SERVICE ASSET AND CONFIGURATION
MANAGEMENT
ITIL CAPACITY MANAGEMENT
3D2
RESEARCH MANAGEMENT
7
3E1
FINANCIAL MANAGEMENT
7
3F4
REGULATORY MANAGEMENT
9
3F5
LEGAL MANAGEMENT
7
3G1
HR POLICIES & PRACTICES
7
3C6
Tabla 2-15: Resultado de Procesos Críticos de eTOM. [14]
7
7
47
2.2.2.2. Aplicación de Evaluación del Nivel de Riesgo a Procesos Críticos.
Los procesos de entrada para esta evaluación, son los procesos de la Tabla 2-15,
considerados como críticos, luego de la aplicación de la evaluación de acuerdo a lo
especificado en la sección 2.2.1.3, en el Anexo F, Evaluación de Nivel de Riesgo
de procesos críticos, se obtiene como resultado 6 procesos Críticos con un Alto
Nivel de Riesgo (Tabla 2-16), estos procesos son la información de entrada para el
desarrollo de la Metodología de GSI en cuestión.
CODIGO DE
PROCESO
2Bb
PROCESO eTOM
(NIVEL 2)
SERVICE CONFIGURATION & ACTIVATION
2Ad(1)
BILL INVOICE MANAGEMENT
9
2Ba
SM&O SUPPORT READINESS
9
3B3
FRAUD MANAGEMENT
8
3B4
AUDIT MANAGEMENT
9
3F4
REGULATORY MANAGEMENT
9
PONDERACIÓN
8
Tabla 2-16: Procesos Críticos con Alto Nivel de Riesgo de eTOM. [14]
2.3. INTEGRACIÓN DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS
DE ETOM.
La ISO/IEC 27011, específica para la GSI de empresas de Telecomunicaciones,
toma como base la ISO/IEC 27002 y agrega recomendaciones especiales para la
industria de las Telecomunicaciones; como se puede ver en el Anexo Digital
/Estándares, el Índex de ISO/IEC 27002 y de la ISO/IEC 27011 es el mismo; por lo
que se justifica la validez de utilizar la ISO/IEC 27002 para hacer el mapeo con
COBIT 5 y usar las recomendaciones de la ISO/IEC 27011 en el desarrollo de la
Metodología de GSI.
2.3.1. MAPEO COBIT 5 E ISO/IEC 27011.
En COBIT 5 For Security Information, en su Apéndice H, Mapeos Detallados, cuyo
documento se incluye en el Anexo Digital/Estándares, establece un mapeo de los
procesos de COBIT 5 con la ISO/IEC 27002, específico para la GSI (Tabla 2-17),
48
considerando el párrafo de la sección 2.3 de este documento, es válido considerar
la Tabla 2-17 como el mapeo formal entre COBIT 5 y la ISO/IEC 27011, el mapeo
en cuestión formulado por ISACA, es el pilar fundamental en el que se basa el
desarrollo de la metodología de GSI en cuestión [13].
Evaluar, Orientar y Supervisar
(EDM)
COBIT 5 Procesos
Asegurar el establecimiento y
EDM01 mantenimiento del marco de
gobierno
Asegurar la entrega de
EDM02
beneficios
Asegurar la optimización del
EDM03
riesgo
Asegurar la optimización de los
EDM04
recursos
EDM05
APO01
Alinear, Planificar y Organizar
(APO)
APO02
APO03
APO04
APO05
APO06
APO07
APO08
APO09
Asegurar la transparencia hacia
las partes interesadas
Gestionar el Marco de Gestión
de TI
Gestionar la Estrategia
Gestionar la Arquitectura
Empresarial
Gestionar la Inversión
Gestionar Portafolio
Gestionar el Presupuesto y
Costo
Gestionar los Recursos
Humanos
Gestionar las Relaciones
Gestionar los Acuerdos de
Servicios
OBJETIVO DE CONTROL ISO/IEC 27011
6.1.1 Compromiso de la dirección con la seguridad de la
Información
N/A
14.1.2 Continuidad de negocio y gestión de riesgos
N/A
6.1.1 Compromiso de la dirección con la seguridad de la
información
6.1.2 Coordinación de la seguridad de la información
6.1.3 Establecimiento de responsabilidades de la
seguridad de la información
6.1.4 Proceso de autorización de instalaciones para el
tratamiento de la información
6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con autoridades
6.1.7 Contacto con grupos de interés especiales
6.1.8 Revisión independiente de la seguridad de la
información
6. Organización de seguridad de la información
N/A
N/A
N/A
N/A
N/A
8. Seguridad de la Información de Recursos Humanos
N/A
10.2.1 Provisión de servicios
10.2.2 Supervisión y revisión de los servicios prestados
por terceros
10.2.3 Gestión del cambio en los servicios prestados por
terceros
49
APO10 Gestionar Proveedores
APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
APO13 Gestionar la Seguridad
Gestionar los Programas y
BAI01
Proyectos
BAI02
BAI03
Construir, Adquirir e Implementar
(BAI)
BAI04
BAI05
Gestionar la Definición de
Requisitos
Gestionar la Identificación y la
Construcción de Soluciones
Gestionar la Disponibilidad y la
Capacidad
Gestionar la Introducción de
Cambios Organizados
BAI06
Gestionar los Cambios
BAI07
Gestionar la Aceptación del
Cambio y de la Transición
BAI08
Gestionar el Conocimiento
6.1.5 Acuerdos de confidencialidad
6.2.1 Identificación de riesgos relacionados con terceros
6.2.3 Tratamiento de la seguridad en contratos con
terceros
8.1.2 Investigación de antecedentes
8.1.3 Términos y condiciones de contratación
10.2.3 Gestión del cambio en los servicios prestados por
terceros
10.8.2 Acuerdos de intercambio
12.4.2 Protección de datos de prueba del sistema
12.5.5 Externalización del desarrollo de software
15.1.4 Protección de datos y privacidad de la información
de carácter personal
N/A
13.1.1 Notificación de eventos de seguridad de la
información
13.1.2 Notificación de puntos débiles de seguridad
14.1.1 Inclusión de seguridad de la información en el
proceso de gestión de la continuidad del negocio
14.1.2 Continuidad del negocio y evaluación de riesgos
Tratado a lo Largo de esta Norma
N/A
10.1.1 Análisis y especificación de los requisitos de
seguridad
10.3.2 Aceptación del sistema
11.6.2 Aislamiento de sistemas sensibles
12.1.1 Análisis y especificación de requisitos de
seguridad
Tratado a lo Largo de esta Norma
10.3.1 Gestión de la capacidad
N/A
10.1.2 Gestión de cambios
11.5.4 Uso de las utilidades del sistema
12.5.1 Procedimientos de control de cambios
12.5.3 Restricciones a los cambios en los paquetes de
software
12.6.1 Control de las vulnerabilidades técnicas
6.1.4 Proceso de autorización de instalaciones para el
tratamiento de la información
8.2.2 Concienciación, formación y capacitación en
seguridad de la información
9.1.6 Áreas de acceso público y de carga y descarga
10.1.4 Separación de los recursos de desarrollo, prueba
y operación
10.3.2 Aceptación del sistema
12.4.2 Protección de los datos de prueba del sistema
12.4.3 Control de acceso al código fuente de los
programas
12.5.1 Procedimientos de control de cambios
12.5.2 Revisión técnica de las aplicaciones tras efectuar
cambios en el sistema operativo
10.1.1 Documentación de los procedimientos de
operación
10.3.2 Aceptación del sistema
10.7.4 Seguridad de la documentación del sistema
13.2.2 Aprendizaje de los incidentes de seguridad de la
información
50
BAI09
Gestionar los Activos
BAI10
Gestionar la Configuración
DSS01
DSS02
Gestionar las Operaciones
Gestionar las Peticiones y los
Incidentes del Servicio
Gestionar los Problemas
Supervisar, Evaluar y Valorar
(MEA)
Entrega, Servicio y Soporte
(DSS)
DSS03
DSS04
DSS05
Gestionar la Continuidad
Gestionar los Servicios de
Seguridad
DSS06
Gestionar los Controles de los
Procesos del Negocio
MEA01
Supervisar, Evaluar y Valorar
Rendimiento y Conformidad
MEA02
Supervisar, Evaluar y Valorar el
Sistemas de Control Interno
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.2.2 Etiquetado y manipulado de la información
10.7.4 Seguridad de la documentación del sistema
11.4.3 Identificación de los equipos en las redes
12.4.1 Control del software en explotación
12.4.2 Protección de los datos de prueba del sistema
12.5.2 Revisión técnica de las aplicaciones tras efectuar
cambios en el sistema operativo
12.5.3 Restricciones a los cambios en los paquetes de
software
12.6.1 Control de las vulnerabilidades técnicas
15.1.5 Prevención del uso indebido de los recursos de
tratamiento de la información
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.2.2 Etiquetado y manipulado de la información
10.7.4 Seguridad de la documentación del sistema
11.4.3 Identificación de los equipos en las redes
12.4.1 Control del software en explotación
12.4.2 Protección de los datos de prueba del sistema
12.5.2 Revisión técnica de las aplicaciones tras efectuar
cambios en el sistema operativo
12.5.3 Restricciones a los cambios en los paquetes de
software
12.6.1 Control de las vulnerabilidades técnicas
15.1.5 Prevención del uso indebido de los recursos de
tratamiento de la información
10. Gestión de comunicaciones y operaciones
13. Gestión de incidentes de seguridad de la información
13.2.2 Aprendizaje de los incidentes de seguridad de la
información
14. Gestión de la continuidad del negocio
Tratado a lo Largo de esta Norma
8.2.1 Responsabilidades de la dirección
10.1.3 Segregación de tareas
10.1.4 Separación de los recursos de desarrollo, prueba
y operación
10.5.1 Copias de seguridad de la información
10.6.1 Controles de red
10.7.3 Procedimientos de manipulación de la información
10.8.3 Soportes físicos en tránsito
10.8.4 Mensajería electrónica
12.4.2 Protección de los datos de prueba del sistema
12.4.3 Control de acceso al código fuente de los
programas
10.10.2 Supervisión del uso del sistema
5.1.2 Revisión de la política de seguridad de la
información
6.1.8 Revisión independiente de la seguridad de la
información
10.10.2 Supervisión del uso del sistema
5.1.1 Documento de política de seguridad de la
información
5.1.2 Revisión de la política de seguridad de la
información
6.1.8 Revisión independiente de la seguridad de la
51
Supervisar, Evaluar y Valorar la
MEA03 Conformidad con los
Requerimientos Externos
información
6.2.3 Tratamiento de la seguridad en contratos con
terceros
10.2.2 Supervisión y revisión de los servicios prestados
por terceros
10.10.2 Supervisión del uso del sistema
10.10.4 Registros de administración y operación
15.2.1 Cumplimiento de políticas y normas de seguridad
15.2.2 Comprobación del cumplimiento técnico
15.3.1 Controles de auditoría de los sistemas de
información
6.1.6 Contacto con las autoridades
15.1.1 Identificación de la legislación aplicable
15.1.2 Derechos de propiedad intelectual (IPR)
15.1.4 Protección de datos y privacidad de la información
de carácter personal
Tabla 2-17 Mapeo COBIT 5 con ISO/IEC 27011, para la GSI. [14]
2.3.2. MAPEO DE COBIT 5 E ISO/IEC 27011 A LOS PROCESOS DE ETOM.
La información de entrada para este mapeo, es la Tabla 2-16, Procesos Críticos
con Alto Nivel de Riesgo de eTOM, y la Tabla 2-17, Mapeo COBIT 5 con ISO/IEC
27011 para la GSI; el objetivo de esta sección es establecer las coincidencias entre
las Tablas 2-16 y 2-17 en función de las necesidades de GSI de las TELCO
ecuatorianas, este es un punto crítico en el desarrollo de la Metodología, por cuanto
se tiene que hacer un análisis complejo para identificar, para cada proceso
seleccionado de eTOM, la directriz que proporcionan los procesos de COBIT 5 y
los controles de la ISO/IEC 27011, que aplican y son necesarios para la GSI del
proceso en análisis, manteniendo el enfoque en la realidad de las TELCO
ecuatorianas y en las vulnerabilidades identificadas en el proceso en análisis, ver
Anexo F, Evaluación de Nivel de Riesgo de procesos críticos.
A manera de ejemplo, se describe el análisis realizado para el proceso BILL
INVOICE MANAGEMENT de eTOM, partiendo de la premisa que es un proceso
crítico para la TELCO, ver Tabla 2-16
y tomando en cuenta las principales
vulnerabilidades detectadas en la evaluación del Nivel Riesgo del proceso realizado
en la sección 2.2.2 de este documento. La Tabla 2-18, es una parte de la evaluación
del Nivel de Riesgo del proceso BILL INVOICE MANAGEMENT, que contiene las
vulnerabilidades que representan mayor riesgo para el proceso , que pueden
materializar la Amenaza A3, donde:
52
Amenaza A3: “PERSONAS NO AUTORIZADAS TIENEN ACCESO Y
·
PERMISOS DE MODIFICACIÓN A SISTEMAS DE INFORMACIÓN”.
Vulnerabilidad V5: “AUSENCIA DE CONTROL DE CAMBIOS DE
·
SISTEMAS DE INFORMACIÓN, PLATAFORMAS TECNOLÓGICAS Y
DISPOSITIVOS DE COMUNICACIONES”.
Vulnerabilidad V6: “AUSENCIA DE POLÍTICA DE USO DE INFORMACIÓN
·
Y RECURSOS TECNOLÓGICOS EN LA TELCO”.
El mapeo entre eTOM v.12, COBIT 5 e ISO/IEC 27011, son intersecciones entre
ellos, que debe cubrir las actividades y controles de GSI, para minimizar el riesgo
del proceso respecto a las vulnerabilidades principales del mismo, que en este caso
son las vulnerabilidades v5 y v6 asociadas a la amenaza A3, ver en el Anexo C,
Integración eTOM - COBIT 5 - ISO/IEC 27011, las intersecciones entre los marcos
de referencia y estándares para el proceso BILL INVOICE MANAGEMENT.
BILL INVOICE MANAGEMENT
A
V
I
C
D
IMPACTO
PROBABILIDAD
RIESGO
A3
V1
1
1
1
3
1
3
A3
V2
1
1
1
3
1
3
A3
V3
1
1
1
3
1
3
A3
V4
1
1
1
3
1
3
A3
V5
5
1
3
9
3
27
A3
V6
5
1
3
9
3
27
PROMEDIO
11,00
Tabla 2-18 Vulnerabilidades principales del proceso BILL INVOICE MANAGEMENT. [14]
En el Anexo C, Integración eTOM - COBIT 5 - ISO/IEC 27011, está el mapeo entre
eTOM v12, COBIT 5 e ISO27011 para todos los Procesos Críticos con Alto Nivel
de Riesgo (Tabla 2-16), en el cual se ha utilizado el mismo criterio aplicado en el
ejemplo anterior, las actividades y controles de la GSI serán detallados en el
desarrollo de la Metodología de GSI en el siguiente capítulo.
53
CAPÍTULO 3. PROPUESTA
METODOLÓGICA
DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA
EMPRESAS DE TELECOMUNICACIONES.
3.1. DEFINICIÓN DE ARQUITECTURA DE LA GSI.
Partiendo del concepto genérico de catalizadores o Enabling Processes de COBIT
5, que define a un catalizador como un factor que individual o colectivamente
influye a que algo funcione [12] ; la definición de Arquitectura de la GSI en el
contexto de la tesis, corresponde a establecer los catalizadores necesarios para la
implantación exitosa de la metodología de GSI. Se consideran los siguientes
catalizadores:
·
Estructura organizacional y Principios de la GSI.
·
Lineamientos para definir las Políticas de Seguridad de la Información.
·
Procesos de la GSI.
·
Modelo de Madurez de la GSI
·
Ciclo de mejora continua de GSI.
3.1.1. ESTRUCTURA ORGANIZACIONAL DE LA GSI.
Para garantizar la formalidad y el empoderamiento necesario para la implantación
de la GSI en una TELCO ecuatoriana, proponemos la siguiente estructura
organizacional [13]:
CEO
CISO
Responsables de los Procesos
ISM
Figura 3-1 Estructura organizacional propuesta para la GSI. [14]
54
3.1.1.1. Roles en la GSI [13] .
CISO (CHIEF INFORMATION SECURITY OFFICER).
Mandato: es el responsable al más alto nivel de la organización, del
programa de seguridad de la información en la TELCO.
Principios Operativos: para el caso específico de las TELCO ecuatorianas,
se recomienda, que el CISO reporte al CEO (Chief Executive Officer) de la
organización; debe ser el enlace entre la dirección ejecutiva y el programa
de seguridad de la información. El CISO debe también comunicar y
coordinarse de manera muy cercana con los grupos de interés clave del
negocio para cubrir las necesidades de protección de la información, debe
reunir las siguientes cualidades:
·
Ser un comunicador efectivo.
·
Ser hábil en construir relaciones efectivas con los líderes del negocio.
·
Ser capaz de traducir los objetivos del negocio en requerimientos de
seguridad de la información.
·
Tener un entendimiento exacto de la visión estratégica del negocio.
Ámbito de Control: el CISO es responsable de:
·
Establecer y mantener un sistema de gestión de seguridad de la
información (SGSI).
·
Definir y gestionar un plan de tratamiento del riesgo de la información.
·
Supervisar y revisar el SGSI.
Nivel de autoridad/derechos de decisión:
·
Es responsable de implementar y mantener la estrategia de GSI en la
organización.
·
La responsabilidad de que se haga (y la aprobación de las decisiones
importantes) reside en la función a la que el CISO reporta, en este
caso el CEO.
55
Derechos de delegación: el CISO debe delegar las tareas a los gerentes
de seguridad de la información y a personal de negocio.
Escalamiento: el CISO debe escalar problemas clave relacionados con el
riesgo de información a su supervisor directo en este caso el CEO.
ISM (INFORMATION SECURITY MANAGER).
Mandato: tiene la responsabilidad completa de la gestión de los esfuerzos
en Seguridad de la Información en la organización, es el brazo ejecutor del
CISO.
Principios operativos: Informa al CISO y hace un trabajo permanente con
los propietarios de los procesos de negocio.
Ámbito de control: contempla la seguridad de la información en las
plataformas tecnológicas, sistemas de Información, gestión de accesos,
gestión de amenazas e Incidentes, gestión del riesgo, programa de
concienciación, métricas, evaluación de proveedores.
Nivel de autoridad/derechos de decisión: autoridad completa en la toma
de decisiones sobre las prácticas de seguridad de la información.
Derechos de delegación: no debe delegar las decisiones relacionadas con
las prácticas del dominio de la seguridad de la información.
Escalamiento: puede escalar problemas al CISO.
PROPIETARIOS DE PROCESOS NEGOCIO (CUSTODIOS DE LA INFORMACIÓN).
Los custodios de la información o los propietarios de los procesos del negocio,
actúan como enlaces entre las funciones de negocio y de Seguridad de la
Información. Pueden ser asociados con tipos de información, aplicaciones
específicas o unidades de negocio dentro de una empresa. Las personas que
desempeñen este rol deben poseer conocimiento tanto del negocio como de los
tipos de información que son procesados y que requieren protección. Actúan como
56
asesores de confianza y agentes de supervisión en cuestiones relativas a la
información dentro del negocio. Este rol debe equilibrar el riesgo de negocio y el de
la información, de modo que las decisiones del negocio no prevalezcan siempre
sobre las decisiones de la Seguridad de la Información.
Importante: la GNT y GNTI son los propietarios de procesos de negocio más
relevantes en una TELCO, ya que son los responsables de todo el ámbito
Tecnológico en la organización; lo que implica que la GSI debe empoderarse
adecuadamente para establecer y controlar las responsabilidades individuales y
compartidas de las dos unidades funcionales.
3.1.1.2. Comités [13].
ISSC (INFORMATION SECURITY STEERING COMMITTEE).
En la Tabla 3-1, se lista los Integrantes y la función respectiva dentro del comité
ISSC:
ROL
CISO
ISM
·
·
·
·
·
·
Custodios de la
información /
propietarios del
negocio
GNT y GNTI
·
·
·
Representantes
de las funciones
especializadas.
·
FUNCIÓN
Presidir el ISSC y ser el enlace con el Comité de ERM.
Responsable de toda la seguridad de la información de la TELCO.
Comunicación de las prácticas de diseño, implementación y monitorización.
Cuando sea aplicable, el ISM discute las soluciones de diseño por adelantado con
los arquitectos de seguridad de la información, para mitigar los riesgos de la
información identificados.
A cargo de ciertos procesos o aplicaciones de negocio.
Responsables de comunicar tanto iniciativas de negocio que puedan impactar en
la seguridad de la información, como el impacto que las prácticas de seguridad de
la información puedan causar a los usuarios.
Pueden tener una comprensión del riesgo de negocio/operativo, costes y
beneficios, así como de determinados requerimientos de seguridad de la
información para su área de negocio.
Informar del estado de las iniciativas de seguridad de la información relacionadas
con las TI y con las plataformas tecnológicas que dan servicios a los clientes.
Aportar la opinión de los especialistas al comité cuando sea relevante, por ejemplo,
de representantes de auditoría interna, RRHH, legal, riesgo, oficial de gestión de
proyectos (PMO).
A estas funciones se les puede pedir que se unan al ISSC en ocasiones o como
miembros permanentes. Puede merecer la pena tener representantes de auditoría
interna como miembros permanentes para dar consejo al comité sobre el riesgo de
cumplimiento.
Tabla 3-1 Integrantes ISSC, Referencia tomada de COBIT5 y acoplada para la GSI. [13]
En la Tabla 3-2 se establecen, los principios operativos, el ámbito de control y
nivel de autoridad del ISSC:
57
Mandato
·
Asegurar que las buenas prácticas de la seguridad de la información se aplican de
forma eficaz y consistentemente en toda la empresa.
·
El ISSC se reúne de manera regular, cuando sea necesario para la empresa. Se pueden
planificar reuniones más frecuentes durante iniciativas específicas o cuando haya
problemas que necesiten ser gestionados urgentemente.
·
Principios operativos
Se debe limitar la pertenencia al comité a un número pequeño de líderes estratégicos y
tácticos para asegurar la comunicación bidireccional y la toma de decisiones
adecuadas. Otros líderes de negocio pueden ser invitados según la necesidad.
·
Todas las actas de las reuniones deben ser aprobadas y retenidas por un determinado
periodo de tiempo.
·
Ámbito de control
Nivel de
·
El CISO preside las reuniones del ISSC.
El ISSC es responsable en la toma de decisiones de seguridad de la información para
toda la empresa.
·
autoridad/derechos de
El ISSC es responsable de las decisiones de seguridad de la información de la empresa
en apoyo a las decisiones estratégicas del comité de ERM.
decisión
·
Derechos de
El ISSC es el responsable de la estrategia de diseño e implementación del programa
de seguridad de la información y esta responsabilidad no se puede delegar a otros roles
delegación
miembros.
·
Todos los problemas deben ser escalados al miembro responsable de seguridad de la
información pertinente de la dirección ejecutiva.
Escalamiento
·
Las estrategias del riesgo de la información de la empresa deben ser escaladas para
su aprobación al comité de ERM
Tabla 3-2 Funciones del ISSC, Referencia tomada de COBIT5 y acoplada para la GSI. [13]
ERM (ENTERPRISE RISK MANAGEMENT).
Este comité, tiene la responsabilidad de la toma de decisiones de la empresa
relativas a la evaluación, control, optimización, financiación y monitorización de
todas las fuentes de riesgo; con el propósito de incrementar el valor de la empresa
a corto y largo plazo para todas sus partes interesadas, en la Tabla 3-3, se lista los
integrantes y el rol de los miembros del comité ERM.
Integrantes
Rol/Funciones
·
CISO
En un escenario óptimo, el CISO es miembro del comité de ERM, para
proporcionar al comité asesoramiento sobre riesgos específicos de la
información.
CEO, COO, CFO
·
Representante de la alta dirección ejecutiva.
·
A cargo de ciertos procesos o aplicaciones de negocio.
Propietarios de los procesos clave
para el negocio.
58
Responsables de comunicar tanto iniciativas de negocio que puedan
·
impactar en la seguridad de la información, como el impacto que las
prácticas de seguridad de la información puedan causar a los usuarios.
Pueden tener una comprensión del riesgo de negocio/operativo, costes y
·
beneficios, así como de determinados requerimientos de seguridad de la
información para su área de negocio.
Proporciona información especializada cuando sea relevante. Se le puede
·
pedir su incorporación al comité de ERM de manera ocasional o como
Auditoría/ cumplimiento
miembro permanente. Por ejemplo, puede merecer la pena tener
representantes de la auditoría interna como miembros permanentes con
objeto de asesorar al comité en materia de riesgo de cumplimiento.
Proporciona asesoramiento legal. Se le puede pedir su incorporación al
·
Representante legal
comité de ERM de manera ocasional o como miembro permanente.
Tabla 3-3 Integrantes del ERM, Referencia tomada de COBIT5 y acoplada para la GSI. [13]
3.1.2. PRINCIPIOS EN LA GSI [13].
Tomando como base, los principios generados por ISACA (Information Systems
Audit and Control Association), ISF (The Information Security Forum) e
ISC
(International Information Systems Security Certification Consortium) se adoptan
principios de la GSI orientados a:
·
Defender el Negocio.
·
Apoyar al Negocio.
·
Dar Soporte al Negocio.
Defender el Negocio: sobre este ámbito, en la Tabla 3-4, se lista los principios que
rigen la Metodología de GSI propuesta.
Principio
Objetivo
Descripción
·
Entender el impacto en el negocio de la
Priorizar los escasos recursos de la
pérdida de integridad, confidencialidad
1.- Centrar los esfuerzos de
seguridad
de
disponibilidad de información
la GSI, en los procesos
enfocando
los
negocio críticos y con un
procesos de negocio en las cuales un
mayor nivel de Riesgo.
incidente en la seguridad
la
información,
esfuerzos
a
los
de la
dentro de un
proceso
o
importante
negocio crítico,
ayudará a establecer el nivel de criticidad.
·
Los requisitos de recursos para la GSI
información, tendría el mayor impacto
pueden
en el negocio.
asignados con prioridad en proteger los
ser
entonces
determinados
y
procesos que son más críticos para el éxito
de la empresa.
59
·
La seguridad de la información depende en
gran medida de la capacidad de los
profesionales del sector, para realizar sus
funciones con responsabilidad y con plena
2.- Actuar de una manera
Asegurar
profesional y ética.
relacionadas con la seguridad de la
impacto directo sobre la información que se
información, se llevan a cabo de una
encargan de proteger.
que
las
actividades
manera fiable, responsable y eficaz.
consciencia de cómo su integridad tiene un
·
Los profesionales de la seguridad de la
información necesitan estar comprometidos
con un alto nivel de calidad en su trabajo, al
tiempo que demuestran un comportamiento
coherente y ético, y respeto hacia las
necesidades
del
individuos
y
negocio,
hacia
hacia
la
otros
información
confidencial.
Proporcionar una influencia positiva
·
Se debe poner especial énfasis en hacer de
en el comportamiento de los usuarios
la Seguridad de Información una parte clave
finales respecto a la seguridad de la
del día a día del negocio, aumentando la
información, reducir la probabilidad de
conciencia entre los usuarios y garantizando
que éstos
3.- Fomentar una cultura
que se produzcan
positiva de la seguridad de
seguridad de la información y limitar
incidentes de
necesarias para proteger la información y
la información.
su impacto potencial en el negocio.
los sistemas críticos o clasificados.
·
cuenten con las habilidades
Debe hacerse que los individuos tomen
conciencia de los riesgos de la información
a su cuidado y debe potenciárseles para que
tomen
las
medidas
necesarias
para
protegerla.
Tabla 3-4 Principios de la GSI, Defender el Negocio. [13]
Apoyar al Negocio: en este contexto, en la Tabla 3-5, se lista los principios que
rigen la Metodología de GSI propuesta.
Principio
Objetivo
Descripción
·
Las obligaciones de cumplimento deben ser
identificadas, traducidas a requerimientos
específicos
para
la
seguridad
de
la
información y comunicadas a todas las
1.-
Cumplir
con
los
Asegurar
que
se
cumplen
establecidas,
las
se
personas relevantes.
requerimientos legales y
obligaciones
regulatorios relevantes.
gestionan las expectativas de las
cumplimiento
partes interesadas, y se evitan las
entendidas.
sanciones legales o multas.
supervisados, analizados y mantenidos al
·
Las
sanciones
asociadas
deben
Los
al
ser
controles
no-
claramente
deben
ser
día para cumplir con nuevos o actualizados
requisitos legales o regulatorios.
Tabla 3-5 Principios de la GSI, Apoyar el Negocio. [13]
60
Dar Soporte al Negocio: al respecto, en la Tabla 3-6, se lista los principios que
rigen la Metodología de GSI propuesta.
Principio
Objetivo
Descripción
Las
1.- Entregar calidad y valor
a las partes interesadas.
Asegurar que la GSI genera valor
y cumple los requerimientos de la
TELCO.
partes
interesadas
internas
y
externas deben estar comprometidas a
través de comunicaciones regulares de
forma
que
cambiantes
sus
puedan
requerimientos
seguir
siendo
alcanzables.
Tabla 3-6 Principios de la GSI, Dar Soporte al Negocio. [13]
3.1.3. LINEAMIENTOS PARA LA DEFINICIÓN DE LAS
POLÍTICAS DE
SEGURIDAD DE LA INFORMACIÓN.
Las políticas de seguridad son una guía de cómo poner en práctica los principios
directrices de la GSI a nivel gerencial y operativo, en concordancia con los
requerimientos comerciales, leyes y regulaciones relevantes que rigen a las TELCO
ecuatorianas. Las Políticas de Seguridad no pueden ser genéricas para toda la
Industria de las Telecomunicaciones en Ecuador, ya que cada organización tiene
realidades distintas; por es motivo, se proponen los siguientes lineamientos para su
establecimiento:
·
Proveer una
definición de Seguridad de la Información en el ámbito
específico de la TELCO.
·
Definir roles y responsabilidades asociadas a la GSI.
·
Explicar cómo las políticas de Seguridad de la Información se alinean con
otras políticas de alto nivel de la TELCO.
·
Contemplar aspectos específicos y técnicos de seguridad de información,
tales como:
o Plataformas de Comunicaciones y
sus respectivos Sistemas de
Gestión.
o Sistemas de Mediación y Aprovisionamiento de Telecomunicaciones.
o Controles de aseguramiento de Ingresos.
o Control del Fraude en la TELCO.
61
o La evaluación de riesgos de la información y el cumplimiento de las
obligaciones legales, reglamentarias y contractuales.
o La gestión del presupuesto y costo de la GSI.
·
La visión relativa a la seguridad de la información, acompañada de las metas
y métricas apropiadas y una explicación de cómo dicha visión es apoyada
por la cultura y la concientización sobre seguridad de la información.
Las políticas de seguridad de la información se deben comunicar a todos los
integrantes de la organización, en una forma que sea relevante, accesible y
entendible para el lector objetivo.
3.1.3.1. Lineamientos para la Implementación.
Se recomienda la creación del siguiente listado de Políticas de Seguridad:
·
Política de seguridad de la información.
·
Política de control de acceso.
·
Política de seguridad de la información del personal.
·
Política de seguridad física y ambiental.
·
Política de gestión de incidentes.
·
Política de continuidad de negocio y recuperación ante desastres.
·
Política de gestión de activos y Reglas de comportamiento (uso aceptable).
·
Política de adquisición de plataformas tecnológicas, desarrollo de software y
mantenimiento de sistemas de información.
·
Política de gestión de proveedores.
·
Política de gestión de comunicaciones y operaciones.
·
Política de cumplimiento.
·
Política de gestión de riesgos.
Cada política del listado anterior debe ser definida, clasificada y gestionada de
acuerdo a los siguientes tipos:
62
·
Política de seguridad de la información escrita por el ISSC, pero dirigida por
la Dirección Ejecutiva, que debe ser tratada en el ERM.
·
Políticas específicas de Seguridad de la Información redactadas y dirigidas
por el ISSC.
·
Políticas relacionadas con la Seguridad de la Información, pero que están
dirigidas por los dueños de los procesos.
La definición de cada política debe estar en función de los objetivos que persigue
la misma, por tanto se debe determinar el alcance, validez, aplicabilidad, frecuencia
de actualización y revalidación, formas de distribución y las metas asociadas a
cada Política de la Información.
Es importante tomar en cuenta la evolución y la tecnología emergente en las
Políticas de Seguridad de la Información; por ejemplo, la evolución del uso de los
dispositivos móviles, las redes sociales, computación en la nube,
deberían
desencadenar la necesidad de revisar y actualizar una política. Además, los
cambios en los requerimientos de cumplimiento de regulaciones locales, necesitan
una revisión y actualización de las políticas existentes, o quizás la necesidad de
nuevas políticas.
3.1.4. PROCESOS.
Tomando como directriz el principio número 1 de la GSI de la Tabla 3-4, referente
a Defender el Negocio, cuyo enunciado dice:
“Centrar los esfuerzos de la GSI, en los procesos negocio críticos y con un mayor
nivel de Riesgo” y en congruencia con el principio de Pareto; la propuesta
Metodológica de GSI para TELCO’s ecuatorianas, se basa en la GSI aplicada a los
procesos de eTOM v12 de la Tabla 3-7, que son los Procesos Críticos y con Alto
Nivel de Riesgo en la organización, obtenidos por la aplicación de la Metodología
de Selección de Procesos planteada en la sección 2.2 de la presente tesis.
63
CODIGO DE
PROCESO
PROCESO eTOM
(NIVEL 2)
PONDERACIÓN
2Bb
SERVICE CONFIGURATION & ACTIVATION
8
2Ad(1)
BILL INVOICE MANAGEMENT
9
2Ba
SM&O SUPPORT READINESS
9
3B3
FRAUD MANAGEMENT
8
3B4
AUDIT MANAGEMENT
9
3F4
REGULATORY MANAGEMENT
9
Tabla 3-7 Procesos Críticos con Alto Nivel de Riesgo de eTOM. [14]
Para cada proceso seleccionado de eTOM y su respectivo mapeo con COBIT 5 y
la ISO/IEC 27011 que está en la sección 2.2.3, se realiza un análisis de la GSI
dentro del contexto del proceso, para determinar las actividades y los controles de
GSI de la Metodología propuesta. Como resultado de este análisis se obtiene las
Guías de Implementación de la GSI para los procesos de la Tabla 3-7, Ver Anexo
D, Guías de Implementación de procesos de la GSI, lo que constituye la parte
neurálgica de la Metodología de GSI en cuestión.
3.1.5. MODELO DE MADUREZ DE LA GSI.
Considerando la importancia del Modelo de Madurez de la GSI para la Metodología
en cuestión, se dedica el Capítulo 4 de la presente tesis, específicamente a la
concepción del mismo; donde se explica su fundamento teórico y se desarrollará
su procedimiento.
3.1.6. CICLO DE MEJORA CONTINUA DE LA GSI.
Es importante que la GSI adopte un ciclo de mejora continua; para lo cual, se hace
referencia al Ciclo de Deaming PDCA (Figura 3-2), que es un modelo de
mejoramiento continuo de la calidad, que consiste en una secuencia lógica de
cuatro pasos repetitivos para el mejoramiento y aprendizaje continuo [15], cuyos
pasos son los siguientes:
64
·
PLAN (PLANIFICAR): planifique antes del cambio. Analice y prediga los
resultados.
·
DO (HACER): ejecute el plan, tomando las medidas requeridas.
·
CHECK/STUDY (VERIFICAR/ESTUDIO): estudie los resultados.
·
ACT
(ACTUAR): tome la acción para estandarizar o para mejorar el
proceso.
Figura 3-2 Ciclo PDCA de Mejora Continua. [15]
3.1.6.1. Enfoque de mejoramiento continuo para la GSI.
La Metodología de GSI propuesta, haciendo referencia al ciclo PDCA citado (Figura
3-2), plantea mejorar la GSI de forma continua bajo el mismo enfoque; sin embargo,
para el caso específico de la Gestión de la Seguridad de la Información, se define
como punto de partida de la Metodología, la evaluación de la GSI por medio del
Modelo de Madurez desarrollado, lo que equivale al paso CHECK/STUDY del
modelo PDCA (Figura 3-3); con esta consideración, los pasos repetitivos para la
mejora continua para la Metodología propuesta son los siguientes:
1. CHECK/STUDY (VERIFICAR/ESTUDIO): aplicación del Modelo de Madurez
de la GSI en la TELCO, como fase inicial de evaluación de la GSI, que genera
los siguientes resultados:
·
Métricas de calidad y progreso de implementación de los controles de GSI.
·
Zonas de madurez para cada proceso de la GSI.
65
·
Plan de Acción propuesto en base a las zonas de madurez de cada
proceso y su respectiva prioridad.
2. ACT (MEJORAR): con la información obtenida en el paso 1 (CHECK/STUDY)
se puede cotejar los resultados previstos con los resultados reales; en caso de
no haberse logrado los objetivos de la planificación, se analizan las causas de
las desviaciones y se generan las acciones que permitan eliminar las causas
raíz de los desfases; las acciones pueden contemplar mejoras en todos los
aspectos de la Metodología de GSI, tales como estructura organizacional,
procesos, controles, roles, funciones, comités, principios, métricas y políticas de
la GSI. Cabe acotar que en la primera iteración de la Metodología de GSI, no
se dispone de resultados previstos de las métricas de GSI y zonas de madurez
de los procesos, por ser una fase de evaluación inicial.
3. PLAN (PLANIFICAR): dadas las acciones y/o mejoras resultantes en el paso
2 (ACT), se tiene que organizar y planificar la ejecución de las mismas y definir
los resultados previstos, considerando todos los recursos necesarios para su
realización.
4. DO (HACER): realizar las actividades de acuerdo a lo planificado.
Figura 3-3 Enfoque de mejora continua, acoplado a la Metodología de GSI. [14]
66
Profundizando en la alteración del punto de partida del modelo PDCA, que se
realizó al acoplar el enfoque de mejora continua a la Metodología de GSI, que inicia
desde el paso CHECK/STUDY (Figura 3-3); cabe hacer énfasis que en la primera
iteración de la Metodología, las fases de ACT (Mejoras) y PLAN (Planificación) no
tienen información de una ejecución anterior para ser desarrolladas (Tabla 3-8); sin
embargo, el paso CHECK/STUDY de la primera iteración, que implica aplicar como
evaluación inicial el Modelo de Madurez de la GSI, arroja información relevante; es
así que en la primera iteración el paso ACT (mejoras) está dado íntegramente por
el Plan de Acción que se desprende del Modelo de Madurez; y, el paso PLAN
(planificación) se resume a planificar el paso DO (hacer) tal cual como lo plantea la
Metodología de GSI.
ITERACION DE EJECUCION DE METODOLOGIA
DE GSI.
CHECK/STUDY
ACT
PLAN
DO
1
2
3
n
OK
OK
OK
OK
OK
OK
OK
OK
OK
OK
OK
OK
OK
OK
Tabla 3-8 Iteraciones de la Metodología de GSI, Enfoque de Mejora Continua. [14]
Figura 3-4 Metodología de GSI, enfoque de mejora continua PDCA, varias iteraciones. [14]
67
Finalmente, la Metodología de GSI con enfoque en la mejora continua, basada en
el modelo PDCA en varias iteraciones, con el objetivo de mejorar continuamente la
GSI en la TELCO, se representa en la Figura 3-4.
3.2. DESARROLLO
DE
PROPUESTA
METODOLÓGICA
DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.
La presente propuesta Metodológica es una guía de GSI para las TELCO
ecuatorianas, así como para los entes de regulación. Adoptar esta metodología
debe ser una decisión estratégica que cuente con el compromiso de la alta gerencia
durante todo el proceso de implantación. La Metodología de GSI propuesta, parte
de las necesidades negocio críticas de las TELCO ecuatorianas en la actualidad y
el estado del arte en cuanto a estándares y mejores prácticas de Gobierno de TI y
GSI.
Importante: la metodología de GSI, en su receta, no contempla hacer una Gestión
de Riesgos, pues la misma ya fue realizada en la sección 2.2.2 al aplicar la
Metodología de Selección de Procesos de la sección 2.2.1, con un enfoque
específico en la Industria de las Telecomunicaciones en el Ecuador, que se basa
en encuestas a profesionales relacionados directamente con la GSI en las TELCO
ecuatorianas
y la experiencia de los autores en el tema; posteriormente, los
procesos resultantes son la información de entrada para el mapeo con COBIT 5 y
la ISO/IEC 27011, ver sección 2.3.2. Finalmente las Guías de Implementación de
procesos de GSI, son consecuencia directa de las propuestas de COBIT 5 y la
ISO/IEC 27011 en el contexto de cada proceso, para Gestionar la Seguridad de la
Información de las vulnerabilidades comunes y de mayor riesgo en las TELCO del
Ecuador.
68
3.2.1. METODOLOGÍA DE GSI.
La receta metodológica para la GSI se define en los siguientes pasos:
3.2.1.1. CHECK/STUDY (VERIFICAR/ESTUDIO).
Aplicación del Modelo de Madurez, Anexo Digital, Modelo de Madurez
Automatizado.
3.2.1.2. ACT (ACCIONES Y/O MEJORAS).
En función del Plan de Acción Propuesto por el Modelo de Madurez en el paso
anterior CHECK/STUDY, definir las acciones y/o mejoras a realizar, tomando en
cuenta el enfoque de la sección 3.1.6.1.
3.2.1.3. PLAN (PLANIFICAR).
Planificar la realización de las acciones y/o mejoras definidas en el paso anterior
ACT y definir los resultados previstos, en función de las métricas y zonas del Modelo
de Madurez de la GSI.
3.2.1.4. DO (HACER).
De acuerdo a lo planificado implementar, mantener o modificar la asignación de
los roles de la sección 3.1.1 al personal encargado de la implantación de la GSI,
cumpliendo los mandatos, principios operativos, ámbitos de control, niveles de
autoridad, derechos de delegación y escalamiento definidos para cada uno.
De acuerdo a lo planificado implementar, mantener o modificar la membresía de
los comités de la sección 3.1.1 con el personal involucrado en la GSI.
De acuerdo a lo panificado mantener o modificar las Políticas de Seguridad de
Información de la Organización, tomando en cuenta los principios de la GSI de la
sección 3.1.2 y los lineamentos
para la definición e implementación de las
Políticas de Seguridad de la Información, como los describe en la sección 3.1.3.
69
De acuerdo a lo panificado establecer o modificar la relación de correspondencia
entre los procesos de la Organización y los procesos de la Tabla 2-16 (Críticos con
mayor Nivel de Riesgo).
De acuerdo a lo planificado, Aplicar las Guías de Implementación de Procesos de
la GSI, ver Anexo D, Guías de Implementación de procesos de la GSI.
Ir al paso 3.2.1.1 CHECK/STUDY (Ciclo de Mejora Continua).
3.2.2. ALTERNATIVA COMO METODOLOGÍA
GENÉRICA DE GSI
PARA
TELCO’S.
A pesar que el objetivo de la tesis no es realizar una Metodología de GSI para la
Industria de las Telecomunicaciones en General; dada la modularidad de la
documentación de la tesis, a continuación se da una guía para su aplicación en
cualquier TELCO Internacional, se contempla los siguientes puntos:
a) Hacer un mapeo en relación uno a uno entre los procesos de la TELCO, con
los procesos de eTOM v12 de nivel 2 (Anexo B).
b) Aplicar la Metodología de Selección de Procesos de la sección 2.2.1 a los
procesos de eTOM v12 mapeados en el literal a; con esto se obtiene un
listado de los Procesos Críticos con un Mayor Nivel de Riesgo para la TELCO.
c) Con los procesos resultantes obtenidos en el literal c, realizar el mapeo con
COBIT 5 y la ISO/IEC 27011, realizando un análisis análogo a la sección
2.3.2; y desarrollar las Guías de Implementación de los procesos de la GSI,
tomando en cuenta los niveles de riesgo.
d) Aplicar la receta de la Metodología de GSI de la sección 3.2.1.
70
CAPÍTULO 4. DESARROLLO DEL MODELO DE MADUREZ
DE LA METODOLOGÍA DE GSI.
El Modelo de Madurez a desarrollar, es específico para la Metodología de GSI
propuesta en la sección 3.2; para ello, se adopta el enfoque de “Modelo de Madurez
del programa de Seguridad de la Información”, propuesto por David Chapin en su
artículo publicado en ISACA [16], el cual considera que para el caso específico de
la Gestión de la Seguridad de Información, un modelo de madurez debe basarse
en dos principios que son:
Progreso de implantación de la Metodología de GSI.
Que determina el avance de la implantación de la metodología de GSI en la TELCO,
en función del número de controles implementados en cada proceso. Como
resultado se tiene un porcentaje, que refleja el progreso de la implantación de
controles en cada proceso.
Estado de la GSI.
Se basa en la calidad de la implementación de los controles de la Metodología de
GSI propuesta, definiendo métricas cuantitativas para cada proceso y
los
respectivos rangos de valoración que determinarán su calidad dentro de la escala
Baja, Media y Alta. Los rangos de valoración para cada métrica, serán definidos por
el ISM en conjunto con los propietarios del negocio y aprobados por el CISO.
La definición de las métricas cuantitativas que permitirán evaluar la Madurez de la
de la Seguridad de la Información, respecto al estado de la GSI, parte de los
objetivos de Seguridad de la Información que persigue la Metodología de GSI, para
cada proceso de eTOM de la Tabla 3-7.
71
4.1. DEFINICIÓN DE MÉTRICAS Y PROCESOS DEPENDIENTES.
El Modelo de Madurez a desarrollar, abarcará todos los procesos de la Metodología
de GSI, ver Tabla 4-1; esto se justifica por cuanto la Metodología de GSI se ha
desarrollado enfocada en un conjunto reducido de procesos de eTOM. El criterio
específico para enfocarnos en un conjunto reducido de procesos es el principio 1
de la Metodología de GSI, ver Tabla 3-4, referente a Defender el Negocio, que se
refiere a “Centrar los esfuerzos de la GSI, en los procesos negocio críticos que
tengan un mayor nivel de Riesgo”. En tanto que el criterio general es el principio
de Pareto; por el cual, la metodología de GSI se enfoca en un conjunto reducido
de procesos clave para la TELCO, los mismos que van a mitigar un alto porcentaje
de los riesgos.
CÓDIGO DE
PROCESO
PROCESO eTOM
(NIVEL 2)
PONDERACIÓN
2Bb
SERVICE CONFIGURATION & ACTIVATION
8
2Ad(1)
BILL INVOICE MANAGEMENT
9
2Ba
SM&O SUPPORT READINESS
9
3B3
FRAUD MANAGEMENT
8
3B4
AUDIT MANAGEMENT
9
3F4
REGULATORY MANAGEMENT
9
Tabla 4-1 Procesos Críticos con Alto Nivel de Riesgo de eTOM. [14]
4.1.1. Métricas del Modelo de Madurez de GSI.
Para definir las métricas del Modelo de Madurez, se tiene como información de
entrada las Guías de Implementación de procesos de la Metodología de GSI, que
se hacen referencia en el paso DO (Hacer) en la sección 3.2.1.4. Las Guías de
Implementación son
actividades y controles de seguridad de la información,
asociados a cada proceso Negocio Crítico y de Alto Nivel de Riesgo, ver Tabla 4-1.
A manera de ejemplo, se describe el análisis aplicado para obtener las métricas del
Modelo de Madurez para un proceso específico:
72
Partiendo de la Guía de Implementación
de la GSI del proceso Bill Invoice
Management, ver Tabla 4-3, se procede a identificar en COBIT 5 For Security
Information, los objetivos que persiguen las actividades en la Guía de
Implementación, ver Tabla 4-2, para posteriormente identificar las métricas
relacionadas, en el contexto del proceso en análisis y de los controles de seguridad
de las guías de implementación.
ACTIVIDADES EN GUÍA DE IMPLEMENTACIÓN.
1. Asegurar que TI supervisa activamente aspectos de
seguridad de la información de la infraestructura de TI,
tales como configuración, operaciones, acceso y uso.
2. Mantener un procedimiento de recogida de
evidencias en línea con las normas de evidencias
forenses locales y asegurar que todo el personal está al
corriente del procedimiento.
3. Determinar los requerimientos externos de
cumplimiento que deben satisfacerse (incluyendo
legales, regulatorios, de privacidad y contractuales).
OBJETIVOS
Establecer controles de seguridad de la
información de acuerdo al plan operativo de
seguridad de la Información del proceso de
Facturación.
Establecer y mantener procedimientos de
respuesta a incidentes de seguridad de la
información en el proceso de Facturación.
Satisfacer los requerimientos de cumplimiento
requeridos por entes reguladores externos
referentes al proceso de Facturación.
Supervisar los requisitos externos nuevos o
revisados, que impactan en la seguridad de la
información en el proceso de Facturación.
Tabla 4-2 Objetivos de la GSI a partir de las Actividades de las Guías de Implementación,
proceso Bill Invoice Management. [14]
SERVICE
Nombre del Proceso:
CONFIGURATION &
ACTIVATION
Actividades
1.-
Asegurar
definen,
que
implementan
durante
Identificador del Proceso
2Bb
a)
Se deben definir los controles de seguridad a cumplir para cada entrega de servicio
estándar de la TELCO y en caso de entregas de servicio personalizado, se debe
determinar si hay controles de seguridad adicionales que se deben cumplir.
b)
Se debe monitorear por medio de reportes que los controles de seguridad
establecidos para cada servicio se cumplan de acuerdo a lo establecido, para el efecto
se requiere:
·
se
y
·
·
Reportes de incidencias y problemas de seguridad de la información referentes
a cada servicio.
Monitorear el cumplimiento de los acuerdos de nivel de servicio.
Revisión en plataforma técnica de eventos de error y alertas que pudieren estar
generando fallos, micro cortes o problemas operacionales.
y
después de la configuración
y activación del servicio.
Operaciones
Guías de Implementación enfocado a la Seguridad de la Información
mantienen los controles de
seguridad
Área de eTOM:
c)
Todo cambio o modificación que se deba realizar con el propósito de realizar
activaciones de nuevos servicios, debe ser debidamente gestionado de acuerdo
a la criticidad de los servicios y la plataforma tecnológica que estará sujeta a cambios,
estos cambios pueden incluir:
·
·
·
·
Cambios hechos por la organización para implementar mejoras en el actual
servicio.
Desarrollo de nueva aplicación a nivel de sistemas de información.
Nuevos controles para resolver incidentes o problemas de GSI.
Incrementos de capacidad técnica de redes de servicio.
73
·
·
·
·
a)
Uso de nuevas tecnologías.
Aplicación de nuevos firmwares en plataformas tecnológicas.
Cambios físicos de equipos.
Cambios de proveedor de plataformas tecnológicas.
El uso de los recursos de plataformas tecnológicas que intervienen en la configuración
y activación de servicios, se debe monitorear y optimizar, así como se debe también
proyectar el uso de los mismos en función de las tendencias de uso y tomar acciones
proactivas con otras áreas para asegurar que en todo momento estén disponibles y
asignados los recursos técnicos necesarios.
Supervisar y revisar la disponibilidad y la capacidad.
Gestionar
2.-
disponibilidad
·
la
de
·
·
los
recursos necesarios para la
configuración y activación
de
los
servicios
de
la
Supervisar, medir, analizar, informar y revisar la disponibilidad, el rendimiento y
la capacidad.
Identificar desviaciones respecto a la línea base establecida.
Revisar informes de análisis de tendencias identificando cualquier cuestión y
variación significativa, iniciando acciones donde sea necesario y asegurando
que se realiza el seguimiento de todas las cuestiones pendientes.
Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad.
TELCO.
·
Abordar las desviaciones investigando y resolviendo las cuestiones identificadas
relativas a disponibilidad, rendimiento y capacidad.
Planificar para requisitos de servicios nuevos o modificados.
·
a)
Planificar y priorizar las implicaciones en la
disponibilidad, el rendimiento
y la capacidad de cambios en las necesidades de la TELCO y en los
requerimientos de servicio.
Los cambios a nivel de plataformas tecnológicas y/o sistemas de información
requeridos para la configuración y activación de servicios tiene que ser debidamente
controlada, tomando e cuanta los siguientes aspectos:
Evaluar, priorizar y autorizar peticiones de cambio.
3.-
Garantizar
que
los
·
cambios que se realizan
para hacer configuraciones
·
y activaciones de servicios,
sean rápidos y fiables, a la
Evaluar todas las peticiones de cambio para determinar
su impacto en los
procesos de negocio y los servicios
TI, y analizar si el cambio afectará
negativamente al entorno operativo e introducirá un riesgo inaceptable.
Asegurar que los cambios son registrados, priorizados,
categorizados,
analizados, autorizados, planificados y programados.
Gestionar cambios de emergencia.
vez que se mitiga cualquier
riesgo
que
impacte
negativamente
la
·
estabilidad e integridad del
entorno en que se aplica el
·
cambio.
Gestionar cuidadosamente los cambios de emergencia para minimizar futuras
incidencias y asegurar que el cambio está controlado y se realiza de forma
segura.
Verificar que los cambios de emergencia son evaluados debidamente y
autorizados de una vez hecho el cambio.
Hacer seguimiento e informar de cambios de estado.
·
Mantener un sistema de seguimiento e informe que documente los cambios
rechazados, comunique el estado de cambios aprobados y en proceso y de
cambios completados.
·
Asegurar que los cambios aprobados son implementados como esté previsto
74
Cerrar y documentar los cambios.
·
a)
Siempre que el cambio haya sido implementado, actualizar, de manera
consecuente, la documentación de la solución y del servicio, así como los
procedimientos a los que afecta el cambio.
Toda la información y los elementos de las plataformas tecnológicas de servicio y los
sistemas de información deben tener asociado un responsable que pertenezca a la
TELCO, para los recursos tecnológicos de responsabilidad compartida especialmente
entre Sistemas de Información y Plataformas tecnológicas de servicio se
especificarán las responsabilidades de cada área.
·
Asegurar que toda la información de los activos tecnológicos que se usan para
la configuración y activación del servicio esté apropiadamente clasificada.
·
Definir revisiones periódicas a cargo de los respectivos responsables de los
controles de acceso y la aplicación de las políticas de control de seguridad
establecidas.
La propiedad o responsabilidad puede ser asignada a:
4.-
o
o
o
o
o
Gestionar
adecuadamente
la
Proceso de negocio.
Un definido conjunto de actividades.
Una aplicación.
Información.
Plataformas tecnológicas de servicio o dispositivos que cumplen una
función.
definición de los recursos
tecnológicos
intervienen
·
que
en
En el caso específico de las TELCO es recomendable asignar soluciones
completas que cumplen una función por ejemplo:
la
configuración y activación
Plataforma de prepago de telefonía Móvil, que puede incluir, el proceso, la
de
información, los dispositivos, plataformas tecnológicas de servicio, servidores,
los
servicios
que
proporciona la TELCO.
recurso humano y sistemas de aprovisionamiento.
b)
Establecer y mantener un modelo lógico de la toda la infraestructura de la TELCO,
segregado por soluciones, registrar los elementos de configuración y las relaciones
entre ellos. Incluyendo los elementos de configuración considerados necesarios para
gestionar eficazmente los servicios y proporcionar una sola descripción fiable de los
activos en un servicio.
c)
La información de configuraciones y activaciones tiene que estar protegida de
accesos no autorizados. Específicamente en el ámbito de las TELCO esta
información forma parte de los Sistemas de Gestión de plataformas que son varios en
función de la solución y del proveedor, por ende la protección de información se
implementa con una política adecuada de gestión de contraseñas y controles de
accesos no autorizados.
Revisar periódicamente el repositorio de configuración
y
verificar
la
integridad y exactitud con respecto al objetivo deseado.
d)
Al ser las plataformas tecnológicas de servicio y los sistemas de aprovisionamiento,
accedidas desde diferentes áreas funcionales, se deben establecer los roles y
permisos adecuados en función de las necesidades de cada uno, los cambios en
estos roles y permisos tienen que ser estrictamente controlados.
Definir y elaborar informes de configuración sobre cambios en el estado de los
elementos de configuración.
Tabla 4-3 Extracto, Guía de Implementación de Metodología de GSI, proceso BILL INVOCE
MANAGEMENT. [14]
75
Luego, tomando como base los objetivos de GSI de la Tabla 4-2, se toman las
métricas de COBIT 5 For Security Information y se las acopla en el contexto del
proceso en cuestión. Finalmente, las métricas para el proceso Bill Invoice
Management están dadas en la Tabla 4-4.
PROCESO
COBIT DE
REFERENCIA.
DSS01
OBJETIVO DE LA GSI.
Establecer controles de seguridad
de la información de acuerdo al
plan operativo de seguridad de la
Información del proceso de
Facturación.
METRICAS.
·
Número de incidentes de seguridad de la
información causados por problemas
operativos en el proceso de Facturación.
·
Tiempo promedio de resolución de
incidencias de seguridad en el proceso de
Facturación.
Porcentaje de incidentes relacionados con
seguridad de la información que causan
interrupción en el proceso de facturación.
Promedio del número de incidentes de
seguridad de la información que permanecen
abiertos en el proceso de Facturación.
·
DSS02
Establecer y mantener
procedimientos de respuesta a
incidentes de seguridad de la
información en el proceso de
Facturación.
·
·
·
MEA03
Satisfacer los requerimientos de
cumplimiento requeridos por entes
reguladores externos referentes al
proceso de Facturación.
Supervisar los requisitos externos
nuevos o revisados, que impactan
en la seguridad de la información
en el proceso de Facturación.
Porcentaje de incidentes de seguridad de la
información "cerrados y solventados" en el
proceso de Facturación, durante el ciclo.
Número de incidentes de seguridad de la
Información que ocurren periódicamente sin
que se tenga una solución definitiva.
·
Porcentaje de cumplimiento de
requerimientos externos obligatorios.
·
Número de validaciones de cumplimiento de
controles de seguridad que se realizaron en
el ciclo.
Tabla 4-4 Métricas de GSI, Proceso BILL INVOICE MANAGEMENT. [14]
Aplicando un análisis análogo al descrito anteriormente, se obtienen las métricas
para cada proceso contemplado en la Metodología de GSI desarrollada. Ver Tablas
4-5, 4-6, 4-7, 4-8, 4-9. A partir de estas métricas se podrá evaluar el estado de la
Seguridad de la Información en la TELCO, en función de la calidad de la
implementación de la Metodología de GSI.
76
PROCESO COBIT DE
REFERENCIA.
BAI06
OBJETIVO DE LA GSI.
METRICAS.
Incorporar los requerimientos de
seguridad
de
la
información ·
durante la evaluación del impacto del
cambio en Plataformas Tecnológicas.
·
BAI09
BAI10
Número de cambios relevantes,
requeridos explícitamente por la GSI.
Número de requerimientos de seguridad
de la información que no se han
cumplido después de un cambio en la
Infraestructura Tecnológica.
Validar que los requerimientos de ·
seguridad de la información se
incorporan durante la evaluación del
impacto de los cambios de Emergencia
de la Infraestructura Tecnológica.
Número de incidentes de seguridad de la
información de Emergencia, relativos a
los cambios en el entorno.
·
Número de incidentes de seguridad de la
información de Emergencia, relativos a
cambios en Infraestructura Tecnológica.
Asegurar que todos los activos
adquiridos cumplen con los requisitos ·
de seguridad de la información.
Número de revisiones de los
requerimientos de seguridad de la
información.
Asignar roles y responsabilidades a ·
todos
los
activos
de
Telecomunicaciones.
Lograr que los mecanismos de ·
seguridad de la información estén en
funcionamiento para evitar el uso no
autorizado de los activos.
Porcentaje de activos con propietarios
asignados
Aprobar, implementar y mantener en ·
toda la empresa líneas de referencia de
configuración de seguridad de la
información para los dispositivos de
Telecomunicaciones.
Número de veces que se ha revisado y
validado las líneas de referencia de
configuración de seguridad para
dispositivos de Telecomunicaciones, en
el último ciclo.
·
Número de activos no autorizados
identificados
Número de discrepancias entre las líneas
de referencia de configuración de
seguridad establecidas y las
configuraciones reales.
Tabla 4-5 Métricas de GSI, Proceso SM&O SUPPORT & READINESS. [14]
77
PROCESO COBIT DE
REFERENCIA
BAI04
OBJETIVO DE LA GSI
METRICAS
Monitorear las tendencias de Uso de
capacidad de Plataformas Tecnológicas e ·
Identificar posibles Casos de Fraude.
Número de alertas generadas de
posibles casos de Fraude.
Formar parte de un CSIRT Internacional de ·
Telecomunicaciones.
Porcentajes de casos de Fraude
confirmados.
·
Porcentajes de casos de Fraude
mitigados localmente.
·
Porcentajes de casos de Fraude
escalados a CSIRT.
·
Porcentajes de casos de Fraude
solventados por CSIRT.
·
Número de casos de Fraude
detectados por falta de
segregación de funciones o
estructuras organizativas
ambiguas.
Mantener
un
nivel
adecuado
de
segregación
de
funciones
en
la
organización, para evitar incidentes de
seguridad de la información.
BAI10
Tabla 4-6 Métricas de GSI, Proceso FRAUD MANAGEMENT. [14]
PROCESO COBIT DE
REFERENCIA
OBJETIVO DE LA GSI
METRICAS
·
APO09
Definir controles de seguridad de la
Información para todos los servicios que
provee la TELCO a sus usuarios y asegurar
su cumplimiento.
·
Número de servicios estándar
que no tienen definidos los
controles de seguridad para el
proceso de configuración y
activación del servicio.
Porcentaje de controles de
seguridad
que
están
establecidos pero que no se
cumplen en el proceso de
configuración y activación del
servicio.
·
BAI04
Asegurar que los requerimientos de
seguridad de la información se incluyen en
planes
de
disponibilidad,
los
rendimiento y gestión de la capacidad.
Número de activaciones de
nuevos servicio que no se
pudieron realizar de acuerdo a lo
planificado, por no disponer de
los recursos requeridos.
BAI06
Asegurar que los requerimientos de ·
seguridad de la información se incorporan
durante la evaluación del impacto del cambio
e
en los procesos, aplicaciones
infraestructuras.
Número de incidentes de
seguridad de la información
relativos a los cambios previos
necesarios para realizar una
activación de un servicio.
78
·
Porcentaje
de
cambios
realizados
que
una
vez
realizados han dejado de
cumplirse controles de seguridad
predefinidos.
·
Número
cambios
de
configuración detectados en
recursos
de
plataformas
tecnológicas de servicio que no
tienen registro de motivo ni
responsable del cambio.
Se aprueban, implementan y mantienen en
toda la empresa líneas de referencia
de
configuración
de
seguridad
de
la
información.
BAI10
Tabla 4-7 Métricas de la GSI, Proceso SERVICE CONFIGURATION & ACTIVATION. [14]
PROCESO COBIT DE
REFERENCIA
MEA01
MEA03
OBJETIVO DE LA GSI
METRICAS
Asegurar y supervisar el cumplimiento de las ·
reglas
y
regulaciones
establecidas
internamente y por el ente regulador.
Número de aspectos sujetos a
regulación, que no están siendo
gestionados.
·
Número de sanciones o multas
leves que ha tenido la TELCO.
Evaluar el impacto del no cumplimiento de ·
reglamento, compromisos y/o regulaciones
establecidas.
·
Número de sanciones o multas
considerables que ha tenido la
TELCO.
Número de sanciones o multas
graves que ha tenido la TELCO.
Tabla 4-8 Métricas de la GSI, Proceso REGULATORY MANAGEMENT. [14]
PROCESO COBIT DE
REFERENCIA
OBJETIVO DE LA GSI
METRICAS
·
·
Monitorear continuamente la gestión de
auditoria en función de problemas
detectados y acciones tomadas.
·
EDM05
·
MEA02
Controlar que la GSI está implementada de
acuerdo a lo establecido en la metodología
de GSI.
Número de incidentes de
seguridad relacionados a fuga
de información confidencial
detectados en el presente
período.
Número
de
cambios
significativos realizados en la
organización de la GSI.
Número de incidentes de
Seguridad dela Información
relacionados a divulgación de
Información, no contemplados
en
los
acuerdos
de
Confidencialidad formalizados.
Número
de
revisiones
independientes de la GSI que
fueron realizadas
de forma
programada en el presente
período.
Tabla 4-9 Métricas de la GSI, Proceso AUDIT MANAGEMENT. [14]
79
4.2. DEFINICIÓN
DE
ESCALAS,
CUANTIFICACIÓN
Y
RECOMENDACIONES.
Como se mencionó anteriormente, el Modelo de Madurez en desarrollo, se basa
en dos aspectos, primero por el Progreso de implantación de la Metodología de GSI
y segundo el Estado de la GSI. Por ende, los rangos y escalas están asociados a
los mismos. Previo a la definición de los rangos y escalas, se debe establecer el
período de evaluación en que se aplicará el Modelo de Madurez, por cuanto la
contabilización de las métricas será respecto a un período definido, este período
debe obedecer a la naturaleza de la TELCO y será fijado por el ISSC, el modelo
propone un periodo por defecto de 1 año.
4.2.1. RANGOS Y ESCALAS ASOCIADOS AL PROGRESO DE IMPLANTACIÓN
DE LA METODOLOGÍA DE GSI.
El progreso de implantación está relacionado con la completitud y específicamente
al porcentaje de controles de GSI que han sido ya implementados, respecto al total
de controles a implementar en un proceso. En la Tabla 4-10, se establece un rango
de porcentajes de progreso de implantación, donde cada rango está asociado a un
valor de la escala cualitativa que adoptamos.
PORCENTAJE DE CONTROLES IMPLANTADOS %
95 – 100
30 – 94
0 – 29
ESCALA
Completo
Avanzado
Inicial
Tabla 4-10 Rangos de porcentaje y Escala del Progreso de Implantación de controles de
GSI. [14]
4.2.2. RANGOS Y ESCALAS ASOCIADOS AL ESTADO DE LA GSI.
El estado de la GSI está relacionado directamente con la calidad de la implantación
de la Metodología de GSI, por tanto, partiendo de las métricas definidas, ver Tablas
4-4, 4-5, 4-6, 4-7, 4-8, 4-9, se requiere asociar cada métrica a la escala cualitativa
de calidad Alta, Media o Baja, en el período de evaluación establecido; para hacerlo,
se asigna un rango de valoración cuantitativo asociado a la escala cualitativa. En
80
este punto, se hace evidente la necesidad
de establecer formalmente el
procedimiento continuo de contabilización de las métricas de GSI, en función de
los eventos de seguridad de la información que ocurren en la TELCO.
A manera de ejemplo, asumiendo que el periodo de evaluación es de 1 año,
tomando del proceso Support & Readiness, la métrica:
·
Número de incidentes de seguridad de la información
de emergencia,
relativos a los cambios en el entorno tecnológico.
Se establecen los siguientes rangos de valoración (ver Tabla 4-11):
RANGOS DE VALORACION
0-1
2-4
>= 5
ESCALA DE
CALIDAD
Alta
Media
Baja
Tabla 4-11 Rangos de valoración y escala cualitativa para métrica de GSI. [14]
Donde, si el número de incidentes de seguridad de la información de emergencia,
relativos a los cambios en el entorno tecnológico es cero o uno en 1 año, esta
métrica tiene una calidad Alta. Análogo al ejemplo anterior, en el Modelo de
Madurez de GSI en desarrollo, se aplicará este procedimiento de valoración a todas
las métricas de la Metodología de GSI, de acuerdo a la condición actual de la
TELCO, respecto a cada métrica.
4.3. ZONAS DE MADUREZ Y PLAN DE ACCIÓN PROPUESTO.
Hasta este punto, los aspectos de Progreso de implantación y el Estado de la GSI,
se han tratado de forma excluyente; sin embrago, las Zonas de Madurez en
concepto, son el resultado de la convergencia de estos dos; lo que va a permitir
asociar a cada proceso de la Metodología de GSI con una Zona de Madurez.
Finalmente como un plus del Modelo de Madurez, partiendo de las Zonas de
Madurez y la relación existente entre las métricas del modelo y los controles de
81
Seguridad de las Guías de Implementación de la metodología de GSI, se propone
un plan de acción de la GSI, basado en las prioridades de las Zonas de Madurez.
4.3.1. ZONAS DE MADUREZ.
Tomando como información de entrada la escala cualitativa definida para el
Progreso de la Implantación de la GSI, ver Tabla 4-10 y la escala cualitativa del
Estado de la GSI, ver Tabla 4-11, al ubicarlas en el plano cartesiano (Tabla 4-12),
tenemos las Zonas de Madurez; las cuales tienen asociado un color que representa
la prioridad con que se deben tomar acciones, donde:
·
La zona roja implica caos y Primera prioridad para implementar los controles
de GSI pendientes o mejorar los que ya están implementados.
·
La zona amarilla es un estado de alerta y Segunda prioridad para
implementar los controles de GSI pendientes o mejorar los que ya están
implementados.
·
La zona verde es el estado deseado de la GSI.
A su vez, para la zona roja, amarilla y verde se tiene un secuencial entre paréntesis
que indica también prioridad; pero, dentro de un mismo color de zona, para el caso
específico de la zona de seguridad verde(3), se lo considera como el estado
Progreso de Implantación
deseado de la GSI para dicho proceso.
Completo
Roja (1)
Amarillo (1)
Verde (3)
Avanzado
Roja (2)
Amarillo (2)
Verde (1)
Inicial
Roja (3)
Bajo
Amarillo (3)
Medio
Verde (2)
Alto
Estado de la GSI (Calidad de Implantación)
Tabla 4-12 Zonas del Modelo de Madurez de GSI. [14]
82
La prioridad en las zonas se establece de acuerdo a la siguiente tabla:
ZONAS
(Prioridad)
ANALISIS
ACCION
Roja (1)
Se han implementado todos los
controles de GSI, pero los
resultados están en el peor
escenario.
Mejorar la implementación de los controles
ya aplicados, analizar causas y tomar
medidas necesarias.
2
Roja (2)
Se está avanzando con la
implementación de los controles
de GSI, pero los resultados
están en el peor escenario.
Completar la implementación de los
controles de GSI y hacer una validación
de la correcta implementación de los
controles ya aplicados.
3
Roja (3)
No se han implementado los
Proceder con la implementación de los
controles de GSI y los resultados
controles de GSI.
están en el peor escenario.
4
Amarillo (1)
Se ha completado la
implementación de los controles
de GSI, pero los resultados no
son los esperados.
Mejorar la implementación de los controles
ya aplicados, analizar causas y tomar
medidas necesarias.
Amarillo (2)
Se está avanzando con la
implementación de los controles
de GSI, pero los resultados no
son los esperados.
Completar la implementación de los
controles de GSI y hacer una validación
de la correcta implementación de los
controles ya aplicados.
PRIORIDAD
1
5
6
Amarillo (3)
7
Verde (1)
8
9
Verde (2)
Verde (3)
Se tiene un bajo porcentaje de
implementación de controles de
GSI y con una calidad media
de resultados, se requiere
avanzar con la implementación
de controles de GSI, para tener
mejores resultados.
A pesar de que la calidad es
alta y se está avanzando en la
implementación de controles, se
debe llegar al estado deseado de
la GSI.
A pesar que la calidad es alta;
Esto no se atribuye al trabajo
realizado por la GSI, por ello, es
un riesgo no implementar estos
controles.
Se ha completado la
implementación de los controles
de GSI y la calidad de la
implementación es alta, este es
el estado deseado de la GSI.
Implementar los controles de GSI
pendientes.
Completar la implementación de controles
de GSI.
Iniciar con la implementación de controles
de GSI.
Se recomienda un monitoreo continuo para
mantener el proceso en el estado deseado
de la GSI.
Tabla 4-13 Prioridad de las Zonas del Modelo de Madurez de la GSI. [14]
Una zona de madurez, se asocia a cada uno de los procesos y no de forma general
a toda la Metodología de GSI; a continuación un ejemplo simplificado (Tabla 4-14),
de la Zona de Madurez asociada al proceso Bill Invoice Management, la Zona de
Madurez es “Roja (1)”, porque el resultado de los valores es BAJA, COMPLETO,
83
en cuanto al Estado de la GSI y Progreso de Implantación respectivamente; el
Progreso de la Implantación es COMPLETO, ya que se tienen implementados siete
controles de los siete que propone la metodología de GSI y el Estado de la GSI es
BAJA ya que la calidad de la implementación de los controles, mayormente es
BAJA.
METRICAS
ESTADO DE
LA METRICA
Número de incidentes de seguridad de la
información causados por problemas
operativos en el proceso de Facturación.
BAJA
Tiempo promedio de resolución de
incidencias de seguridad en el proceso de
Facturación.
MEDIO
Porcentaje de incidentes relacionados con
seguridad de la información que causan
interrupción en el proceso de facturación.
MEDIO
Número de incidentes de seguridad de la
información abiertos en el proceso de
Facturación.
BAJA
Número de incidentes de seguridad de la
información cerrados y solventados en el
proceso de Facturación.
BAJA
Número de incidentes de seguridad de la
Información que ocurren periódicamente
sin que tengan una solución definitiva.
MEDIO
Porcentaje de prácticas de seguridad de la
información en el proceso de Facturación
que satisfacen los requerimientos externos
obligatorios.
BAJA
Número de proyectos iniciados para
implementar nuevos requerimientos
externos.
BAJA
ESTADO DE LA
GSI (CALIDAD)
PROGRESO DE LA
IMPLANTACION
BAJA
COMPLETO
(7/7 controles
Implementados)
Zona de Madurez
Roja (1)
Tabla 4-14 Ejemplo simplificado, Zona de Madurez, Proceso Bill Invoice Management. [14]
Cabe hacer una acotación del procedimiento que se aplica para asignar al Estado
de GSI, “BAJA”, al proceso Bill Invoice Management en el ejemplo anterior (Tabla
4-14). Como se puede ver cada métrica, individualmente tiene asociada un valor
de Estado de GSI, que refleja la calidad de implementación de los controles
asociados a la métrica; para asignar una cualificación a nivel de proceso se aplica
el concepto de valor dominante, es decir que el valor que más veces se repita a
84
nivel de las métricas será el valor que toma el proceso, que para el caso de ejemplo
es “BAJA”. Una segunda acotación es para considerar el caso en que haya dos
valores que se repiten en igual número en la escala, se conviene en este escenario,
asignar al proceso el valor de mejor calidad de los que se repiten.
4.3.2. PLAN DE ACCIÓN.
El Plan de Acción a partir del Modelo de Madurez propuesto, es una consecuencia
lógica, que parte de la siguiente información:
·
Los procesos de la Metodología de GSI, asociados cada uno de ellos a las
zonas de madurez, ver Tabla 4-15.
·
La Prioridad y las acciones requeridas, respecto a las Zonas de Madurez,
ver Tabla 4-16.
·
Las Guías de Implementación de procesos de la Metodología de GSI, ver
Anexo D, Guías de Implementación de procesos de la GSI.
·
La relación directa, existente entre las métricas de un proceso y los
controles de GSI del mismo, ver Tabla 4-2, 4-3, 4-4.
PROCESOS EN QUE SE APLICA LA GSI
ZONA DE MADUREZ
SERVICE CONFIGURATION & ACTIVATION
(Roja 2)
BILL INVOICE MANAGEMENT
Amarilla (1)
SM&O SUPPORT READINESS
Verde (3)
FRAUD MANAGEMENT
Roja (3)
AUDIT MANAGEMENT
Amarilla (1)
REGULATORY MANAGEMENT
Amarilla (2)
Tabla 4-15 Ejemplo de Procesos con su respectiva Zona de Madurez. [14]
El Plan de Acción; en concreto, es un listado de controles de GSI que se deben
implementar o mejorar según sea el caso, siguiendo un orden establecido por su
prioridad, ver Tabla 4-16; en pro de mejorar el nivel de madurez de la GSI en la
TELCO.
85
PRIORIDAD
ZONAS
ACCION
(Prioridad)
1
Roja (1)
Mejorar la implementación de los controles ya aplicados, analizar
causas y tomar medidas necesarias.
2
Roja (2)
Completar la implementación de los controles de GSI y hacer una
validación de la correcta implementación de los controles ya
aplicados.
3
Roja (3)
Proceder con la implementación de los controles de GSI.
4
Amarillo (1)
Mejorar la implementación de los controles ya aplicados, analizar
causas y tomar medidas necesarias.
5
Amarillo (2)
Completar la implementación de los controles de GSI y hacer una
validación de la correcta implementación de los controles ya
aplicados.
6
Amarillo (3)
Implementar los controles de GSI pendientes.
7
Verde (1)
Completar la implementación de controles de GSI.
8
Verde (2)
Iniciar con la implementación de controles de GSI.
9
Verde (3)
Estado deseado de la GSI.
Tabla 4-16 Simplificado de tabla 4-10, Prioridad, Zonas de Madurez y Acciones. [14]
4.4. MODELO DE MADUREZ DE LA GSI.
A continuación se listan las fases del Modelo, cada una de las cuales está
contemplada en la matriz RACI, ver Anexo E, Matriz RACI del Modelo de Madurez
de la GSI, donde se vincula cada fase, con
los roles
y funciones para su
implementación. En el Anexo Digital, Modelo de Madurez Automatizado, se anexa
una hoja electrónica que automatiza toda la funcionalidad del Modelo de
Madurez desarrollado.
La receta del Modelo de Madurez contempla las siguientes fases:
4.4.1. PERIODO DE EVALUACIÓN.
Definir el periodo de evaluación de la Madurez de la GSI y los rangos de valores de
las métricas, de acuerdo al aparatado 4.2.2 del presente documento. El ISM en
conjunto con los dueños de los procesos son los responsables de hacerlo, bajo la
supervisión y aprobación formal del CISO. Usar modelo de madurez automatizado,
en Anexo Digital, Modelo de Madurez Automatizado, hoja de Métricas de GSI.
86
4.4.2. CONTABILIZACIÓN DE MÉTRICAS.
Implementar formalmente el procedimiento de contabilización de métricas y
supervisar el correcto registro, tanto del avance de implantación de la Metodología,
como de los eventos de Seguridad de la Información y su incidencia en las métricas
de GSI definidas. El ISM es responsable de la implementación y supervisión de
este procedimiento.
4.4.3. EVALUACIÓN.
Al finalizar el período establecido, se convoca a los integrantes del ISSC, se
exponen los resultados obtenidos, ver Anexo Digital, Modelo de Madurez
Automatizado, hoja de Plan de acción; que determina el plan de acción sugerido en
función de las prioridades de las zonas de madurez de cada proceso.
87
CAPÍTULO 5. CASO DE ESTUDIO.
La Metodología de GSI desarrollada, ha sido formalmente presentada a los
directivos de una TELCO del país, con el objetivo de analizar en conjunto la
factibilidad y los posibles escenarios de implantación de la Metodología en la
organización; finalmente, se ha entregado a la TELCO, un informe ejecutivo con las
observaciones
y recomendaciones generales para la implantación de la
Metodología de GSI propuesta.
5.1. SELECCIÓN DEL CASO DE ESTUDIO APLICADO A UN
SERVICIO DE TELECOMUNICACIONES.
El caso de estudio consiste en la aplicación de la Metodología de GSI en el Grupo
TVCable, se ha seleccionado esta TELCO, por la apertura e interés mostrado por
la misma en el desarrollo de la Metodología en cuestión. El caso de estudio es
aplicable para todos los servicios de Telecomunicaciones que provee el grupo
TVCable; por cuanto, a nivel de gestión todos los servicios mantienen el mismo
esquema basado en el modelo BOSS y la Metodología se ubica en el ámbito de
gestión y no a nivel operativo, sin tratar aspectos técnicos específicos para cada
servicio de Telecomunicaciones; lo dicho, justifica el no realizar el caso de estudio
enfocado a un solo servicios de la TELCO sino hacia todos los servicios que el
Grupo TVCable provee a sus clientes.
5.2. EVALUACIÓN DEL CASO DE ESTUDIO.
De acuerdo al enfoque de mejora continua, que se adoptó para la GSI en la sección
3.1.6.1, el caso de estudio contempla la implantación de la Metodología de la GSI
de la sección 3.2.1 en el Grupo TVCable. Es oportuno mencionar que el presente
caso de estudio, se enfoca en la primera Iteración de la Metodología de GSI, en la
cual es necesario hacer racionalizaciones propias de la Metodología (Tabla 3-8) y
limitaciones relacionadas al Grupo TVCable, respecto a la Implantación de la
88
Metodología de GSI en su organización, las mismas que serán expuestas a lo largo
del presente caso de estudio.
5.2.1. CHECK/STUDY (Verificar/Estudio).
Se procede a la aplicación del Modelo de Madurez de la GSI (Anexo Digital, Modelo
de Madurez Automatizado) en el Grupo TVCable, como herramienta de diagnóstico
inicial de la GSI, que contempla lo siguiente:
·
Establecer rangos de progreso de la implementación de controles:
siendo la primera Iteración de la Metodología de GSI, se adopta los valores
por defecto que han sido propuestos por el Modelo de Madurez (Tabla 5-1).
Mayor Igual
Menor Igual
Completo
95%
100%
Avanzado
30%
94%
Inicial
0%
29%
Tabla 5-1 Rangos de Progreso de Implementación. [14]
·
Establecer ciclo de evaluación: se establece el ciclo de evaluación en un
año, desde Marzo 2015 a Febrero del 2016, este período rige para toda la
Metodología de GSI.
·
Establecer rangos de métricas: la definición de los rangos de valores
asociados a las métricas del Modelo de Madurez, se realizaron en conjunto
con personal del Grupo TVCable, en función de la experiencia de lo ocurrido
en ciclos anteriores. Los rangos establecidos son una aproximación
empírica, ya que el Grupo TVCable actualmente, no dispone de un registro
histórico formal de los incidentes de Seguridad de la Información ocurridos
(Tabla 5-2).
Número de incidentes de seguridad de la información causados por problemas operativos en el proceso de
Facturación.
Tiempo promedio de resolución de incidencias de seguridad en el proceso de Facturación.
Porcentaje de incidentes relacionados con la seguridad de la información que causan interrupción en el
proceso de facturación.
Promedio del número de incidentes de seguridad de la información que permanecen abiertos en el proceso
de Facturación.
Porcentaje de incidentes de seguridad de la información "cerrados y solventados" en el proceso de
Facturación, durante el ciclo.
Número de incidentes de seguridad de la Información que ocurren periódicamente sin que se tenga una
solución definitiva.
Porcentaje de cumplimiento de requerimientos externos obligatorios.
Métricas
1%
07 Número de activos no autorizados identificados.
Número de veces que se ha revisado y validado las líneas de referencia de configuración de seguridad para
08
dispositivos de Telecomunicaciones, en el último ciclo.
Número de discrepancias entre las líneas de referencia de configuración de seguridad establecidas y las
09
configuraciones reales.
06 Porcentaje de activos con propietarios asignados.
100,00
5,00
100,00
11,00
0,00
51,00
20%
20,00
11,00
1,00
30,00
11,00
20,00
20,00
1,00
0,00
Menor
Igual
Bajo
Mayor
Igual
1,00
49%
30,00
49%
50,00
100%
16,00
6,00
2,00
21%
2,00
4,00
6,00
Menor
Igual
3,00
9700%
15,00
89%
12,00
40%
50,00
9,00
10,00
77%
11,00
10,00
10,00
10,00
50,00
Medio
21,00
4,00
5,00
24:00:00
Mayor
Igual
2,00
50%
6,00
50%
6,00
11%
5:01:00
3,00
Menor
Igual
Medio
Mayor
Igual
11,00
0,00
0%
16,00
0%
13,00
41%
15,00
Menor
Igual
72:00:00
Bajo
24:01:00
6,00
Mayor
Igual
N
Métricas
o.
01 Número de cambios relevantes, requeridos explícitamente por la GSI.
Número de requerimientos de seguridad de la información que no se han cumplido después de realizar cambios en la
02
Infraestructura Tecnológica.
03 Número de incidentes de seguridad de la información de Emergencia, relativos a los cambios en el entorno.
Número de incidentes de seguridad de la información de Emergencia, relativos a cambios en Infraestructura
04
Tecnológica.
05 Número de revisiones de los requerimientos de seguridad de la información.
SM&O SUPPORT READINESS
08 Número de validaciones de cumplimiento de controles de seguridad que se realizaron en el ciclo.
07
06
05
04
03
02
01
No
.
BILL INVOICE MANAGEMENT
0,00
10,00
0,00
78%
12,00
0,00
0,00
0,00
51,00
89
15,00
12,00
1,00
100%
24,00
3,00
5,00
3,00
100,00
Menor
Igual
6,00
100%
5,00
100%
5,00
10%
5:00:00
2,00
Menor
Igual
Alto
Alto
Mayor
Igual
4,00
98%
0,00
90%
0,00
0%
0:01:00
0,00
Mayor
Igual
Métricas
Porcentajes de casos de Fraude escalados a CSIRT.
Porcentajes de casos de Fraude solventados por CSIRT.
Número de casos de Fraude detectados por falta de segregación de funciones o estructuras
organizativas ambiguas.
04
05
06
Porcentajes de casos de Fraude mitigados localmente.
03
8,00
21%
31%
0%
31%
Porcentajes de casos de Fraude confirmados.
02
Mayor
Igual
30,00
FRAUD MANAGEMENT
Número de servicios estándar que no tienen definidos los controles de seguridad para el proceso de configuración y
activación del servicio.
Porcentaje de controles de seguridad que están establecidos pero que no se cumplen en el proceso de configuración
y activación del servicio.
Número de activaciones de nuevos servicio que no se pudieron realizar de acuerdo a lo planificado, por no disponer
de los recursos requeridos.
Número de incidentes de seguridad de la información relativos a los cambios previos necesarios para realizar una
activación de un servicio.
Porcentaje de cambios realizados, que una vez realizados han dejado de cumplirse controles de seguridad
predefinidos.
Número cambios de configuración detectados en recursos de plataformas tecnológicas de servicio que no tienen
registro de motivo ni responsable del cambio.
No
Métricas
.
01 Número de alertas generadas de posibles casos de Fraude.
06
05
04
03
02
01
N
o.
SERVICE CONFIGURATION & ACTIVATION
Bajo
15,00
100%
100%
10%
100%
200,00
Menor
Igual
21,00
16%
9,00
31,00
90%
11,00
4,00
11%
11%
11%
11%
16,00
Mayor
Igual
35,00
100%
20,00
500,00
100%
21,00
Menor
Igual
Bajo
Mayor
Igual
20,00
15%
8,00
30,00
89%
10,00
7,00
20%
30%
30%
30%
30,00
Menor
Igual
Medio
11,00
4%
4,00
11,00
16%
4,00
Menor
Igual
Medio
Mayor
Igual
0,00
0%
0%
31%
0%
0,00
Mayor
Igual
10,00
3%
3,00
10,00
15%
3,00
Menor
Igual
3,00
10%
10%
100%
10%
15,00
90
Menor
Igual
Alto
Alto
0,00
0%
0,00
0,00
0%
0,00
Mayor
Igual
Número de sanciones o multas leves que ha tenido la TELCO.
Número de sanciones o multas considerables que ha tenido la TELCO.
Número de sanciones o multas graves que ha tenido la TELCO.
02
03
04
200,00
1,00
51,00
0,00
2,00
11,00
4,00
3,00
3,00
50,00
6,00
6,00
Menor
Igual
Medio
Mayor
Igual
4,00
0,00
0,00
0,00
Mayor
Igual
Alto
6,00
10,00
3,00
2,00
Menor
Igual
3,00
5,00
8,00
3,00
Bajo
5,00
15,00
15,00
10,00
1,00
1,00
1,00
1,00
Medio
2,00
4,00
7,00
2,00
0,00
0,00
0,00
0,00
Alto
0,00
0,00
0,00
0,00
91
Mayor Igual Menor Igual Mayor Igual Menor Igual Mayor Igual Menor Igual
50,00
15,00
7,00
7,00
Menor
Igual
Bajo
Mayor
Igual
Tabla 5-2 Modelo de Madurez de la GSI, Rangos de Métricas, Grupo TVCable. [14]
Número de aspectos sujetos a regulación, que no están siendo gestionados.
Métricas
REGULATORY MANAGEMENT
01
No.
02 Número de cambios significativos realizados en la organización de la GSI.
Número de incidentes de Seguridad de la Información relacionados a divulgación de Información, no contemplados en
03
los acuerdos de Confidencialidad formalizados.
04 Número de revisiones independientes de la GSI que fueron realizadas de forma programada en el presente período.
N
Métricas
o.
01 Número de incidentes de seguridad relacionados a fuga de información confidencial detectados en el presente período.
AUDIT MANAGEMENT
92
·
Evaluación del progreso y calidad de implementación de controles: al
ser la primera iteración de la Metodología de GSI, no existe ningún avance
formal en el Progreso de la implantación de la Metodología; sin embargo,
en el Modelo de Madurez de la GSI, se considerarán como implementados
a los controles de seguridad que si realiza el grupo TVCable, que coincidan
con los controles de Seguridad de la Información de las Guías de
implementación de la Metodología de GSI propuesta; por lo tanto, el
Progreso de Implementación de los procesos de la Metodología, no
necesariamente estará en el estado Inicial (Tabla 4-12).
Para evaluar la Calidad de la Implementación de los controles de GSI, se lo
hace por medio de las métricas del Modelo de Madurez, según lo ocurrido
en el último ciclo Marzo 2014 a Febrero 2015; en este punto cabe
racionalizar que en la primera iteración, la evaluación se basa en información
empírica en base a los hechos más relevantes ocurridos.
Como
resultado de
las dos evaluaciones, progreso y calidad
respectivamente, se podrá relacionar cada proceso de la Metodología de
GSI, a un nivel de madurez que le corresponda. La evaluación del Progreso
y la Calidad de la Implantación de la Metodología de GSI se presenta en las
Tablas 5-3, 5-4, 5-5, 5-6, 5-7,5-8. El resumen global de los procesos y su
respectiva Zona de Madurez en la Tabla 5-9, Figura 5-1. Finalmente el Plan
de acción propuesto en la Tabla 5-10.
DSS02
DSS01
Dominio del
Proceso COBIT
5.0
A) Los eventos de seguridad en el proceso deben ser reportados a través de un
procedimiento
definido ágil, de tal forma que se puede incluir en el caso reportado información
detallada
del posible evento de seguridad en el proceso.
- Id de Usuario.
- Fechas, número de accesos y categorización de eventos.
- Identificación de terminal desde cual se accedió.
- Registros de accesos fallidos y exitosos a los sistemas.
- Cambios en configuración de los sistemas.
- Uso de privilegios.
- Uso de utilidades y aplicaciones.
- Archivos accesados y tipos de archivos.
- Protocolos de red y direcciones de acceso.
- Alarmas activadas en sistemas de control de acceso.
- Eventos de activación y desactivación de herramientas de protección de
sistemas, como antivirus y sistemas de protección de Intrusos.
Los logs de auditoria deben incluir la siguiente información:
A) El registro de actividades de usuario, los errores y los eventos de seguridad
en los sistemas que involucra el proceso de facturación deben ser generados y
almacenados durante el tiempo que el órgano regulador de las
telecomunicaciones lo establezca.
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Tiempo promedio de resolución de
incidencias de seguridad en el
proceso de Facturación.
Número de incidentes de seguridad
de la información causados por
problemas operativos en el proceso
de Facturación.
Métricas
72:00:00
6
Valor de
Métrica
93
BAJO
BAJO
Estado de
Seguridad
Dominio del
Proceso COBIT
5.0
- Modificaciones no autorizadas sobre registros de facturas ya generadas en un
ciclo de facturación.
- Omisiones intencionales de aplicación de cargos en productos y/o servicios
brindados por la TELCO.
- No cumplimiento de todos los procedimientos y protocoles de operación.
D) El mal funcionamiento o cualquier otra conducta anómala del sistema pueden
ser un indicador de un ataque a la seguridad o una verdadera violación de la
seguridad, por lo tanto, siempre debe reportarse como un evento en la
seguridad de la información. Como ejemplos de incidentes de seguridad en el
contexto del proceso de facturación se tiene:
C) Referenciar un procedimiento de sanciones disciplinarias aplicables en caso
de cometimiento de violaciones de seguridad de la Información.
- El correcto comportamiento del reporte de un evento de seguridad en el
proceso incluye:
- Anotar todos los detalles importantes por ejemplo, no cumplimientos, brechas,
funcionamiento sospechoso de funcionalidades de sistemas, plataformas de
gestión y aprovisionamientos, captura de mensajes en pantalla, logs generados.
- No tomar acción alguna para corregir el evento de seguridad, pero si reportarlo
de forma inmediata.
- Retroalimentación para asegurar que los eventos son notificados, gestionados
y cerrados.
- Los formularios de reportes de eventos de seguridad en el proceso de
preferencia deben ser automatizados y deben permitir ingresar toda la
información relacionada el evento de seguridad.
B) Se debe establecer un punto de contacto para reportar los eventos de
seguridad de la información en el proceso y un procedimiento formal de reporte
de eventos de seguridad, así como procedimientos para responder el mismo o
escalarlo, el punto de contacto debe ser conocido por toda la organización y
debe estar siempre disponible y dotado de recursos para actuar de forma
inmediata. El procedimiento de reporte de eventos debe incluir:
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
5
30%
Porcentaje de incidentes de
seguridad de la información
"cerrados y solventados" en el
proceso de Facturación, durante el
ciclo.
Número de incidentes de seguridad
de la Información que ocurren
periódicamente sin que se tenga
una solución definitiva.
8
60%
Valor de
Métrica
Promedio del número de incidentes
de seguridad de la información que
permanecen abiertos en el proceso
de Facturación.
Porcentaje de incidentes
relacionados con la seguridad de la
información que causan interrupción
en el proceso de facturación.
Métricas
94
ALTO
BAJO
MEDIO
BAJO
Estado de
Seguridad
BAI06
Dominio del
Proceso COBIT
5.0
MEA03
Dominio del
Proceso COBIT
5.0
Estado del Control
Número de validaciones de
cumplimiento de controles de
seguridad que se realizaron en el
ciclo.
Porcentaje de cumplimiento de
requerimientos externos obligatorios.
Métricas
- Si se debiera obtener el consentimiento del vendedor.
- La posibilidad de obtener del vendedor los cambios requeridos como
actualizaciones del software estándar.
- El impacto de si como resultado de los cambios, la organización se hace
responsable del mantenimiento futuro del software base.
- Si son necesarios cambios, se debiera mantener el software original y se
debieran aplicar los cambios en una copia claramente identificada.
a) En lo posible, se deben usar las versiones de software base de los
dispositivos de telecomunicaciones originales suministrados por los vendedores
sin modificaciones, así como los sistemas de gestión de las plataformas. En caso
de ser necesaria y posible la modificación de un software base de un dispositivo,
se debe considerar:
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
5
12
15
Número de requerimientos de
seguridad de la información que no
se han cumplido después de realizar
cambios en la Infraestructura
Tecnológica.
Número de incidentes de seguridad
de la información de Emergencia,
relativos a los cambios en el entorno.
Valor de
Métrica
0
30%
Valor de
Métrica
Número de cambios relevantes,
requeridos explícitamente por la GSI.
Métricas
Tabla 5-3 Evaluación de Progreso y Calidad, Proceso Bill Invoice Manager, Grupo TVCable. [14]
B) Se debe definir e implementar una política de protección y privacidad de los
datos de los clientes, esta política debe ser comunicada a todas las personas
involucradas en el procesamiento de la información. El cumplimiento de esta
política requiere una apropiada estructura y control gerencial, se recomienda
asignar formalmente esta responsabilidad al dueño del proceso de Facturación
el cual debe generar lineamientos para su cumplimiento.
- Por ente regulador de la Industria respecto a la facturación de servicios de
Telecomunicaciones.
- Impuesto y/o cargos a servicios de Telecomunicaciones.
- Cláusulas contractuales con los clientes.
A) Se debe definir de forma explícita, documentar y actualizar todos los
requerimientos establecidos:
Guías de Implementación enfocado a la Seguridad de la Información
95
BAJO
BAJO
BAJO
Estado de
Seguridad
BAJO
BAJO
Estado de
Seguridad
BAI09
Dominio del
Proceso COBIT
5.0
- La información específica necesaria para apoyar la gestión de la
vulnerabilidad técnica incluye al proveedor del dispositivo y su plataforma de
gestión, versiones del software base del dispositivo y la plataforma de gestión,
estado actual de uso, y las personas responsables de los dispositivos dentro de
la organización.
- El inventario completo de los dispositivos es un prerrequisito para la gestión
efectiva de la vulnerabilidad técnica.
- Se debe implementar un proceso de gestión de actualizaciones del software
para asegurar que la mayoría de los parches aprobados hasta la-fecha y las
actualizaciones de la aplicación se instalen para todo software autorizado.
- Todos los cambios deben ser completamente probados y documentados, de
manera que puedan ser reaplicados, si fuese necesario, a las futuras
actualizaciones del software.
- Si fuese requerido, las modificaciones deben ser probadas y validadas por
un organismo de evaluación independiente.
- El riesgo de comprometer los controles incorporados y los procesos de
integridad.
a) Se debe obtener oportunamente la información sobre las vulnerabilidades
técnicas de todos los dispositivos que forman parte de la infraestructura que
provee los servicios de Telecomunicaciones.
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Número de revisiones de los
requerimientos de seguridad de la
información.
Número de incidentes de seguridad
de la información de Emergencia,
relativos a cambios en
Infraestructura Tecnológica.
Métricas
0
17
Valor de
Métrica
96
BAJO
BAJO
Estado de
Seguridad
Dominio del
Proceso COBIT
5.0
o Desconectar los servicios o capacidades relacionadas con la vulnerabilidad.
o Adaptar o agregar controles de acceso.
o Mayor monitoreo para detectar o evitar ataques reales.
o Elevar la conciencia acerca de la vulnerabilidad.
- Los parches se deben probar y evaluar en un ambiente controlado antes de
aplicarlos para asegurar que solventen la vulnerabilidad y no desencadenen
efectos secundarios no tolerables; si el parche no está disponible, se pueden
considerar otros controles:
- Si es posible aplicar un parche, se debe evaluar los riesgos asociados con la
aplicación del mismo, en este punto es importante comparar los riesgos
impuestos por la vulnerabilidad con el riesgo de aplicar el parche a los
dispositivos o sistemas de gestión.
- Dependiendo de la criticidad con que se necesita tratar la vulnerabilidad
técnica, la acción a tomarse debe realizarse de acuerdo a los controles
relacionados con la gestión de cambios o siguiendo los procedimientos de
respuesta ante
- incidentes de seguridad de la información definidos.
- Una vez que se identifica la vulnerabilidad técnica potencial, la organización
debe identificar los riesgos asociados y las acciones a tomarse; dicha
acción puede implicar aplicar parches al software base de dispositivos o
sistemas de gestión de plataformas vulnerables y/o la aplicación de otros
controles.
- Se debe identificar los recursos de información que se utilizarán para identificar
las vulnerabilidades técnicas relevantes y mantener la conciencia sobre ellas
para los dispositivos y otras tecnologías, se debe definir una línea de tiempo
para reaccionar a las notificaciones de vulnerabilidades técnicas
potencialmente relevantes.
- La organización debe definir y establecer los roles y responsabilidades
asociadas con la gestión de la vulnerabilidad técnica; incluyendo el monitoreo
de la vulnerabilidad, evaluación del riesgo de la vulnerabilidad, monitoreo de
dispositivos y cualquier responsabilidad de coordinación requerida.
b) Se debe tomar la acción apropiada y oportuna en respuesta a la
identificación de vulnerabilidades técnicas potenciales a cargo del responsable
del proceso. Se debe seguir el siguiente lineamiento para establecer un proceso
de gestión efectivo para las vulnerabilidades técnicas:
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Número de activos no autorizados
identificados.
Porcentaje de activos con
propietarios asignados.
Métricas
23
70%
Valor de
Métrica
97
BAJO
MEDIO
Estado de
Seguridad
BAI10
- El correcto funcionamiento del proceso de gestión de la vulnerabilidad
técnica aplicado a la infraestructura que provee los servicios a los clientes es
crítica para evitar el fraude por tanto, debe ser monitoreado regularmente.
a) Todos los dispositivos que conforman la infraestructura tecnológica necesaria
para proveer los servicios de telecomunicaciones a los clientes, tienen que ser
inventariados, definir una configuración base de acuerdo al dispositivo y hacer
referencia a la funcionalidad en el negocio, ubicación, conexiones con terceros,
capacidad utilizada ,esto aplica para equipos de la red Core y de Acceso, al ser
los dispositivos de diferentes marcas, su inventario debería ser llevado en un
módulo automatizado dentro del OSS.
b) Los dispositivos que componen la infraestructura, deben ser clasificados en
términos de su funcionalidad, valor para el negocio, requerimientos legales, y
nivel de criticidad para la organización, con el objetivo de identificar los
dispositivos que necesitan ser protegidos de forma especial.
c) Todos los movimientos, traslados, cambios de funcionalidad o cualquier tipo
de actualización de los dispositivos tienen que generar un registro histórico
accesible.
o Mantener un registro de auditoría de todos los procedimientos realizados; el
proceso de gestión de vulnerabilidad técnica debiera ser monitoreado y
o Evaluado regularmente para asegurar su efectividad y eficacia; se debieran
tratar primero los sistemas en alto riesgo.
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Número de discrepancias entre las
líneas de referencia de configuración
de seguridad establecidas y las
configuraciones reales.
Número de veces que se ha revisado
y validado las líneas de referencia de
configuración de seguridad para
dispositivos de Telecomunicaciones,
en el último ciclo.
Métricas
25
0
Valor de
Métrica
Tabla 5-4 Evaluación de Progreso y Calidad, Proceso Service Manager Operation Support Readiness, Grupo TVCable. [14]
Dominio del
Proceso COBIT
5.0
98
MEDIO
BAJO
Estado de
Seguridad
APO09
Dominio del
Proceso COBIT
5.0
- Siempre que el cambio haya sido implementado, actualizar, de manera
consecuente, la documentación de la solución y del servicio, así como los
procedimientos a los que afecta el cambio.
Cerrar y documentar los cambios.
- Mantener un sistema de seguimiento e informe que documente los cambios
rechazados, comunique el estado de cambios aprobados y en proceso y de
cambios completados.
- Asegurar que los cambios aprobados son implementados como esté previsto
Hacer seguimiento e informar de cambios de estado.
- Gestionar cuidadosamente los cambios de emergencia para minimizar futuras
incidencias y asegurar que el cambio está controlado y se realiza de forma
segura.
- Verificar que los cambios de emergencia son evaluados debidamente y
autorizados de una vez hecho el cambio.
Gestionar cambios de emergencia.
- Evaluar todas las peticiones de cambio para determinar su impacto en los
procesos de negocio y los servicios TI, y analizar si el cambio afectará
negativamente al entorno operativo e introducirá un riesgo inaceptable.
- Asegurar que los cambios son registrados, priorizados, categorizados,
analizados, autorizados, planificados y programados.
Evaluar, priorizar y autorizar peticiones de cambio.
a) Los cambios a nivel de plataformas tecnológicas y/o sistemas de información
requeridos para la configuración y activación de servicios tiene que ser
debidamente controlada, tomando e cuanta los siguientes aspectos:
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Porcentaje de controles de
seguridad que están establecidos
pero que no se cumplen en el
proceso de configuración y
activación del servicio.
Número de servicios estándar que
no tienen definidos los controles de
seguridad para el proceso de
configuración y activación del
servicio.
Métricas
40%
12
Valor de
Métrica
99
MEDIO
BAJO
Estado de
Seguridad
BAI04
Dominio del
Proceso COBIT
5.0
- Planificar y priorizar las implicaciones en la disponibilidad, el rendimiento y la
capacidad de cambios en las necesidades de la TELCO y en los requerimientos
de servicio.
Planificar para requisitos de servicios nuevos o modificados.
- Abordar las desviaciones investigando y resolviendo las cuestiones
identificadas relativas a disponibilidad, rendimiento y capacidad.
Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad.
- Supervisar, medir, analizar, informar y revisar la disponibilidad, el rendimiento
y la capacidad.
- Identificar desviaciones respecto a la línea base establecida.
- Revisar informes de análisis de tendencias identificando cualquier cuestión y
variación significativa, iniciando acciones donde sea necesario y asegurando
que se realiza el seguimiento de todas las cuestiones pendientes.
Supervisar y revisar la disponibilidad y la capacidad.
a) El uso de los recursos de plataformas tecnológicas que intervienen en la
configuración y activación de servicios, se debe monitorear y optimizar, así
como se debe también proyectar el uso de los mismos en función de las
tendencias de uso y tomar acciones proactivas con otras áreas para asegurar
que en todo momento estén disponibles y asignados los recursos técnicos
necesarios.
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Número de activaciones de nuevos
servicio que no se pudieron
realizar de acuerdo a lo
planificado, por no disponer de los
recursos requeridos.
Métricas
35
Valor de
Métrica
100
BAJO
Estado de
Seguridad
BAI06
Dominio del
Proceso COBIT
5.0
Revisar periódicamente el repositorio de configuración y verificar la integridad y
exactitud con respecto al objetivo deseado.
c) La información de configuraciones y activaciones tiene que estar protegida
de accesos no autorizados. Específicamente en el ámbito de las TELCO esta
información forma parte de los Sistemas de Gestión de plataformas que son
varios en función de la solución y del proveedor, por ende la protección de
información se implementa con una política adecuada de gestión de
contraseñas y controles de accesos no autorizados.
b) Establecer y mantener un modelo lógico de la toda la infraestructura de la
TELCO, segregado por soluciones, registrar los elementos de configuración y
las relaciones entre ellos. Incluyendo los elementos de configuración
considerados necesarios para gestionar eficazmente los servicios y
proporcionar una sola descripción fiable de los activos en un servicio.
Plataforma de prepago de telefonía Móvil, que puede incluir, el proceso, la
información, los dispositivos, plataformas tecnológicas de servicio, servidores,
recurso humano y sistemas de aprovisionamiento.
- En el caso específico de las TELCO es recomendable asignar soluciones
completas que cumplen una función por ejemplo:
La propiedad o responsabilidad puede ser asignada a:
- Proceso de negocio.
- Un definido conjunto de actividades.
- Una aplicación.
- Información.
- Plataformas tecnológicas de servicio o dispositivos que cumplen una función.
- Asegurar que toda la información de los activos tecnológicos que se usan
para la configuración y activación del servicio esté apropiadamente clasificada.
- Definir revisiones periódicas a cargo de los respectivos responsables de los
controles de acceso y la aplicación de las políticas de control de seguridad
establecidas.
a) Toda la información y los elementos de las plataformas tecnológicas de
servicio y los sistemas de información deben tener asociado un responsable
que pertenezca a la TELCO, para los recursos tecnológicos de responsabilidad
compartida especialmente entre Sistemas de Información y Plataformas
tecnológicas de servicio se especificarán las responsabilidades de cada área.
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Porcentaje de cambios realizados,
que una vez realizados han dejado
de cumplirse controles de
seguridad predefinidos.
Número de incidentes de
seguridad de la información
relativos a los cambios previos
necesarios para realizar una
activación de un servicio.
Métricas
12
25%
Valor de
Métrica
101
BAJO
BAJO
Estado de
Seguridad
BAI10
Dominio del
Proceso COBIT
5.0
Estado del Control
Número cambios de configuración
detectados en recursos de
plataformas tecnológicas de
servicio que no tienen registro de
motivo ni responsable del cambio.
Métricas
20
Valor de
Métrica
Tabla 5-5 Evaluación de Progreso y Calidad, Proceso Service Configuration and Activation, Grupo TVCable. [14]
- Cambios hechos por la organización para implementar mejoras en el actual
servicio.
- Desarrollo de nueva aplicación a nivel de sistemas de información.
- Nuevos controles para resolver incidentes o problemas de GSI.
- Incrementos de capacidad técnica de redes de servicio.
- Uso de nuevas tecnologías.
- Aplicación de nuevos firmwares en plataformas tecnológicas.
- Cambios físicos de equipos.
- Cambios de proveedor de plataformas tecnológicas.
- Reportes de incidencias y problemas de seguridad de la información
referentes a cada servicio.
- Monitorear el cumplimiento de los acuerdos de nivel de servicio.
- Revisión en plataforma técnica de eventos de error y alertas que pudieren
estar generando fallos, micro cortes o problemas operacionales.
c) Todo cambio o modificación que se deba realizar con el propósito de realizar
activaciones de nuevos servicios, debe ser debidamente gestionado de
acuerdo
a la criticidad de los servicios y la plataforma tecnológica que estará sujeta a
cambios, estos cambios pueden incluir:
a) Se deben definir los controles de seguridad a cumplir para cada entrega de
servicio estándar de la TELCO y en caso de entregas de servicio
personalizado, se debe determinar si hay controles de seguridad adicionales
que se deben cumplir.
b) Se debe monitorear por medio de reportes que los controles de seguridad
establecidos para cada servicio se cumplan de acuerdo a lo establecido, para el
efecto se requiere:
d) Al ser las plataformas tecnológicas de servicio y los sistemas de
aprovisionamiento, accedidas desde diferentes áreas funcionales, se deben
establecer los roles y permisos adecuados en función de las necesidades de
cada uno, los cambios en estos roles y permisos tienen que ser estrictamente
controlados.
Definir y elaborar informes de configuración sobre cambios en el estado de los
elementos de configuración.
Guías de Implementación enfocado a la Seguridad de la Información
102
MEDIO
Estado de
Seguridad
DSS06
BAI04
Dominio del
Proceso COBIT
5.0
Número de casos de Fraude
detectados por falta de segregación
de funciones o estructuras
organizativas ambiguas.
Tabla 5-6 Evaluación de Progreso y Calidad, Proceso Fraud Management, Grupo TVCable. [14]
b) Si a pesar de la segregación de funciones existe el riesgo de conspiración
en determinados procesos, se debe definir el procedimiento de control y la
frecuencia de revisión para que Auditoría lo tenga presente.
a) Se debe identificar las funciones en la TELCO, en las que por su naturaleza
sea factible cometer Fraude y separarlas de tal forma que se implemente un
control mutuo entre las funciones o áreas separadas.
b) Formar parte de un CSIRT de Telecomunicaciones de primer nivel, para
intercambiar Información y mantenerse a la vanguardia de herramientas de
identificación y mitigación de Fraude en las TELCO.
Porcentajes de casos de Fraude
solventados por CSIRT.
Porcentajes de casos de Fraude
escalados a CSIRT.
d) Si se detecta un caso de Fraude, se lo debe exponer en el ISSC, donde se
establecerán las prioridades y acciones para solventar el caso.
a) Conformar y capacitar un equipo técnico especializado en gestión de
Incidentes de Seguridad en Plataformas Tecnológicas de Servicio y
Tecnologías de Información, para atender los casos comprobados de Fraude.
Porcentajes de casos de Fraude
mitigados localmente.
c) Los casos de posible fraude debe contrastar el uso de la capacidad de los
recursos tecnológicos, con las ventas y la facturación.
5
0%
0%
100%
2%
Porcentajes de casos de Fraude
confirmados.
Valor de
Métrica
b) En caso de cambios de tendencia de uso de capacidad se deben abrir casos
de investigación de posible fraude.
Número de alertas generadas de
posibles casos de Fraude.
Métricas
8
Estado del Control
a) Se debe monitorear las tendencias de uso de capacidad de las plataformas
de Telecomunicaciones y establecer alarmas en caso disminuciones abruptas
de capacidad, se recomienda la automatización de esta función.
Guías de Implementación enfocado a la Seguridad de la Información
103
MEDIO
ALTO
ALTO
ALTO
ALTO
ALTO
Estado de
Seguridad
EDM05
Dominio del
Proceso COBIT
5.0
- La definición de la información a ser protegida.
- Duración del acuerdo, incluido los casos donde la confidencialidad puede ser
necesaria mantenerla de forma indefinida.
- Acciones requeridas cuando el acuerdo finaliza.
- Responsabilidades y acciones de las partes para evitar divulgación no
autorizada de información.
- Propiedad de la información, secretos comerciales y propiedad intelectual y
como estos protegen la confidencialidad de la información.
- Procesos de notificación y reporte divulgación no autorizada de información
confidencial.
- Términos para la información que tiene que ser retornada o destruida al final
del acuerdo.
- Acciones y penalización que serán tomadas en caso de no cumplimiento del
acuerdo de confidencialidad.
La función auditora de la organización debe contar con el apoyo de la Gestión
de Recursos Humanos o cualquier otra unidad funcional de la organización
para llevar a cabo esta labor.
b) Los acuerdos de confidencialidad y no divulgación de la información deben
reflejar las necesidades de protección de la organización y deben ser
regularmente revisadas, para el efecto se debe considerar:
a) Se debe identificar los funcionarios, proveedores o entes externos que por
su interacción con la TELCO, manejan información sensible para la
organización, evaluar y definir si amerita generar un acuerdo de
confidencialidad y los términos específicos de acuerdo al tipo de información
sensible que se maneje.
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Número de incidentes de Seguridad
de la Información relacionados a
divulgación de Información, no
contemplados en los acuerdos de
Confidencialidad formalizados.
Número de cambios significativos
realizados en la organización de la
GSI.
Número de incidentes de seguridad
relacionados a fuga de información
confidencial detectados en el
presente período.
Métricas
1
0
3
Valor de
Métrica
104
ALTO
ALTO
MEDIO
Estado de
Seguridad
MEA01
Dominio del
Proceso COBIT
5.0
MEA02
Dominio del
Proceso COBIT
5.0
Estado del Control
Número de revisiones
independientes de la GSI que fueron
realizadas de forma programada en
el presente período.
Métricas
- Contratos de Concesiones de espectro radioeléctrico.
- Regulaciones establecidas por la SENATEL, respecto a las licencias de los
servicios de telecomunicaciones que se provee y normas de implementación.
- Convenios de Intercambio de tráfico con otras TELCOS, nacionales o
Internacionales.
- Tarifas, calidad y cobertura de Servicios.
- Requerimientos de Interoperabilidad y portabilidad.
- Régimen tributario.
a) Se deben implementar los procedimientos y responsables apropiados para
asegurar el continuo cumplimiento de leyes, regulaciones y requerimientos
contractuales en la TELCO.
a) Todos los estatutos, regulaciones y requerimientos contractuales que debe
cumplir obligatoriamente la TELCO, deben ser explícitamente definidos,
documentados y actualizados, esto incluye pero no se limita a los siguientes:
Guías de Implementación enfocado a la Seguridad de la Información
Estado del Control
Número de aspectos sujetos a
regulación, que no están siendo
gestionados.
Métricas
Tabla 5-7 Evaluación de Progreso y Calidad, Proceso Audit Management, Grupo TVCable. [14]
- Esta revisión tiene que ser realizada periódicamente, bajo demanda, en caso
de un requerimiento de la alta gerencia o cuando han ocurridos cambios
significativos en la GSI.
- Estas revisiones buscan asegurar la continua idoneidad y efectividad en la
implementación de la GSI, la revisión puede contemplar el aprovechar
oportunidades y/o la necesidad de cambios en el enfoque de la GSI, incluso
las políticas y los controles.
- Informar a los líderes y obtener su apoyo, su aceptación y su compromiso.
- Guiar las estructuras, procesos y prácticas para la GSI en línea con los
principios, modelos para la toma de decisiones y niveles de autoridad y
control (incluye auditorias) diseñados.
a) En base a la Política de la GSI, la implementación de la misma debe ser
revisada de forma independiente para garantizar que las prácticas en la
TELCO reflejen adecuadamente la aplicación de las Políticas de GSI
establecidas. Esta revisión puede ser llevada a cabo por la función de
auditoría de la TELCO, pero externa a la GSI, por un gerente independiente
especializado en revisiones de esta índole. Esta función auditora puede ser
también un ente externo especializado.
Guías de Implementación enfocado a la Seguridad de la Información
2
Valor de
Métrica
0
Valor de
Métrica
105
MEDIO
Estado de
Seguridad
BAJO
Estado de
Seguridad
MEA03
Dominio del
Proceso COBIT
5.0
Estado del Control
Número de sanciones o multas
graves que ha tenido la TELCO.
Número de sanciones o multas
considerables que ha tenido la
TELCO.
Número de sanciones o multas leves
que ha tenido la TELCO.
Métricas
Tabla 5-8 Evaluación de Progreso y Calidad, Proceso Regulatory Management, Grupo TVCable. [14]
- Modificaciones en la política de seguridad de la Información respecto a
cumplimiento.
- Mejoras en la asignación de recursos y responsabilidades.
- Feedback de partes o unidades funcionales interesadas.
- Alertas y sugerencias generadas por auditorías internas y externas.
- Modificaciones contractuales, de regulación o condiciones legales recientes.
- Reportes de sanciones de la SUPERTEL hacia otras TELCO ecuatorianas.
- Recomendaciones recibidas de autoridades relevantes de la TELCO.
Información de Salida:
Información de Entrada:
El dueño del proceso de Gestión de las Regulaciones, es el responsable de
los enunciados de la política de seguridad respecto a temas de cumplimiento,
el mismo que debe coordinar con el ISM para la actualización y difusión de la
política de seguridad de la información, en caso de modificaciones
relacionadas con cumplimiento del marco regulatorio.
a) La política de seguridad de la información, respecto a temas de
cumplimiento de un marco regulatorio tiene que ser revisada y actualizada de
forma constante para evaluar si es idónea y efectiva respecto a las
modificaciones realizadas en el marco regulatorio vigente.
c) Cuando se recibe un requerimiento de información de un ente externo para
evaluaciones de cumplimiento, se debe definir y aplicar un procedimiento de
validación para determinar que la petición está hecha a través del legítimo
proceso o procedimiento, de acuerdo a las leyes gubernamentales
establecidas.
b) La organización debe asegurar disponer de la capacidad suficiente de
recursos tecnológicos, para asegurar la continuidad del servicio y cumplir los
acuerdos mínimos de servicio y cobertura en caso de fallos graves o desastres
naturales
Guías de Implementación enfocado a la Seguridad de la Información
0
7
5
Valor de
Métrica
106
ALTO
BAJO
MEDIO
Estado de
Seguridad
GSI-AM
GSI-RM
AUDIT MANAGEMENT
REGULATORY MANAGEMENT
GSI-AM
GSI-RM
GSI-FM
3
2
5
8
5
4
Controles No
Implementado
40,00%
33,33%
37,50%
11,11%
16,67%
42,86%
Avance de
Implementación
Avanzado
Avanzado
Avanzado
Inicial
Inicial
Avanzado
Progreso de la
Implantación
45%
40%
35%
30%
25%
20%
15%
10%
5%
0%
MEDIO
ALTO
ALTO
BAJO
BAJO
BAJO
Estado de la GSI
(CALIDAD)
Amarillo 2
Verde 1
Verde 1
Rojo 3
Rojo 3
Rojo 2
107
Zonas del Modelo
de madurez de la
GSI
Zonas del Modelo de Madurez de la GSI
Figura 5-1 Progreso de la Implementación, Grupo TVCable. [14]
GSI-SC&A
GSI-SM&O-SR
Controles Implementados
GSI-BIM
3
2,5
2
1,5
1
0,5
0
2
1
3
1
1
3
Controles
Implementados
Tabla 5-9 Zonas de Madurez de los procesos, Grupo TVCable [14]
GSI-FM
FRAUD MANAGEMENT
GSI-SC&A
GSI-SM&O-SR
SM&O SUPPORT READINESS
SERVICE CONFIGURATION & ACTIVATION
GSI-BIM
Código de los
Procesos de
la GSI
BILL INVOICE MANAGEMENT
Procesos de la GSI
RESULTADO GLOBAL DEL MODELO DE MADUREZ
Nombre
del
Control
Control
DSS02-A
Control
DSS02-B
Control
MEA03-B
Procesos de la
GSI
BILL INVOICE
MANAGEMENT
BILL INVOICE
MANAGEMENT
BILL INVOICE
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Rojo 2
Rojo 2
Rojo 2
PLAN DE ACCION PROPUESTO
Estado Actual
de la Métrica
BAJO
BAJO
BAJO
Métricas
Tiempo promedio
de resolución de
incidencias de
seguridad en el
proceso de
Facturación.
Porcentaje de
incidentes
relacionados con la
seguridad de la
información que
causan interrupción
en el proceso de
facturación.
Número de
validaciones de
cumplimiento de
controles de
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Estado del
Control
- El correcto comportamiento del reporte de un
evento de seguridad en el proceso incluye:
- Anotar todos los detalles importantes por
ejemplo, no cumplimientos, brechas,
funcionamiento sospechoso de funcionalidades
de sistemas, plataformas de gestión y
aprovisionamientos, captura de mensajes en
pantalla, logs generados.
- No tomar acción alguna para corregir el evento
de seguridad, pero si reportarlo de forma
inmediata.
B) Se debe definir e implementar una política de
protección y privacidad de los datos de los
clientes, esta política debe ser comunicada a
todas las personas involucradas en el
- Retroalimentación para asegurar que los
eventos son notificados, gestionados y cerrados.
- Los formularios de reportes de eventos de
seguridad en el proceso de preferencia deben
ser automatizados y deben permitir ingresar toda
la información relacionada el evento de
seguridad.
B) Se debe establecer un punto de contacto para
reportar los eventos de seguridad de la
información en el proceso y un procedimiento
formal de reporte de eventos de seguridad, así
como procedimientos para responder el mismo
o escalarlo, el punto de contacto debe ser
conocido por toda la organización y debe estar
siempre disponible y dotado de recursos para
actuar de forma inmediata. El procedimiento de
reporte de eventos debe incluir:
A) Los eventos de seguridad en el proceso
deben ser reportados a través de un
procedimiento
definido ágil, de tal forma que se puede incluir en
el caso reportado información detallada
del posible evento de seguridad en el proceso.
Guías de Implementación enfocado a la
Seguridad de la Información
108
Completar la
implementación de los
controles de GSI y hacer
una validación de la
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Acción a Seguir
Nombre
del
Control
Control
MEA03-A
Control
DSS01-A
Procesos de la
GSI
BILL INVOICE
MANAGEMENT
BILL INVOICE
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Rojo 2
Rojo 2
BAJO
BAJO
Número de
incidentes de
seguridad de la
información
causados por
problemas
operativos en el
proceso de
Facturación.
NO
IMPLEMENTA
DO
Estado Actual
de la Métrica
IMPLEMENTA
DO
seguridad que se
realizaron en el
ciclo.
Métricas
Porcentaje de
cumplimiento de
requerimientos
externos
obligatorios.
Estado del
Control
- Id de Usuario.
- Fechas, número de accesos y categorización
de eventos.
- Identificación de terminal desde cual se
accedió.
- Registros de accesos fallidos y exitosos a los
sistemas.
- Cambios en configuración de los sistemas.
- Uso de privilegios.
- Uso de utilidades y aplicaciones.
- Archivos accesados y tipos de archivos.
- Protocolos de red y direcciones de acceso.
- Alarmas activadas en sistemas de control de
acceso.
- Eventos de activación y desactivación de
herramientas de protección de sistemas, como
antivirus y sistemas de protección de Intrusos.
Los logs de auditoria deben incluir la siguiente
información:
- Por ente regulador de la Industria respecto a la
facturación de servicios de Telecomunicaciones.
- Impuesto y/o cargos a servicios de
Telecomunicaciones.
- Cláusulas contractuales con los clientes.
A) El registro de actividades de usuario, los
errores y los eventos de seguridad en los
sistemas que involucra el proceso de
facturación deben ser generados y almacenados
durante el tiempo que el órgano regulador de las
telecomunicaciones lo establezca.
procesamiento de la información. El
cumplimiento de esta política requiere una
apropiada estructura y control gerencial, se
recomienda asignar formalmente esta
responsabilidad al dueño del proceso de
Facturación el cual debe generar lineamientos
para su cumplimiento.
A) Se debe definir de forma explícita,
documentar y actualizar todos los
requerimientos establecidos:
Guías de Implementación enfocado a la
Seguridad de la Información
109
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
correcta implementación
de los controles ya
aplicados.
Acción a Seguir
Nombre
del
Control
Control
DSS02-D
Control
DSS02-C
Control
DSS02-D
Procesos de la
GSI
BILL INVOICE
MANAGEMENT
BILL INVOICE
MANAGEMENT
BILL INVOICE
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Rojo 2
Rojo 2
Rojo 2
Estado Actual
de la Métrica
MEDIO
MEDIO
ALTO
Métricas
Porcentaje de
incidentes de
seguridad de la
información
"cerrados y
solventados" en el
proceso de
Facturación,
durante el ciclo.
Promedio del
número de
incidentes de
seguridad de la
información que
permanecen
abiertos en el
proceso de
Facturación.
Número de
incidentes de
seguridad de la
Información que
ocurren
periódicamente sin
que se tenga una
solución definitiva.
Estado del
Control
NO
IMPLEMENTA
DO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Acción a Seguir
- Modificaciones no autorizadas sobre registros
de facturas ya generadas en un ciclo de
facturación.
- Omisiones intencionales de aplicación de
cargos en productos y/o servicios brindados por
la TELCO.
- No cumplimiento de todos los procedimientos y
protocoles de operación.
D) El mal funcionamiento o cualquier otra
conducta anómala del sistema pueden ser un
indicador de un ataque a la seguridad o una
verdadera violación de la seguridad, por lo tanto,
siempre debe reportarse como un evento en la
seguridad de la información. Como ejemplos de
incidentes de seguridad en el contexto del
proceso de facturación se tiene:
110
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Completar la
implementación de los
C) Referenciar un procedimiento de sanciones
controles de GSI y hacer
disciplinarias aplicables en caso de cometimiento una validación de la
de violaciones de seguridad de la Información.
correcta implementación
de los controles ya
aplicados.
- Modificaciones no autorizadas sobre registros
de facturas ya generadas en un ciclo de
facturación.
- Omisiones intencionales de aplicación de
cargos en productos y/o servicios brindados por
la TELCO.
- No cumplimiento de todos los procedimientos y
protocoles de operación.
D) El mal funcionamiento o cualquier otra
conducta anómala del sistema pueden ser un
indicador de un ataque a la seguridad o una
verdadera violación de la seguridad, por lo tanto,
siempre debe reportarse como un evento en la
seguridad de la información. Como ejemplos de
incidentes de seguridad en el contexto del
proceso de facturación se tiene:
Guías de Implementación enfocado a la
Seguridad de la Información
Nombre
del
Control
Control
APO09-A
Procesos de la
GSI
SERVICE
CONFIGURATIO
N&
ACTIVATION
Zonas del Modelo
de madurez de la
GSI
Rojo 3
NO
IMPLEMENTA
DO
Estado del
Control
Estado Actual
de la Métrica
BAJO
Métricas
Número de
servicios estándar
que no tienen
definidos los
controles de
seguridad para el
proceso de
configuración y
activación del
servicio.
- Siempre que el cambio haya sido
implementado, actualizar, de manera
consecuente, la documentación de la solución y
Cerrar y documentar los cambios.
- Mantener un sistema de seguimiento e informe
que documente los cambios rechazados,
comunique el estado de cambios aprobados y
en proceso y de cambios completados.
- Asegurar que los cambios aprobados son
implementados como esté previsto
Hacer seguimiento e informar de cambios de
estado.
- Gestionar cuidadosamente los cambios de
emergencia para minimizar futuras incidencias y
asegurar que el cambio está controlado y se
realiza de forma segura.
- Verificar que los cambios de emergencia son
evaluados debidamente y autorizados de una
vez hecho el cambio.
Gestionar cambios de emergencia.
- Evaluar todas las peticiones de cambio para
determinar su impacto en los procesos de
negocio y los servicios TI, y analizar si el
cambio afectará negativamente al entorno
operativo e introducirá un riesgo inaceptable.
- Asegurar que los cambios son registrados,
priorizados, categorizados, analizados,
autorizados, planificados y programados.
Evaluar, priorizar y autorizar peticiones de
cambio.
a) Los cambios a nivel de plataformas
tecnológicas y/o sistemas de información
requeridos para la configuración y activación de
servicios tiene que ser debidamente controlada,
tomando e cuanta los siguientes aspectos:
Guías de Implementación enfocado a la
Seguridad de la Información
111
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Nombre
del
Control
Control
BAI06-A
Control
BAI06-B
Procesos de la
GSI
SERVICE
CONFIGURATIO
N&
ACTIVATION
SERVICE
CONFIGURATIO
Zonas del Modelo
de madurez de la
GSI
Rojo 3
Rojo 3
Número de
incidentes de
seguridad de la
NO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Métricas
Número de
incidentes de
seguridad de la
información
relativos a los
cambios previos
necesarios para
realizar una
activación de un
servicio.
Estado del
Control
BAJO
BAJO
Estado Actual
de la Métrica
b) Establecer y mantener un modelo lógico de la
toda la infraestructura de la TELCO, segregado
por soluciones, registrar los elementos de
Plataforma de prepago de telefonía Movil, que
puede incluir, el proceso, la información, los
dispositivos, plataformas tecnológicas de
servicio, servidores, recurso humano y sistemas
de aprovisionamiento.
La propiedad o responsabilidad puede ser
asignada a:
- Proceso de negocio.
- Un definido conjunto de actividades.
- Una aplicación.
- Información.
- Plataformas tecnológicas de servicio o
dispositivos que cumplen una función.
- En el caso específico de las TELCO es
recomendable asignar soluciones completas
que cumplen una función por ejemplo:
- Asegurar que toda la información de los activos
tecnológicos que se usan para la configuración y
activación del servicio esté apropiadamente
clasificada.
- Definir revisiones periódicas a cargo de los
respectivos responsables de los controles de
acceso y la aplicación de las políticas de control
de seguridad establecidas.
a) Toda la información y los elementos de las
plataformas tecnológicas de servicio y los
sistemas de información deben tener asociado
un responsable que pertenezca a la TELCO,
para los recursos tecnológicos de
responsabilidad compartida especialmente entre
Sistemas de Información y Plataformas
tecnológicas de servicio se especificarán las
responsabilidades de cada área.
del servicio, así como los procedimientos a los
que afecta el cambio.
Guías de Implementación enfocado a la
Seguridad de la Información
112
Proceder con la
implementación de los
controles de GSI.
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Control
BAI06-C
Control
BAI06-D
Control
BAI04-A
SERVICE
CONFIGURATIO
N&
ACTIVATION
SERVICE
CONFIGURATIO
N&
ACTIVATION
Rojo 3
Rojo 3
Nombre
del
Control
Rojo 3
N&
ACTIVATION
Procesos de la
GSI
SERVICE
CONFIGURATIO
N&
ACTIVATION
Zonas del Modelo
de madurez de la
GSI
NO
IMPLEMENTA
DO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Estado del
Control
BAJO
BAJO
BAJO
Porcentaje de
cambios
realizados, que una
vez realizados han
dejado de
cumplirse controles
de seguridad
predefinidos.
Número de
activaciones de
nuevos servicio
que no se pudieron
realizar de
acuerdo a lo
planificado, por no
disponer de los
recursos
requeridos.
Estado Actual
de la Métrica
Porcentaje de
cambios
realizados, que una
vez realizados han
dejado de
cumplirse controles
de seguridad
predefinidos.
información
relativos a los
cambios previos
necesarios para
realizar una
activación de un
servicio.
Métricas
Acción a Seguir
Supervisar y revisar la disponibilidad y la
capacidad.
Revisar periódicamente el repositorio de
configuración y verificar la integridad y exactitud
con respecto al objetivo deseado.
d) Al ser las plataformas tecnológicas de servicio
y los sistemas de aprovisionamiento, accedidas
desde diferentes áreas funcionales, se deben
establecer los roles y permisos adecuados en
función de las necesidades de cada uno, los
cambios en estos roles y permisos tienen que
ser estrictamente controlados.
Definir y elaborar informes de configuración
sobre cambios en el estado de los elementos de
configuración.
a) El uso de los recursos de plataformas
tecnológicas que intervienen en la configuración
y activación de servicios, se debe monitorear y
optimizar, así como se debe también proyectar el
uso de los mismos en función de las tendencias
de uso y tomar acciones proactivas con otras
áreas para asegurar que en todo momento estén
disponibles y asignados los recursos técnicos
necesarios.
113
Proceder con la
implementación de los
controles de GSI.
Proceder con la
implementación de los
controles de GSI.
c) La información de configuraciones y
activaciones tiene que estar protegida de
accesos no autorizados. Específicamente en el
ámbito de las TELCO esta información forma
parte de los Sistemas de Gestión de plataformas
que son varios en función de la solución y del
Proceder con la
proveedor, por ende la protección de información
implementación de los
se implementa con una política adecuada de
controles de GSI.
gestión de contraseñas y controles de accesos
no autorizados.
configuración y las relaciones entre ellos.
Incluyendo los elementos de configuración
considerados necesarios para gestionar
eficazmente los servicios y proporcionar una
sola descripción fiable de los activos en un
servicio.
Guías de Implementación enfocado a la
Seguridad de la Información
Nombre
del
Control
Control
BAI10-A
Control
BAI09-A
Procesos de la
GSI
SM&O
SUPPORT
READINESS
SM&O
SUPPORT
READINESS
Zonas del Modelo
de madurez de la
GSI
Rojo 3
Rojo 3
NO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Estado del
Control
Estado Actual
de la Métrica
BAJO
BAJO
Métricas
Número de veces
que se ha revisado
y validado las
líneas de
referencia de
configuración de
seguridad para
dispositivos de
Telecomunicacione
s, en el último ciclo.
Número de
revisiones de los
requerimientos de
seguridad de la
información.
- Planificar y priorizar las implicaciones en la
disponibilidad, el rendimiento y la capacidad de
cambios en las necesidades de la TELCO y en
los requerimientos de servicio.
a) Todos los dispositivos que conforman la
infraestructura tecnológica necesaria para
proveer los servicios de telecomunicaciones a
los clientes, tienen que ser inventariados, definir
una configuración base de acuerdo al dispositivo
y hacer referencia a la funcionalidad en el
negocio, ubicación, conexiones con terceros,
capacidad utilizada ,esto aplica para equipos de
la red Core y de Acceso, al ser los dispositivos
de diferentes marcas, su inventario debería ser
llevado en un módulo automatizado dentro del
OSS.
a) Se debe obtener oportunamente la
información sobre las vulnerabilidades técnicas
de todos los dispositivos que forman parte de la
infraestructura que provee los servicios de
Telecomunicaciones.
Planificar para requisitos de servicios nuevos o
modificados.
- Abordar las desviaciones investigando y
resolviendo las cuestiones identificadas relativas
a disponibilidad, rendimiento y capacidad.
Investigar y abordar cuestiones de disponibilidad,
rendimiento y capacidad.
- Supervisar, medir, analizar, informar y revisar la
disponibilidad, el rendimiento y la capacidad.
- Identificar desviaciones respecto a la línea
base establecida.
- Revisar informes de análisis de tendencias
identificando cualquier cuestión y variación
significativa, iniciando acciones donde sea
necesario y asegurando que se realiza el
seguimiento de todas las cuestiones pendientes.
Guías de Implementación enfocado a la
Seguridad de la Información
114
Proceder con la
implementación de los
controles de GSI.
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Nombre
del
Control
Control
BAI06-A
Procesos de la
GSI
SM&O
SUPPORT
READINESS
Zonas del Modelo
de madurez de la
GSI
Rojo 3
NO
IMPLEMENTA
DO
Estado del
Control
Estado Actual
de la Métrica
BAJO
Métricas
Número de
cambios
relevantes,
requeridos
explícitamente por
la GSI.
- Si se debiera obtener el consentimiento del
vendedor.
- La posibilidad de obtener del vendedor los
cambios requeridos como actualizaciones del
software estándar.
- El impacto de si como resultado de los
cambios, la organización se hace responsable
del mantenimiento futuro del software base.
- Si son necesarios cambios, se debiera
mantener el software original y se debieran
aplicar los cambios en una copia claramente
identificada.
- Se debe implementar un proceso de gestión
de actualizaciones del software para asegurar
que la mayoría de los parches aprobados hasta
la-fecha y las actualizaciones de la aplicación se
instalen para todo software autorizado.
- Todos los cambios deben ser completamente
probados y documentados, de manera que
puedan ser reaplicados, si fuese necesario, a las
futuras actualizaciones del software.
- Si fuese requerido, las modificaciones deben
- La información específica necesaria para
apoyar la gestión de la vulnerabilidad técnica
incluye al proveedor del dispositivo y su
plataforma de gestión, versiones del software
base del dispositivo y la plataforma de gestión,
estado actual de uso, y las personas
responsables de los dispositivos dentro de la
organización.
a) En lo posible, se deben usar las versiones de
software base de los dispositivos de
telecomunicaciones originales suministrados por
los vendedores sin modificaciones, así como los
sistemas de gestión de las plataformas. En caso
de ser necesaria y posible la modificación de un
software base de un dispositivo, se debe
considerar:
- El inventario completo de los dispositivos es un
prerrequisito para la gestión efectiva de la
vulnerabilidad técnica.
Guías de Implementación enfocado a la
Seguridad de la Información
115
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Nombre
del
Control
Control
BAI06-A
Control
BAI06-A
Procesos de la
GSI
SM&O
SUPPORT
READINESS
SM&O
SUPPORT
READINESS
Zonas del Modelo
de madurez de la
GSI
Rojo 3
Rojo 3
BAJO
NO
IMPLEMENTA
DO
Número de
incidentes de
seguridad de la
BAJO
Número de
requerimientos de
seguridad de la
información que no
se han cumplido
después de realizar
cambios en la
Infraestructura
Tecnológica.
NO
IMPLEMENTA
DO
Estado Actual
de la Métrica
Métricas
Estado del
Control
- Si se debiera obtener el consentimiento del
vendedor.
- La posibilidad de obtener del vendedor los
cambios requeridos como actualizaciones del
software estándar.
- El impacto de si como resultado de los
cambios, la organización se hace responsable
del mantenimiento futuro del software base.
- Si son necesarios cambios, se debiera
mantener el software original y se debieran
aplicar los cambios en una copia claramente
identificada.
- Se debe implementar un proceso de gestión
de actualizaciones del software para asegurar
que la mayoría de los parches aprobados hasta
la-fecha y las actualizaciones de la aplicación se
instalen para todo software autorizado.
- Todos los cambios deben ser completamente
probados y documentados, de manera que
puedan ser reaplicados, si fuese necesario, a las
futuras actualizaciones del software.
- Si fuese requerido, las modificaciones deben
ser probadas y validadas por un organismo
de evaluación independiente.
- El riesgo de comprometer los controles
incorporados y los procesos de integridad.
a) En lo posible, se deben usar las versiones de
software base de los dispositivos de
telecomunicaciones originales suministrados por
a) En lo posible, se deben usar las versiones de
software base de los dispositivos de
telecomunicaciones originales suministrados por
los vendedores sin modificaciones, así como los
sistemas de gestión de las plataformas. En caso
de ser necesaria y posible la modificación de un
software base de un dispositivo, se debe
considerar:
ser probadas y validadas por un organismo
de evaluación independiente.
- El riesgo de comprometer los controles
incorporados y los procesos de integridad.
Guías de Implementación enfocado a la
Seguridad de la Información
116
Proceder con la
implementación de los
controles de GSI.
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Nombre
del
Control
Control
BAI06-A
Procesos de la
GSI
SM&O
SUPPORT
READINESS
Zonas del Modelo
de madurez de la
GSI
Rojo 3
NO
IMPLEMENTA
DO
Estado del
Control
Número de
incidentes de
seguridad de la
información de
Emergencia,
relativos a
cambios en
Infraestructura
Tecnológica.
información de
Emergencia,
relativos a los
cambios en el
entorno.
Métricas
BAJO
Estado Actual
de la Métrica
- Si se debiera obtener el consentimiento del
vendedor.
- Si se debiera obtener el consentimiento del
vendedor.
- La posibilidad de obtener del vendedor los
cambios requeridos como actualizaciones del
software estándar.
- El impacto de si como resultado de los
cambios, la organización se hace responsable
del mantenimiento futuro del software base.
- Si son necesarios cambios, se debiera
mantener el software original y se debieran
aplicar los cambios en una copia claramente
identificada.
- Se debe implementar un proceso de gestión
de actualizaciones del software para asegurar
que la mayoría de los parches aprobados hasta
la-fecha y las actualizaciones de la aplicación se
instalen para todo software autorizado.
- Todos los cambios deben ser completamente
probados y documentados, de manera que
puedan ser reaplicados, si fuese necesario, a las
futuras actualizaciones del software.
- Si fuese requerido, las modificaciones deben
ser probadas y validadas por un organismo
de evaluación independiente.
- El riesgo de comprometer los controles
incorporados y los procesos de integridad.
a) En lo posible, se deben usar las versiones de
software base de los dispositivos de
telecomunicaciones originales suministrados por
los vendedores sin modificaciones, así como los
sistemas de gestión de las plataformas. En caso
de ser necesaria y posible la modificación de un
software base de un dispositivo, se debe
considerar:
los vendedores sin modificaciones, así como los
sistemas de gestión de las plataformas. En caso
de ser necesaria y posible la modificación de un
software base de un dispositivo, se debe
considerar:
Guías de Implementación enfocado a la
Seguridad de la Información
117
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Nombre
del
Control
Control
BAI09-B
Procesos de la
GSI
SM&O
SUPPORT
READINESS
Zonas del Modelo
de madurez de la
GSI
Rojo 3
Métricas
Número de activos
no autorizados
identificados.
Estado del
Control
NO
IMPLEMENTA
DO
BAJO
Estado Actual
de la Métrica
- Se debe identificar los recursos de información
que se utilizarán para identificar las
vulnerabilidades técnicas relevantes y mantener
- La organización debe definir y establecer los
roles y responsabilidades asociadas con la
gestión de la vulnerabilidad técnica;
incluyendo el monitoreo de la vulnerabilidad,
evaluación del riesgo de la vulnerabilidad,
monitoreo de dispositivos y cualquier
responsabilidad de coordinación requerida.
- La posibilidad de obtener del vendedor los
cambios requeridos como actualizaciones del
software estándar.
- El impacto de si como resultado de los
cambios, la organización se hace responsable
del mantenimiento futuro del software base.
- Si son necesarios cambios, se debiera
mantener el software original y se debieran
aplicar los cambios en una copia claramente
identificada.
- Se debe implementar un proceso de gestión
de actualizaciones del software para asegurar
que la mayoría de los parches aprobados hasta
la-fecha y las actualizaciones de la aplicación se
instalen para todo software autorizado.
- Todos los cambios deben ser completamente
probados y documentados, de manera que
puedan ser reaplicados, si fuese necesario, a las
futuras actualizaciones del software.
- Si fuese requerido, las modificaciones deben
ser probadas y validadas por un organismo
de evaluación independiente.
- El riesgo de comprometer los controles
incorporados y los procesos de integridad.
b) Se debe tomar la acción apropiada y
oportuna en respuesta a la identificación de
vulnerabilidades técnicas potenciales a cargo
del responsable del proceso. Se debe seguir el
siguiente lineamiento para establecer un proceso
de gestión efectivo para las vulnerabilidades
técnicas:
Guías de Implementación enfocado a la
Seguridad de la Información
118
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Zonas del Modelo
de madurez de la
GSI
Procesos de la
GSI
Nombre
del
Control
Estado del
Control
Métricas
Estado Actual
de la Métrica
o Desconectar los servicios o capacidades
relacionadas con la vulnerabilidad.
o Adaptar o agregar controles de acceso.
o Mayor monitoreo para detectar o evitar ataques
reales.
o Elevar la conciencia acerca de la
- Los parches se deben probar y evaluar en un
ambiente controlado antes de aplicarlos para
asegurar que solventen la vulnerabilidad y no
desencadenen efectos secundarios no
tolerables; si el parche no está disponible, se
pueden considerar otros controles:
- Si es posible aplicar un parche, se debe
evaluar los riesgos asociados con la aplicación
del mismo, en este punto es importante
comparar los riesgos impuestos por la
vulnerabilidad con el riesgo de aplicar el parche
a los dispositivos o sistemas de gestión.
- Dependiendo de la criticidad con que se
necesita tratar la vulnerabilidad técnica, la
acción a tomarse debe realizarse de acuerdo a
los controles relacionados con la gestión de
cambios o siguiendo los procedimientos de
respuesta ante
- incidentes de seguridad de la información
definidos.
- Una vez que se identifica la vulnerabilidad
técnica potencial, la organización debe identificar
los riesgos asociados y las acciones a
tomarse; dicha acción puede implicar aplicar
parches al software base de dispositivos o
sistemas de gestión de plataformas vulnerables
y/o la aplicación de otros controles.
la conciencia sobre ellas para los dispositivos y
otras tecnologías, se debe definir una línea de
tiempo para reaccionar a las notificaciones
de vulnerabilidades técnicas potencialmente
relevantes.
Guías de Implementación enfocado a la
Seguridad de la Información
119
Acción a Seguir
Nombre
del
Control
Control
APO09-A
Procesos de la
GSI
SERVICE
CONFIGURATIO
N&
ACTIVATION
Zonas del Modelo
de madurez de la
GSI
Rojo 3
NO
IMPLEMENTA
DO
Estado del
Control
Estado Actual
de la Métrica
MEDIO
Métricas
Porcentaje de
controles de
seguridad que
están establecidos
pero que no se
cumplen en el
proceso de
configuración y
activación del
servicio.
Hacer seguimiento e informar de cambios de
- Gestionar cuidadosamente los cambios de
emergencia para minimizar futuras incidencias y
asegurar que el cambio está controlado y se
realiza de forma segura.
- Verificar que los cambios de emergencia son
evaluados debidamente y autorizados de una
vez hecho el cambio.
Gestionar cambios de emergencia.
- Evaluar todas las peticiones de cambio para
determinar su impacto en los procesos de
negocio y los servicios TI, y analizar si el
cambio afectará negativamente al entorno
operativo e introducirá un riesgo inaceptable.
- Asegurar que los cambios son registrados,
priorizados, categorizados, analizados,
autorizados, planificados y programados.
Evaluar, priorizar y autorizar peticiones de
cambio.
- El correcto funcionamiento del proceso de
gestión de la vulnerabilidad técnica aplicado a
la infraestructura que provee los servicios a los
clientes es crítica para evitar el fraude por tanto,
debe ser monitoreado regularmente.
a) Los cambios a nivel de plataformas
tecnológicas y/o sistemas de información
requeridos para la configuración y activación de
servicios tiene que ser debidamente controlada,
tomando e cuanta los siguientes aspectos:
vulnerabilidad.
o Mantener un registro de auditoría de todos los
procedimientos realizados; el proceso de gestión
de vulnerabilidad técnica debiera ser
monitoreado y
o Evaluado regularmente para asegurar su
efectividad y eficacia; se debieran tratar primero
los sistemas en alto riesgo.
Guías de Implementación enfocado a la
Seguridad de la Información
120
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Nombre
del
Control
Control
BAI10-A
Control
BAI10-B
Control
BAI10-C
Procesos de la
GSI
SERVICE
CONFIGURATIO
N&
ACTIVATION
SERVICE
CONFIGURATIO
N&
ACTIVATION
SERVICE
CONFIGURATIO
Zonas del Modelo
de madurez de la
GSI
Rojo 3
Rojo 3
Rojo 3
Número cambios
de configuración
detectados en
NO
IMPLEMENTA
DO
MEDIO
MEDIO
NO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Número cambios
de configuración
detectados en
recursos de
plataformas
tecnológicas de
servicio que no
tienen registro de
motivo ni
responsable del
cambio.
Estado Actual
de la Métrica
MEDIO
Métricas
Número cambios
de configuración
detectados en
recursos de
plataformas
tecnológicas de
servicio que no
tienen registro de
motivo ni
responsable del
cambio.
Estado del
Control
- Reportes de incidencias y problemas de
seguridad de la información referentes a cada
servicio.
- Monitorear el cumplimiento de los acuerdos de
nivel de servicio.
- Revisión en plataforma técnica de eventos de
error y alertas que pudieren estar generando
fallos, micro cortes o problemas operacionales.
c) Todo cambio o modificación que se deba
realizar con el propósito de realizar activaciones
de nuevos servicios, debe ser debidamente
b) Se debe monitorear por medio de reportes
que los controles de seguridad establecidos para
cada servicio se cumplan de acuerdo a lo
establecido, para el efecto se requiere:
a) Se deben definir los controles de seguridad a
cumplir para cada entrega de servicio estándar
de la TELCO y en caso de entregas de servicio
personalizado, se debe determinar si hay
controles de seguridad adicionales que se deben
cumplir.
- Siempre que el cambio haya sido
implementado, actualizar, de manera
consecuente, la documentación de la solución y
del servicio, así como los procedimientos a los
que afecta el cambio.
Cerrar y documentar los cambios.
- Mantener un sistema de seguimiento e informe
que documente los cambios rechazados,
comunique el estado de cambios aprobados y
en proceso y de cambios completados.
- Asegurar que los cambios aprobados son
implementados como esté previsto
estado.
Guías de Implementación enfocado a la
Seguridad de la Información
121
Proceder con la
implementación de los
controles de GSI.
Proceder con la
implementación de los
controles de GSI.
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Rojo 3
Zonas del Modelo
de madurez de la
GSI
SM&O
SUPPORT
READINESS
N&
ACTIVATION
Procesos de la
GSI
Control
BAI09-B
Nombre
del
Control
NO
IMPLEMENTA
DO
Estado del
Control
Porcentaje de
activos con
propietarios
asignados.
recursos de
plataformas
tecnológicas de
servicio que no
tienen registro de
motivo ni
responsable del
cambio.
Métricas
MEDIO
Estado Actual
de la Métrica
- Se debe identificar los recursos de información
que se utilizarán para identificar las
vulnerabilidades técnicas relevantes y mantener
la conciencia sobre ellas para los dispositivos y
otras tecnologías, se debe definir una línea de
tiempo para reaccionar a las notificaciones
de vulnerabilidades técnicas potencialmente
relevantes.
- La organización debe definir y establecer los
roles y responsabilidades asociadas con la
gestión de la vulnerabilidad técnica;
incluyendo el monitoreo de la vulnerabilidad,
evaluación del riesgo de la vulnerabilidad,
monitoreo de dispositivos y cualquier
responsabilidad de coordinación requerida.
- Cambios hechos por la organización para
implementar mejoras en el actual servicio.
- Desarrollo de nueva aplicación a nivel de
sistemas de información.
- Nuevos controles para resolver incidentes o
problemas de GSI.
- Incrementos de capacidad técnica de redes de
servicio.
- Uso de nuevas tecnologías.
- Aplicación de nuevos firmwares en plataformas
tecnológicas.
- Cambios físicos de equipos.
- Cambios de proveedor de plataformas
tecnológicas.
b) Se debe tomar la acción apropiada y
oportuna en respuesta a la identificación de
vulnerabilidades técnicas potenciales a cargo
del responsable del proceso. Se debe seguir el
siguiente lineamiento para establecer un proceso
de gestión efectivo para las vulnerabilidades
técnicas:
gestionado de acuerdo
a la criticidad de los servicios y la plataforma
tecnológica que estará sujeta a cambios, estos
cambios pueden incluir:
Guías de Implementación enfocado a la
Seguridad de la Información
122
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
Zonas del Modelo
de madurez de la
GSI
Procesos de la
GSI
Nombre
del
Control
Estado del
Control
Métricas
Estado Actual
de la Métrica
o Desconectar los servicios o capacidades
relacionadas con la vulnerabilidad.
o Adaptar o agregar controles de acceso.
o Mayor monitoreo para detectar o evitar ataques
reales.
o Elevar la conciencia acerca de la
vulnerabilidad.
o Mantener un registro de auditoría de todos los
procedimientos realizados; el proceso de gestión
de vulnerabilidad técnica debiera ser
monitoreado y
- Los parches se deben probar y evaluar en un
ambiente controlado antes de aplicarlos para
asegurar que solventen la vulnerabilidad y no
desencadenen efectos secundarios no
tolerables; si el parche no está disponible, se
pueden considerar otros controles:
- Si es posible aplicar un parche, se debe
evaluar los riesgos asociados con la aplicación
del mismo, en este punto es importante
comparar los riesgos impuestos por la
vulnerabilidad con el riesgo de aplicar el parche
a los dispositivos o sistemas de gestión.
- Dependiendo de la criticidad con que se
necesita tratar la vulnerabilidad técnica, la
acción a tomarse debe realizarse de acuerdo a
los controles relacionados con la gestión de
cambios o siguiendo los procedimientos de
respuesta ante
- incidentes de seguridad de la información
definidos.
- Una vez que se identifica la vulnerabilidad
técnica potencial, la organización debe identificar
los riesgos asociados y las acciones a
tomarse; dicha acción puede implicar aplicar
parches al software base de dispositivos o
sistemas de gestión de plataformas vulnerables
y/o la aplicación de otros controles.
Guías de Implementación enfocado a la
Seguridad de la Información
123
Acción a Seguir
Nombre
del
Control
Control
BAI10-B
Control
BAI10-C
Control
MEA03-1
Procesos de la
GSI
SM&O
SUPPORT
READINESS
SM&O
SUPPORT
READINESS
REGULATORY
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Rojo 3
Rojo 3
Amarillo 2
NO
IMPLEMENTA
DO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Estado del
Control
Número de
sanciones o multas
considerables que
ha tenido la
TELCO.
Número de
discrepancias entre
las líneas de
referencia de
configuración de
seguridad
establecidas y las
configuraciones
reales.
Número de
discrepancias entre
las líneas de
referencia de
configuración de
seguridad
establecidas y las
configuraciones
reales.
Métricas
BAJO
MEDIO
MEDIO
Estado Actual
de la Métrica
El dueño del proceso de Gestión de las
Regulaciones, es el responsable de los
enunciados de la política de seguridad respecto
a temas de cumplimiento, el mismo que debe
coordinar con el ISM para la actualización y
difusión de la política de seguridad de la
124
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Proceder con la
implementación de los
controles de GSI.
c) Todos los movimientos, traslados, cambios de
funcionalidad o cualquier tipo de actualización de
los dispositivos tienen que generar un registro
histórico accesible.
a) La política de seguridad de la información,
respecto a temas de cumplimiento de un marco
regulatorio tiene que ser revisada y actualizada
de forma constante para evaluar si es idónea y
efectiva respecto a las modificaciones realizadas
en el marco regulatorio vigente.
Proceder con la
implementación de los
controles de GSI.
Acción a Seguir
b) Los dispositivos que componen la
infraestructura, deben ser clasificados en
términos de su funcionalidad, valor para el
negocio, requerimientos legales, y nivel de
criticidad para la organización, con el objetivo de
identificar los dispositivos que necesitan ser
protegidos de forma especial.
- El correcto funcionamiento del proceso de
gestión de la vulnerabilidad técnica aplicado a
la infraestructura que provee los servicios a los
clientes es crítica para evitar el fraude por tanto,
debe ser monitoreado regularmente.
o Evaluado regularmente para asegurar su
efectividad y eficacia; se debieran tratar primero
los sistemas en alto riesgo.
Guías de Implementación enfocado a la
Seguridad de la Información
Nombre
del
Control
Control
MEA01-A
Procesos de la
GSI
REGULATORY
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Amarillo 2
Estado Actual
de la Métrica
MEDIO
Métricas
Número de
aspectos sujetos a
regulación, que no
están siendo
gestionados.
Estado del
Control
NO
IMPLEMENTA
DO
- Contratos de Concesiones de espectro
radioeléctrico.
- Regulaciones establecidas por la SENATEL,
respecto a las licencias de los servicios de
telecomunicaciones que se provee y normas de
implementación.
- Convenios de Intercambio de tráfico con otras
TELCOS, nacionales o Internacionales.
- Tarifas, calidad y cobertura de Servicios.
- Requerimientos de Interoperabilidad y
portabilidad.
- Régimen tributario.
- Modificaciones en la política de seguridad de la
Información respecto a cumplimiento.
- Mejoras en la asignación de recursos y
responsabilidades.
a) Todos los estatutos, regulaciones y
requerimientos contractuales que debe cumplir
obligatoriamente la TELCO, deben ser
explícitamente definidos, documentados y
actualizados, esto incluye pero no se limita a los
siguientes:
Información de Salida:
- Feedback de partes o unidades funcionales
interesadas.
- Alertas y sugerencias generadas por auditorías
internas y externas.
- Modificaciones contractuales, de regulación o
condiciones legales recientes.
- Reportes de sanciones de la SUPERTEL hacia
otras TELCO ecuatorianas.
- Recomendaciones recibidas de autoridades
relevantes de la TELCO.
Información de Entrada:
información, en caso de modificaciones
relacionadas con cumplimiento del marco
regulatorio.
Guías de Implementación enfocado a la
Seguridad de la Información
125
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Acción a Seguir
Nombre
del
Control
Control
MEA01-A
Control
MEA01-B
Control
MEA01-C
Control
MEA03-1
Procesos de la
GSI
REGULATORY
MANAGEMENT
REGULATORY
MANAGEMENT
REGULATORY
MANAGEMENT
REGULATORY
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Amarillo 2
Amarillo 2
Amarillo 2
Amarillo 2
Estado Actual
de la Métrica
MEDIO
MEDIO
MEDIO
MEDIO
Métricas
Número de
aspectos sujetos a
regulación, que no
están siendo
gestionados.
Número de
aspectos sujetos a
regulación, que no
están siendo
gestionados.
Número de
aspectos sujetos a
regulación, que no
están siendo
gestionados.
Número de
sanciones o multas
leves que ha tenido
la TELCO.
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Estado del
Control
Acción a Seguir
- Feedback de partes o unidades funcionales
interesadas.
- Alertas y sugerencias generadas por auditorías
Información de Entrada:
El dueño del proceso de Gestión de las
Regulaciones, es el responsable de los
enunciados de la política de seguridad respecto
a temas de cumplimiento, el mismo que debe
coordinar con el ISM para la actualización y
difusión de la política de seguridad de la
información, en caso de modificaciones
relacionadas con cumplimiento del marco
regulatorio.
a) Se deben implementar los procedimientos y
responsables apropiados para asegurar el
continuo cumplimiento de leyes, regulaciones y
requerimientos contractuales en la TELCO.
126
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Completar la
b) La organización debe asegurar disponer de la
implementación de los
capacidad suficiente de recursos tecnológicos,
controles de GSI y hacer
para asegurar la continuidad del servicio y
una validación de la
cumplir los acuerdos mínimos de servicio y
correcta implementación
cobertura en caso de fallos graves o desastres
de los controles ya
naturales
aplicados.
c) Cuando se recibe un requerimiento de
Completar la
información de un ente externo para
implementación de los
evaluaciones de cumplimiento, se debe definir y controles de GSI y hacer
aplicar un procedimiento de validación para
una validación de la
determinar que la petición está hecha a través
correcta implementación
del legítimo proceso o procedimiento, de acuerdo de los controles ya
a las leyes gubernamentales establecidas.
aplicados.
a) La política de seguridad de la información,
respecto a temas de cumplimiento de un marco
regulatorio tiene que ser revisada y actualizada
de forma constante para evaluar si es idónea y
efectiva respecto a las modificaciones realizadas
en el marco regulatorio vigente.
Guías de Implementación enfocado a la
Seguridad de la Información
Nombre
del
Control
Control
MEA03-1
Procesos de la
GSI
REGULATORY
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Amarillo 2
Estado Actual
de la Métrica
ALTO
Métricas
Número de
sanciones o multas
graves que ha
tenido la TELCO.
Estado del
Control
NO
IMPLEMENTA
DO
Información de Salida:
Información de Entrada:
- Feedback de partes o unidades funcionales
interesadas.
- Alertas y sugerencias generadas por auditorías
internas y externas.
- Modificaciones contractuales, de regulación o
condiciones legales recientes.
- Reportes de sanciones de la SUPERTEL hacia
otras TELCO ecuatorianas.
- Recomendaciones recibidas de autoridades
relevantes de la TELCO.
El dueño del proceso de Gestión de las
Regulaciones, es el responsable de los
enunciados de la política de seguridad respecto
a temas de cumplimiento, el mismo que debe
coordinar con el ISM para la actualización y
difusión de la política de seguridad de la
información, en caso de modificaciones
relacionadas con cumplimiento del marco
regulatorio.
Información de Salida:
- Modificaciones en la política de seguridad de la
Información respecto a cumplimiento.
- Mejoras en la asignación de recursos y
responsabilidades.
a) La política de seguridad de la información,
respecto a temas de cumplimiento de un marco
regulatorio tiene que ser revisada y actualizada
de forma constante para evaluar si es idónea y
efectiva respecto a las modificaciones realizadas
en el marco regulatorio vigente.
internas y externas.
- Modificaciones contractuales, de regulación o
condiciones legales recientes.
- Reportes de sanciones de la SUPERTEL hacia
otras TELCO ecuatorianas.
- Recomendaciones recibidas de autoridades
relevantes de la TELCO.
Guías de Implementación enfocado a la
Seguridad de la Información
127
Completar la
implementación de los
controles de GSI y hacer
una validación de la
correcta implementación
de los controles ya
aplicados.
Acción a Seguir
Nombre
del
Control
Control
MEA02-A
Control
DSS06-A
Procesos de la
GSI
AUDIT
MANAGEMENT
FRAUD
MANAGEMENT
Zonas del Modelo
de madurez de la
GSI
Verde 1
Verde 1
Estado Actual
de la Métrica
BAJO
MEDIO
Métricas
Número de
revisiones
independientes de
la GSI que fueron
realizadas de
forma programada
en el presente
período.
Número de casos
de Fraude
detectados por
falta de
segregación de
funciones o
estructuras
organizativas
ambiguas.
Estado del
Control
NO
IMPLEMENTA
DO
NO
IMPLEMENTA
DO
Completar la
implementación de
controles de GSI.
128
Acción a Seguir
a) Se debe identificar las funciones en la
TELCO, en las que por su naturaleza sea
Completar la
factible cometer Fraude y separarlas de tal forma implementación de
que se implemente un control mutuo entre las
controles de GSI.
funciones o áreas separadas.
- Esta revisión tiene que ser realizada
periódicamente, bajo demanda, en caso de un
requerimiento de la alta gerencia o cuando han
ocurridos cambios significativos en la GSI.
- Estas revisiones buscan asegurar la continua
idoneidad y efectividad en la implementación de
la GSI, la revisión puede contemplar el
aprovechar oportunidades y/o la necesidad de
cambios en el enfoque de la GSI, incluso las
políticas y los controles.
- Informar a los líderes y obtener su apoyo, su
aceptación y su compromiso.
- Guiar las estructuras, procesos y prácticas
para la GSI en línea con los principios, modelos
para la toma de decisiones y niveles de
autoridad y control (incluye auditorias)
diseñados.
- Modificaciones en la política de seguridad de la
Información respecto a cumplimiento.
- Mejoras en la asignación de recursos y
responsabilidades.
a) En base a la Política de la GSI, la
implementación de la misma debe ser revisada
de forma independiente para garantizar que las
prácticas en la TELCO reflejen adecuadamente
la aplicación de las Políticas de GSI
establecidas. Esta revisión puede ser llevada a
cabo por la función de auditoría de la TELCO,
pero externa a la GSI, por un gerente
independiente especializado en revisiones de
esta índole. Esta función auditora puede ser
también un ente externo especializado.
Guías de Implementación enfocado a la
Seguridad de la Información
ALTO
Porcentajes de
casos de Fraude
confirmados.
Control
BAI04-B
FRAUD
MANAGEMENT
Verde 1
ALTO
IMPLEMENTA
DO
IMPLEMENTA
DO
Número de alertas
generadas de
posibles casos de
Fraude.
Control
BAI04-A
FRAUD
MANAGEMENT
Verde 1
ALTO
Porcentajes de
casos de Fraude
solventados por
CSIRT.
NO
IMPLEMENTA
DO
Control
BAI04-B
FRAUD
MANAGEMENT
Verde 1
ALTO
Verde 1
Porcentajes de
casos de Fraude
solventados por
CSIRT.
NO
IMPLEMENTA
DO
Control
BAI04-A
FRAUD
MANAGEMENT
ALTO
Porcentajes de
casos de Fraude
mitigados
localmente.
NO
IMPLEMENTA
DO
Control
BAI04-C
FRAUD
MANAGEMENT
Verde 1
MEDIO
IMPLEMENTA
DO
Control
EDM05-A
AUDIT
MANAGEMENT
Verde 1
Número de
incidentes de
seguridad
relacionados a fuga
de información
confidencial
detectados en el
presente período.
Verde 1
MEDIO
IMPLEMENTA
DO
Control
DSS06-B
Número de casos
de Fraude
detectados por
falta de
segregación de
funciones o
estructuras
organizativas
ambiguas.
FRAUD
MANAGEMENT
Estado Actual
de la Métrica
Métricas
Estado del
Control
Nombre
del
Control
Procesos de la
GSI
Zonas del Modelo
de madurez de la
GSI
Completar la
implementación de
controles de GSI.
a) Conformar y capacitar un equipo técnico
especializado en gestión de Incidentes de
Seguridad en Plataformas Tecnológicas de
Servicio y Tecnologías de Información, para
atender los casos comprobados de Fraude.
b) Formar parte de un CSIRT de
Telecomunicaciones de primer nivel, para
intercambiar Información y mantenerse a la
vanguardia de herramientas de identificación y
mitigación de Fraude en las TELCO.
a) Se debe monitorear las tendencias de uso de
capacidad de las plataformas de
Telecomunicaciones y establecer alarmas en
caso disminuciones abruptas de capacidad, se
recomienda la automatización de esta función.
b) En caso de cambios de tendencia de uso de
capacidad se deben abrir casos de investigación
de posible fraude.
Completar la
implementación de
controles de GSI.
Completar la
implementación de
controles de GSI.
Completar la
implementación de
controles de GSI.
Completar la
implementación de
controles de GSI.
c) Los casos de posible fraude debe contrastar el Completar la
uso de la capacidad de los recursos
implementación de
tecnológicos, con las ventas y la facturación.
controles de GSI.
La función auditora de la organización debe
contar con el apoyo de la Gestión de Recursos
Humanos o cualquier otra unidad funcional de la
organización para llevar a cabo esta labor.
129
Acción a Seguir
a) Se debe identificar los funcionarios,
proveedores o entes externos que por su
interacción con la TELCO, manejan información
sensible para la organización, evaluar y definir si
amerita generar un acuerdo de confidencialidad
Completar la
y los términos específicos de acuerdo al tipo de
implementación de
información sensible que se maneje.
controles de GSI.
b) Si a pesar de la segregación de funciones
existe el riesgo de conspiración en determinados
procesos, se debe definir el procedimiento de
control y la frecuencia de revisión para que
Auditoría lo tenga presente.
Guías de Implementación enfocado a la
Seguridad de la Información
Completar la
implementación de
controles de GSI.
- La definición de la información a ser protegida.
- Duración del acuerdo, incluido los casos donde
la confidencialidad puede ser necesaria
mantenerla de forma indefinida.
- Acciones requeridas cuando el acuerdo finaliza.
Completar la
- Responsabilidades y acciones de las partes
implementación de
para evitar divulgación no autorizada de
controles de GSI.
información.
- Propiedad de la información, secretos
comerciales y propiedad intelectual y como estos
protegen la confidencialidad de la información.
- Procesos de notificación y reporte divulgación
no autorizada de información confidencial.
- Términos para la información que tiene que ser
retornada o destruida al final del acuerdo.
- Acciones y penalización que serán tomadas en
caso de no cumplimiento del acuerdo de
confidencialidad.
La función auditora de la organización debe
contar con el apoyo de la Gestión de Recursos
Humanos o cualquier otra unidad funcional de la
organización para llevar a cabo esta labor.
b) Los acuerdos de confidencialidad y no
divulgación de la información deben reflejar las
necesidades de protección de la organización y
deben ser regularmente revisadas, para el efecto
se debe considerar:
130
Acción a Seguir
a) Se debe identificar los funcionarios,
proveedores o entes externos que por su
interacción con la TELCO, manejan información
sensible para la organización, evaluar y definir si
amerita generar un acuerdo de confidencialidad
Completar la
y los términos específicos de acuerdo al tipo de
implementación de
información sensible que se maneje.
controles de GSI.
d) Si se detecta un caso de Fraude, se lo debe
exponer en el ISSC, donde se establecerán las
prioridades y acciones para solventar el caso.
Guías de Implementación enfocado a la
Seguridad de la Información
Tabla 5-10 Plan de acción propuesto, Grupo TVCable. [14]
ALTO
NO
IMPLEMENTA
DO
Control
EDM05-B
AUDIT
MANAGEMENT
Número de
incidentes de
Seguridad de la
Información
relacionados a
divulgación de
Información, no
contemplados en
los acuerdos de
Confidencialidad
formalizados.
Verde 1
ALTO
IMPLEMENTA
DO
Control
EDM05-A
AUDIT
MANAGEMENT
Verde 1
Número de
cambios
significativos
realizados en la
organización de la
GSI.
Estado Actual
de la Métrica
ALTO
Métricas
Porcentajes de
casos de Fraude
escalados a
CSIRT.
NO
IMPLEMENTA
DO
Control
BAI04-D
FRAUD
MANAGEMENT
Verde 1
Estado del
Control
Nombre
del
Control
Procesos de la
GSI
Zonas del Modelo
de madurez de la
GSI
131
5.2.2. ACT (ACCIONES Y/O MEJORAS).
Es oportuno racionalizar que siendo la primera iteración de la Metodología de GSI
y no disponer de una planificación previa que establezca un estado anterior y un
estado previsto al final del ciclo (Tabla 3-8), tanto para las métricas de la GSI como
para las zonas de madurez de los procesos, las acciones de mejora se toman tal
cual el Plan de Acción lo propone, el mismo que se desprende de la ejecución del
Modelo de Madurez en la fase anterior CHECK/ STUDY (Tabla 5-10), el cual
prioriza la implementación de controles de GSI de acuerdo a la prioridad de la zona
de madurez de cada proceso y como segundo criterio, ordena los controles de
GSI de una misma zona de madurez, desde bajo hacia alto según la calidad de su
implementación.
5.2.3. PLAN (PLANIFICAR).
De acuerdo a lo documentado en la sección 3.1.6.1, esta fase, en la primera
iteración de la Metodología de GSI, equivale a la planificación de la implementación
de la Metodología y la previsión de resultados en función de métricas y zonas de
madurez de los procesos. Los resultados de la evaluación del caso de estudio se
ven reflejados en la Tabla 5-11, que detalla la planificación de mejoras
recomendadas para el Grupo TVCable y la Tabla 5-12, que detalla el estado
deseado que el Grupo TVCable debe alcanzar en la siguiente iteración de la
Metodología de GSI.
Fecha
01/04/2015
06/04/2015
08/04/2015
11/04/2015
13/04/2015
03/05/2015
08/05/2015
09/05/2015
10/05/2015
30/05/2015
04/06/2015
Nro.
1
2
3
4
5
6
7
8
9
10
11
Organización de la GSI
Inicio de
Implementación de
procesos de GSI.
Hito
Fecha de Inicio del Proyecto:
3
2
Definición de Política de Seguridad de la Información en el Grupo TVCable
Reuniones de comités de la GSI, previa a la implementación de los procesos de la GSI.
y hacer una validación de la correcta
y hacer una validación de la correcta
y hacer una validación de la correcta
y hacer una validación de la correcta
Control DSS02-D
implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT -
Completar la implementación de los controles de GSI
Control DSS01-A
implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT -
Completar la implementación de los controles de GSI
Control MEA03-A
implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT -
Completar la implementación de los controles de GSI
Control MEA03-B
implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT -
Completar la implementación de los controles de GSI
Control DSS02-B
implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT -
Completar la implementación de los controles de GSI
y hacer una validación de la correcta
implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT Control DSS02-A
5
20
1
1
5
20
2
Mapeo formal de procesos de GSI con los procesos equivalentes del Grupo TVCable.
y hacer una validación de la correcta
5
Formalizar la Estructura Organizacional.
Completar la implementación de los controles de GSI
1
Duración
en Días
Fecha de Inicio del Proyecto
Nombre de Actividad
01/04/2015
PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE.
Paralela
Secuencial
Paralela
Paralela
Paralela
Paralela
Secuencial
Secuencial
Secuencial
Secuencial
Secuencial
Tipo de
Actividad
132
Fecha
09/06/2015
14/06/2015
19/06/2015
24/06/2015
29/06/2015
04/07/2015
24/07/2015
29/07/2015
03/08/2015
08/08/2015
13/08/2015
18/08/2015
Nro.
12
13
14
15
16
17
18
19
20
21
22
23
y hacer una validación de la correcta
Control DSS02-C
implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT -
Completar la implementación de los controles de GSI
Nombre de Actividad
01/04/2015
READINESS - Control BAI06-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
READINESS - Control BAI06-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
READINESS - Control BAI09-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
READINESS - Control BAI10-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
CONFIGURATION & ACTIVATION - Control BAI04-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control BAI06-D
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control BAI06-C
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control BAI06-B
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control BAI06-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control APO09-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
Completar la implementación de los controles de GSI y hacer una validación de la correcta
Implementación Mejoras implementación de los controles ya aplicados.: Proceso de la GSI - BILL INVOICE MANAGEMENT a Zona Rojo 2
Control DSS02-D
Hito
Fecha de Inicio del Proyecto:
PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE.
5
5
5
5
5
20
5
5
5
5
5
5
Duración
en Días
Paralela
Paralela
Paralela
Paralela
Paralela
Secuencial
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Tipo de
Actividad
133
Fecha
23/08/2015
28/08/2015
17/09/2015
22/09/2015
27/09/2015
02/10/2015
07/10/2015
12/10/2015
17/10/2015
22/10/2015
27/10/2015
01/11/2015
Nro.
24
25
26
27
28
29
30
31
32
33
34
35
READINESS - Control BAI10-B
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
READINESS - Control BAI09-B
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
CONFIGURATION & ACTIVATION - Control BAI10-C
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control BAI10-B
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control BAI10-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
CONFIGURATION & ACTIVATION - Control APO09-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SERVICE
READINESS - Control BAI09-B
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
READINESS - Control BAI06-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
READINESS - Control BAI06-A
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
Nombre de Actividad
01/04/2015
y hacer una validación de la correcta
y hacer una validación de la correcta
Control MEA01-A
implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT -
Completar la implementación de los controles de GSI
Control MEA03-1
implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT -
Completar la implementación de los controles de GSI
Proceder con la implementación de los controles de GSI.: Proceso de la GSI - SM&O SUPPORT
Implementación Mejoras
a Zona Rojo 3
READINESS - Control BAI10-C
Hito
Fecha de Inicio del Proyecto:
PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE.
5
5
5
5
5
5
5
5
5
20
5
5
Duración
en Días
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Secuencial
Paralela
Paralela
Tipo de
Actividad
134
Fecha
21/11/2015
26/11/2015
01/12/2015
06/12/2015
11/12/2015
16/12/2015
21/12/2015
10/01/2016
15/01/2016
20/01/2016
Nro.
36
37
38
39
40
41
42
43
44
45
y hacer una validación de la correcta
y hacer una validación de la correcta
y hacer una validación de la correcta
y hacer una validación de la correcta
Control MEA03-1
implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT -
Completar la implementación de los controles de GSI
Control MEA01-C
implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT -
Completar la implementación de los controles de GSI
Control MEA01-B
implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT -
Completar la implementación de los controles de GSI
Control MEA01-A
implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT -
Completar la implementación de los controles de GSI
Nombre de Actividad
01/04/2015
Control BAI04-C
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
EDM05-A
Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control
Control DSS06-B
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
Control DSS06-A
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
MEA02-A
Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control
Completar la implementación de los controles de GSI y hacer una validación de la correcta
Implementación Mejoras implementación de los controles ya aplicados.: Proceso de la GSI - REGULATORY MANAGEMENT a Zona Amarillo 2
Control MEA03-1
Hito
Fecha de Inicio del Proyecto:
PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE.
5
5
20
5
5
5
5
5
5
20
Duración
en Días
Paralela
Paralela
Secuencial
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Secuencial
Tipo de
Actividad
135
Fecha
25/01/2016
30/01/2016
04/02/2016
09/02/2016
14/02/2016
19/02/2016
24/02/2016
25/02/2016
26/02/2016
28/02/2016
Nro.
46
47
48
49
50
51
52
53
54
55
EDM05-A
Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control
Control BAI04-D
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
Control BAI04-B
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
Control BAI04-A
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
Control BAI04-B
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
Control BAI04-A
Completar la implementación de controles de GSI.: Proceso de la GSI - FRAUD MANAGEMENT -
Nombre de Actividad
01/04/2015
2
1
Fecha de Cierre del Proyecto
Tabla 5-12 Planificación de mejoras recomendado, Grupo TVCable. [14]
Fin Implementación de
procesos de GSI.
1
Análisis de resultados obtenidos.
5
5
5
5
5
5
5
Duración
en Días
Reuniones de comités de la GSI, posterior a la implementación de los procesos de la GSI.
Completar la implementación de controles de GSI.: Proceso de la GSI - AUDIT MANAGEMENT - Control
Implementación Mejoras
a Zona Verde 1
EDM05-B
Hito
Fecha de Inicio del Proyecto:
PLANIFICACIÓN DE MEJORAS RECOMENDADO, GRUPO TVCABLE.
Secuencial
Secuencial
Secuencial
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Paralela
Tipo de
Actividad
136
GSI-RM
REGULATORY MANAGEMENT
5
3
8
9
6
7
Controles
Implementados
0
0
0
0
0
0
Controles No
Implementado
100,00%
100,00%
100,00%
100,00%
100,00%
100,00%
Avance de
Implementación
Completo
Completo
Completo
Completo
Completo
Completo
Progreso de la
Implantación
Tabla 5-13 Estado deseado al finalizar el periodo, Grupo TVCable. [14]
GSI-FM
GSI-AM
AUDIT MANAGEMENT
GSI-SC&A
FRAUD MANAGEMENT
SERVICE CONFIGURATION & ACTIVATION
GSI-BIM
GSI-SM&O-SR
SM&O SUPPORT READINESS
Código de los
Procesos de
la GSI
BILL INVOICE MANAGEMENT
Procesos de la GSI
MEDIO
ALTO
ALTO
MEDIO
MEDIO
MEDIO
Estado de la GSI
(CALIDAD)
Amarillo 1
Verde 3
Verde 3
Amarillo 1
Amarillo 1
Amarillo 1
137
Zonas del Modelo
de madurez de la
GSI
138
5.2.4. DO (HACER).
En esta fase, no se contempla una implantación práctica de lo planificado en la fase
anterior (Tabla 5-11 y 5-12); por cuanto, el proceder con una implantación formal,
es una decisión que implica asignación de recursos de la organización, decisión en
la cual los autores de la tesis no tienen injerencia; sin embargo, a continuación se
realiza un análisis sobre el estado actual de la GSI de la TELCO en estudio y se
hacen consideraciones preliminares necesarias, frente a las limitaciones que
actualmente
tiene el Grupo TVCable para implantar la Metodología de GSI
propuesta.
5.2.4.1. Descripción del estado actual de la GSI en el Grupo TVCABLE [17].
Se resume en los siguientes enunciados:
·
Respecto a la GSI, el Grupo TVCable no cuenta con una estrategia definida
para el efecto, la VP. de Sistemas se limita a implementar el concepto de
Seguridad Informática a nivel de Infraestructura Tecnológica, con la
adquisición e implementación de dispositivos tecnológicos de Seguridad
Informática como:
·
Firewall Perimetral, Check Point Solutions.
·
Control de contenido de navegación, WebSense Solution.
·
Control de accesos de navegación, TMG Gateway Software.
·
Backups, Symantec Backup Exec 2013
·
Antivirus, McAfee Enterprise Manager.
·
Sistemas de detección de Intrusos, 3Com TippingPoint 2400.
Otra consideración, es que tampoco la Seguridad Informática se la maneja
de forma correcta, ya que la misma se la concibe como un estado y no como
un proceso, se la maneja de forma reactiva y el personal técnico no está
debidamente capacitado para ajustar la configuración de las soluciones
tecnológicas de acuerdo a los cambios y necesidades que surgen en la
organización.
139
·
Desde la perspectiva de la VP. Técnica, específicamente como proveedor
de servicios de telecomunicaciones, también se limita a la Seguridad
Informática, la cual está basada en la correcta arquitectura y configuración
de los equipos de comunicación de Core y Acceso, en esta VP. se evidencia
con un ejemplo la ausencia de la GSI, ya que el servicio de Internet por Cable
Modem del Grupo TVCable fue víctima por 10 años de fraude, porque se
vendían en el mercado informal, planes de Internet de un solo pago, usando
la infraestructura del grupo TVCable, afectando sus ingresos, reputación y a
sus usuarios; ya que, los cables módems piratas eran clones de los cable
módems de suscriptores activos y se compartían recursos de red entre
suscriptores legítimos y piratas, para más detalles de esta modalidad de
fraude ver Tabla 1-2.
·
En una TELCO, el componente Tecnológico es negocio-crítico, en el grupo
TVCable la tecnología es responsabilidad de las Vicepresidencias de
Sistemas y Técnica; pero, se evidencia una rivalidad entre estas dos
vicepresidencias que no permite la conformación de comisiones para definir
en conjunto una estrategia de GSI a nivel de negocio, un ejemplo claro de
este problema es que varias jefaturas que reportan a la Gerencia Nacional
Técnica, tienen sus equipos de escritorio con dos tarjetas de red, una de
ellas conectada a la
red Interna de la organización y otra conectada
directamente a Internet con dirección IP pública por medio de un Cable
Modem, como si de un servidor se tratase; lo cual minimiza a cero todos los
esfuerzos que hace la VP. de Sistemas y la inversión que hace la TELCO
para mantener la red interna segura.
·
Si evaluamos la VP. Técnica y de Sistemas del Grupo TVCable en el modelo
de madurez de COBIT 4.1, Proceso PO9,
Planear y Organizar –
Administración de Riesgos de IT, ubicamos a esta organización en un
estado “1 Inicial / Ad Hoc”, que considera:
o Los riesgos de la Seguridad de la Información se toman en cuenta de
manera ad hoc.
Se realizan evaluaciones informales de riesgos
según lo determine cada proyecto.
En algunas ocasiones se
140
identifican evaluaciones de riesgos en un plan de proyecto, pero no
se asignan los recursos necesarios para mitigar los mismos.
o Los riesgos específicos relacionados con
las TI, respecto a
confidencialidad, disponibilidad e integridad, se toman en cuenta
ocasionalmente. Los riesgos relativos a TI que afectan las
operaciones del día a día, son rara vez discutidas en reuniones
gerenciales.
o Cuando se toman en cuenta los riesgos, la mitigación de los mismos
tienen muy baja prioridad. Existe un entendimiento relativo de que los
riesgos de la seguridad de la Información son importantes y que
necesitan ser gestionados.
·
La alta dirección del Grupo TVCable, concibe a la capacitación como un
gasto y no como una inversión, lo cual es una importante limitación para toda
la TELCO y específicamente para la GSI.
5.2.4.2. Estrategia organizacional para implementar la GSI.
En reuniones mantenidas con directivos de la VP de Sistemas del Grupo TVCable,
se han identificado factores importantes que deben ser considerados para
establecer la estructura organizacional de la GSI, estos son las siguientes:
a) La VP. de Sistemas va a impulsar la implantación de la Metodología de GSI y
no directamente el Presidente Ejecutivo.
b) No hay presupuesto aprobado para la contratación de un CISO, que en el
contexto de cargos del Grupo TVCable sería el Vicepresidente de Gestión de
Seguridad de la Información; sin embargo, es factible tomar del presupuesto de
la VP. de Sistemas para contratar un Gerente y dos Ingenieros para la GSI.
c) El Grupo TVCable normalmente no realiza auditorías internas ni externas de
ningún tipo.
141
d) EL Presidente Ejecutivo de la organización tiene la siguiente percepción de las
vicepresidencias:
·
VP. Técnica.- Función Negocio Critica para la organización.
·
VP. Sistemas.- Función de Soporte y Apoyo para la TELCO.
Tomando en cuenta las limitaciones mencionados, a continuación en la Figura 5-1,
se presenta la Propuesta de Estructura Organizacional para implantar la GSI en el
Grupo TVCable.
Presidente Ejecutivo
Gerencia GSI
(ISM)
Aseguramiento
de Ingresos
VP. Ejecutiva
VP. GSI
(CISO)
VP. Sistemas
VP. Técnica
VP. Administrativa
VP. Ventas
VP.
Operaciones
VP. Legal
Dueños de
Procesos
Dueños de
Procesos
Dueños de
Procesos
Dueños de
Procesos
Dueños de
Procesos
Dueños de
Procesos
2 ING. GSI
Figura 5-2 Estructura Organizacional para la GSI, Grupo TVcable (Propuesta). [17]
En la cual cabe acotar lo siguiente:
Respecto al organigrama.
·
La VP. de Gestión de Seguridad de la Información, está a nivel de staff al
más alto nivel de la organización, representada por el CISO, quien debe
posicionarse en su rol estratégico y empoderarse de su función.
·
El organigrama funcional está simplificado, ya que las gerencias están
cohesionadas bajo el nombre de dueños de los procesos, esto con el objetivo
142
de denotar que la Gerencia de la GSI, representada por el ISM, tendrá
interacción horizontal con todas las gerencias de la TELCO, en su función
de gestor operativo de la GSI.
Respecto al CISO (Vicepresidente de la Seguridad de la Información).
La iniciativa de implantación de la Metodología de GSI en el Grupo TVCable, parte
de la VP de Sistemas y no directamente del Presidente Ejecutivo; por tanto, para
dar factibilidad a la implantación de la Metodología de GSI, tomando en cuenta las
limitaciones pre-establecidas, se propone que el VP de Sistemas ejecute
paralelamente el Rol de CISO, que traducido a la nomenclatura de cargos del Grupo
TVCable, es de VP de Gestión de Seguridad de la Información; quien en función
del estado actual de la GSI y la cultura organizacional en el Grupo TVCABLE,
tendrá como objetivos:
·
Conseguir el apoyo del Presidente Ejecutivo, para la implantación de la
Metodología de GSI.
·
Romper el paradigma técnico actual en la organización, que reconoce a la
Seguridad Informática como Seguridad de la Información.
·
Dominar los conocimientos entorno al negocio y ser capaz de identificar las
afectaciones al mismo, en caso de materialización de amenazas.
·
Evangelizar a nivel de toda la cúpula corporativa,
Vicepresidencias y
Presidente Ejecutivo, de la importancia de la GSI a nivel de toda la
organización.
·
Posicionar al CISO (Vicepresidente de Gestión de Seguridad de la
Información) como Gestor Estratégico de la organización y no como de
Soporte y Apoyo.
·
Justificar la creación de una partida presupuestaria para un CISO en la
TELCO, en base a los resultados obtenidos para el negocio.
143
5.2.4.3. Mapeo de procesos
de Grupo TVCable con los procesos objetivo de la
Metodología de GSI.
En reunión mantenida con la Gerencia de Infraestructura Tecnológica, en conjunto
con un analista de procesos de la Gerencia de Organización y Métodos, se realiza
el mapeo de los procesos objetivo de la Metodología de GSI, ver Tabla 4-1, con
los procesos del Grupo TVCable, teniendo como resultado la Tabla 5-1 y 5-2, las
cuales muestran claramente el mapeo de procesos, su descripción, responsables
y la vicepresidencia a la que pertenecen.
PROCESOS OBJETIVO DE LA GSI
PROCESOS GRUPO TVCABLE
VP. A LA QUE REPORTA
SERVICE CONFIGURATION & ACTIVATION
Gerencia de Mantenimiento.
VP. Técnica.
BILL INVOICE MANAGEMENT
Gerencia de Facturación
VP. Financiera Administrativa.
SM&O SUPPORT READINESS
Gerente de Instalaciones
VP. Técnica.
FRAUD MANAGEMENT
Gerencia de Aseguramiento de Ingresos
Presidente Ejecutivo.
AUDIT MANAGEMENT
ND
ND.
VP. Legal
VP. Legal.
REGULATORY MANAGEMENT
Tabla 5-14 Mapeo entre Procesos de Metodología de GSI y Procesos del Grupo TV Cable.
[14]
PROCESOS OBJETIVO
DE LA GSI
DESCRIPCIÓN DEL PROCESO EN EL GRUPO TVCABLE
RESPONSABLE
SERVICE
CONFIGURATION &
ACTIVATION
Es responsable de las Plataformas CORE de Telecomunicaciones que
dan el servicio a los clientes. También realiza los estudios y diseño
tecnológico de nuevos servicios que se ofrecerán a los clientes, tiene
fuerte interacción con la Gerencia de Instalaciones a quienes brinda
soporte en caso de dificultades técnicas de despliegue o ampliaciones
de cobertura.
Msc. Carlos Badillo.
BILL INVOICE
MANAGEMENT
Se encarga del proceso completo de facturación de todos los servicios
de la TELCO.
Ing. Mildred Freire.
SM&O SUPPORT
READINESS
Es responsabilidad de este proceso, llevar el inventario y controlar el
uso del mismo en las instalaciones de los servicios a clientes, además
de coordinar el despliego de personal propio o empresas
subcontratadas para las instalaciones, actualizaciones o
desinstalaciones de los servicios.
Ing. Fabián
Espinosa.
FRAUD MANAGEMENT
Controles físicos de fraude en redes de servicios.
AUDIT MANAGEMENT
No existe esta función, la Metodología de GSI, debe proponer la
creación de esta es función, sea Interna o Externa para auditar el
cumplimiento de la Metodología.
REGULATORY
MANAGEMENT
Dr. Luis Almeida.
ND.
Dr. Francisco
Vivanco.
N/A
Tabla 5-15 Mapeo entre Procesos de Metodología de GSI y Procesos del Grupo TV Cable
(Descripción del proceso y Responsable). [14]
144
5.3. INFORME EJECUTIVO.
El certificado de presentación de la Metodología de GSI en el Grupo TVCable, con
el respectivo informe ejecutivo entregado a la Vicepresidencia de Sistemas y a la
Gerencia de Infraestructura de TI, se adjunta en el Anexo G:
Detalle del Anexo:
·
Certificado de presentación de Metodología de GSI en Grupo TVCable.
·
Informe Ejecutivo Grupo TVCable.
Veracidad de la documentación:
·
Documentos firmados por el Vicepresidente de Sistemas y Gerente de
Infraestructura de TI.
145
CAPÍTULO 6. CONCLUSIONES Y RECOMENDACIONES.
6.1. CONCLUSIONES.
·
De la investigación realizada sobre el fraude en la Industria de las
Telecomunicaciones y el estudio exploratorio de la GSI en empresas de del
Ecuador, se determina que las pérdidas por fraude a nivel mundial ascienden
al 10 % de su rentabilidad y en el Ecuador no es la excepción, debido a que
las TELCO ecuatorianas carecen de una estrategia de GSI a nivel de toda la
organización y se confunde la GSI con el concepto de Seguridad Informática,
el cual tampoco se lo concibe adecuadamente ya que el mismo es
considerado como un estado y no como un proceso. Un caso puntual de una
TELCO líder de mercado en el Ecuador como CNT EP, que tiene establecida
una estrategia de GSI en su organización; pero, sus procesos normalmente
tienen baja prioridad frente a los procesos operativos del negocio, lo cual
hace que su función no sea efectiva.
·
El resultado del proceso de selección de estándares y buenas prácticas
realizado, que determinó la utilización de eTOM v12, COBIT 5 e ISO/IEC
27011 para el desarrollo de la Metodología de GSI, fue exitoso, ya que existe
una integración formal, específicamente entre COBIT 5 For Security
Information y la ISO/IEC 27002, que constituye la parte neurálgica y un
sólido soporte conceptual para la Metodología, de donde se desprenden las
Guías de Implementación de Procesos de la GSI, contextualizadas a los
procesos de las TELCO, para cubrir sus principales necesidades. Es
importante destacar, que el éxito de la GSI no depende solamente de los
estándares utilizados, sino también del criterio con que se aplican los
mismos en la organización.
·
La Metodología de GSI desarrollada, es específica para las TELCO del
Ecuador, ya que el procedimiento para la selección de procesos de eTOM
se realizó en base a los problemas comunes identificados de la Seguridad
de la Información en empresas ecuatorianas; sin embargo, en el presente
146
documento se propone en la sección 3.2.2, una alternativa de uso de la
Metodología de GSI de forma genérica, que puede ser utilizada para la GSI
de cualquier TELCO, que parte de la aplicación de la Metodología de
Selección de Procesos de la sección 2.2.1, que da como resultado los
procesos Críticos con Mayor Nivel de Riesgo en la TELCO y encapsula la
Metodología de GSI de la sección 3.2.1.
·
Evaluar la Madurez en la GSI tiene que ir más allá de un enunciado
cualitativo, el Modelo de Madurez desarrollado
es un componente
importante de la Metodología de GSI en su acoplamiento al modelo PDCA
de mejora continua; ya que está basado en el progreso y la calidad de
implementación de los controles de Seguridad de la Información y de sus
resultados se desprende un plan de acción propuesto detallado.
· De la experiencia del caso de estudio realizado en el Grupo TVCable, se
concluye que hay dos factores determinantes en la implantación exitosa de
la Metodología de GSI; el primer factor, es el apoyo formal de la alta
dirección, que es la única forma de garantizar los recursos y la obligatoriedad
de realizar los procesos de la GSI; el segundo factor, es la capacidad del
CISO e ISM, quienes deben dominar los aspectos relacionados al negocio
y ser capaces de proponer sobre la marcha las consideraciones de la
Seguridad de la Información que se deben contemplar. Desde la perspectiva
del Ecuador, por desconocimiento, la alta dirección de las organizaciones no
es aún consiente de la importancia de la GSI y es éste, el hándicap principal
para la GSI.
147
6.2. RECOMENDACIONES.
·
Para reducir el margen de fraude en la Industria de las Telecomunicaciones,
las TELCO del Ecuador deben formalizar y empoderar adecuadamente la
Gestión de la Seguridad de la Información en su organización. Desde la
perspectiva de la EPN se recomienda motivar el desarrollo, evaluación y
mejoramiento continuo de Metodologías de Gestión específicas para una
industria determinada; consolidarlas formalmente como productos de la EPN
y orientar estos, hacia la empresa pública y privada del país, para fortalecer
la relación entre la Universidad y el sector empresarial ecuatoriano.
·
Dada la integración formal entre COBIT 5 For Security Information y la
ISO/IEC 27002, se recomienda el uso de esta integración, para la GSI de
cualquier tipo de Industria. Desde la perspectiva de la EPN se recomienda
la investigación permanente de este tipo de integraciones, identificarlas,
evaluarlas y difundirlas a la comunidad empresarial pública y privada del país,
por medio de casos de estudio aplicados.
·
Considerando que la Metodología de GSI propuesta, se basa en
necesidades
específicas
identificadas
Telecomunicaciones del país;
en
la
Industria
de
las
se recomienda, que una vez se logre
mantener todos los procesos de la Metodología en la Zona de Madurez
Verde(estado deseado), se opte por aplicar la Metodología Genérica
alternativa planteada en la sección 3.2.2 de este documento; con ello se
puede identificar necesidades específicas de Seguridad de la Información
que necesitan ser gestionadas y pudieron no ser contempladas en la
propuesta Metodológica de la sección 3.2.1; hay que enfatizar que la
aplicación de la Metodología Genérica de la sección 3.2.2 implica un mayor
esfuerzo, ya que se tiene que desarrollar las Guías de Implementación de
acuerdo a los procesos seleccionados y a su vez modificar las Métricas del
Modelo de Madurez planteado, ya que las métricas del Modelo de Madurez
son consecuencia directa de las Guías de Implementación de los procesos
de GSI.
148
·
Desde la perspectiva de la EPN, proponer uno o más temas de tesis de
postgrado, entorno al Modelo de Madurez planteado, que realice análisis
crítico, implementaciones, evaluaciones e implementación de mejoras, en
pro de hacer evolucionar al Modelo de Madurez en cuestión, catalogarlo
como producto de la EPN y formalmente difundirlo en el sector empresarial
público y privado del país. Extrapolando este concepto a toda la EPN, se
recomienda además, la creación de una comisión
de Productividad
Académica a nivel de la EPN y a nivel de cada facultad, que se encarguen
de catalogar los productos de Gestión que ofrece la EPN al sector
empresarial público o privado; los productos de gestión pueden ser
Metodologías de Gestión para una industria específica, Modelos de
Simulación de Negocios para una industria determinada, Buenas prácticas
para temas puntuales, entre otros; las comisiones de Productividad
Académica de cada facultad serán las encargadas de proponer temas de
tesis que se orienten a mejorar, replantear, complementar o validar los
productos de gestión ya catalogados y a su vez a receptar
nuevas
propuestas; en tanto que la comisión general de Productividad Académica
de la EPN, sea la encargada de posicionar los productos de gestión en el
sector empresarial local o internacional. De esta forma aprovechar el
patrimonio intelectual de la EPN, forjando productos de gestión con sello
propio en el ámbito local, en continua evolución; con el objetivo de crear un
eslabón de integración entre el sector empresarial y el académico.
·
Tomando en cuenta, que el desconocimiento de la alta dirección sobre la
importancia de la GSI, es el hándicap principal para su implementación en
las organizaciones, se recomienda desde la perspectiva del Ecuador,
específicamente en el ámbito gubernamental, realizar talleres de
concientización de los riesgos a los que se exponen las organizaciones y la
necesidad de una adecuada GSI.
149
BIBLIOGRAFÍA
[1] EC3, "Telco Fraud: A Network and Security Threat," vol. 1, USA, EC3, 2010.
[2] ISO/IEC, ISO 27011: Information Technology Security Techniques information
Security
Management
Guidelines
for
Telecomunications
Organizations Based on ISO/IEC 27001, Switzerland, 2009.
[3] ITU,
ITU
Telco
Security,
http://www.itu.int/en/iITU-
IT/studygroups/com17/Pages/telesecurity.aspx, 2012.
[4] ASETA, Asociación de Operadores de Telecomunicaciones de la Comunidad
Andina., Quito, 2010.
[5] SUPERTEL
-
FRAUDE
EN
LAS
TELCO,
http://www.supertel.gob.ec/pdf/libro_fraude_telecomunicaciones.pdf,
Quito:
Gobierno - Ecuador, 2010.
[6] CANTV, Fraude de las Telecomunicaciones, Caracas, 2009.
[7] SUPERTEL, "MARCO JURIDICO," in MARCO JURIDICO SUPERTEL, Quito,
2012.
[8] SUPERTEL,
ESTADISTICAS
http://controlenlinea.supertel.gob.ec/wps/portal/estadisticas/estadisticas/,
Quito: MINTEL, ESTADISTICAS SUPERTEL.
[9] CNT-EP,
https://www.cnt.gob.ec/index.php/sobre-la-cnt-2/27-sobre-la-
cnt/informacion-al-publico/ley-organica-de-transparencia-y-acceso-a-lainformacion-publica, Quito, 2012.
[10] G. TVCable, "Aplicación de Caso de Estudio de Metodología de GSI," Quito,
2014.
[11] TMFORUM, "Business Process Framework (eTOM) For the Information and
comunication Services Industry v12. 3," in Estended Process Decomposition
and Description, Morristown NJ, 2012.
[12] ISACA, "Cobit 5," in Enabling Process, USA, ISACA Framework, 2012.
[13] ISACA, "Cobit 5 Para la Seguridad de la Información," Rolling Meadows,
Illinois, 2012.
150
[14] Autores,
METODOLOGÍA
INFORMACIÓN
DE
GESTIÓN
ENFOCADO
A
DE
SEGURIDAD
LAS
DE
INDUSTRIAS
LA
DE
TELECOMUNICACIONES EN EL ECUADOR., Quito, 2015.
[15] W.
E.
D.
Institute,
"The
PDSA
https://www.deming.org/theman/theories/pdsacycle,"
vol.
Cycle
Theories
&
Teachings, 2008.
[16] D. Chapin, "CISA, CISM, CISSP, IAM," ¿Cómo Puede Medirse la Seguridad?,
vol. Volumen2, 2012.
[17] GRUPO TVCable S.A, Estructura Organizacional, Quito, 2010.
[18] I. G. P. Mega., Metodología de Implantación de un SGSI., Montevideo,
Uruguay.: Instituto de Computación., 2009..
[19] A. G. A. A. HENTEN, Regulation and the Evolution of the Global
Telecomunications Industry, United States of America, 2012.
[1] EC3, «Telco Fraud: A Network and Security Threat,» vol. 1, USA, EC3, 2010.
[2] ISO/IEC, ISO 27011: Information Technology Security Techniques information
Security
Management
Guidelines
for
Telecomunications
Organizations Based on ISO/IEC 27001, Switzerland, 2009.
[3] ITU,
ITU
Telco
Security,
http://www.itu.int/en/iITU-
IT/studygroups/com17/Pages/telesecurity.aspx, 2012.
[4] ASETA, Asociación de Operadores de Telecomunicaciones de la Comunidad
Andina., Quito, 2010.
[5] SUPERTEL
-
FRAUDE
EN
LAS
http://www.supertel.gob.ec/pdf/libro_fraude_telecomunicaciones.pdf,
TELCO,
Quito:
Gobierno - Ecuador, 2010.
[6] CANTV, Fraude de las Telecomunicaciones, Caracas, 2009.
[7] SUPERTEL, «MARCO JURIDICO,» de MARCO JURIDICO SUPERTEL,
Quito, 2012.
151
[8] SUPERTEL,
ESTADISTICAS
http://controlenlinea.supertel.gob.ec/wps/portal/estadisticas/estadisticas/,
Quito: MINTEL, ESTADISTICAS SUPERTEL.
[9] CNT-EP,
https://www.cnt.gob.ec/index.php/sobre-la-cnt-2/27-sobre-la-
cnt/informacion-al-publico/ley-organica-de-transparencia-y-acceso-a-lainformacion-publica, Quito, 2012.
[10] G. TVCable, «Aplicación de Caso de Estudio de Metodología de GSI,» Quito,
2014.
[11] TMFORUM, «Business Process Framework (eTOM) For the Information and
comunication Services Industry v12. 3,» de Estended Process Decomposition
and Description, Morristown NJ, 2012.
[12] ISACA, «Cobit 5,» de Enabling Process, USA, ISACA Framework, 2012.
[13] ISACA, «Cobit 5 Para la Seguridad de la Información,» Rolling Meadows,
Illinois, 2012.
[14] Autores,
METODOLOGÍA
INFORMACIÓN
DE
GESTIÓN
ENFOCADO
A
DE
LAS
SEGURIDAD
DE
INDUSTRIAS
LA
DE
TELECOMUNICACIONES EN EL ECUADOR., Quito, 2015.
[15] W.
E.
D.
Institute,
«The
https://www.deming.org/theman/theories/pdsacycle,»
PDSA
vol.
Cycle
Theories
&
Teachings, 2008.
[16] D. Chapin, «CISA, CISM, CISSP, IAM,» ¿Cómo Puede Medirse la Seguridad?,
vol. Volumen2, 2012.
[17] GRUPO TVCable S.A, Estructura Organizacional, Quito, 2010.
[18] I. G. P. Mega., Metodología de Implantación de un SGSI., Montevideo,
Uruguay.: Instituto de Computación., 2009..
[19] A. G. A. A. HENTEN, Regulation and the Evolution of the Global
Telecomunications Industry, United States of America, 2012.
152
GLOSARIO DE TÉRMINOS.
TERMINO
DEFINICIÓN
AM.
Audit Management.
BMIS.
Business Model for Information Security. Es una aproximación
holística y orientada al negocio para la administración de la
seguridad informática.
BPO.
Business Process Owner.
Bypass Telefónico.
Mecanismo de Fraude en el servicio de Telefonía fija.
BOSS.
Business and operation support systems.
CEO
Chief executive Officer
CFCA.
Communications Fraud Control Association.
CARRIER.
Empresa de transmisión de datos.
CISO.
Chief Information Security Officer.
CNT E.P.
Corporación Nacional de Telecomunicaciones - Empresa Pública.
CONATEL.
Consejo Nacional de Telecomunicaciones.
CTO.
Chief Technology Officer. Es un representante Técnico del negocio,
que agrupa tanto la GNT y la GNTI.
DECODIFICADOR DE TV.
Dispositivo que decodifica señales de Televisión.
DVB.
Digital Video Broadcasting.
ERM.
Enterprise Risk Management.
eTOM .
Enhanced Telecom Operations Map.
GNT.
Gerencia Nacional Técnica.
GNTI.
Gerencia Nacional de Tecnologías de la Información.
HD.
High definition.
HISPASAT Y AMAZONAS.
Operadores Satelitales de Televisión.
IEC.
International Electrotechnical Commission.
IKS Privado.
Interactive Knowledge Stack. Mecanismo de autenticación por
suscripción, que es usado para realizar fraude en servicios de
televisión.
ISM.
Information Security Manager.
ISM3.
Information Security Management Maturity Model.
ISO.
Organization for Standarization.
ISSC.
Information Security Steering Committee.
IT Assurance Framework. Marco para el diseño, la ejecución y
reporte de auditorías de TI y de tareas de evaluación de
cumplimiento.
International Telecomunication Union.
ITAF.
ITU.
NAGRA3.
También conocido como Nagra-visión 3, es un proyecto de
encripción de señales de Televisión.
NGOSS.
New Generation Operations Systems and Software.
PDCA.
Plan-do-check-act (Ciclo de Deaming de Mejora Continua).
153
Soluciones que incluyen hardware y software, que permiten
Plataformas de Mediación y
interactividad entre el área de Atención el Cliente con equipos
Aprovisionamiento.
terminales.
Risk IT.
Marco de referencia normativo basado en un conjunto de principios
rectores para una gestión efectiva de riesgos de TI.
SID.
Information Framework.
SIP.
Session Initiation Protocol, Protocolo de telefonía sobre IP.
SIP Trunking.
Troncal de telefonía IP con el protocolo SIP.
SUPERTEL.
Superintendencia de Telecomunicaciones.
TAM.
Application Framework.
TELCO.
TI.
Telecom Operator. Operador u operadora de Telecomunicaciones.
Es una estación terrestre de comunicaciones para la retransmisión
de distintos servicios de televisión, voz y datos vía satélite.
Tecnologías de la Información.
TM Forum.
TeleManagement Forum.
Val IT
Marco de referencia de gobierno que incluye principios rectores
generalmente aceptados y procesos de soporte relativos a la
evaluación y selección de inversiones de negocios de TI.
VP
Vicepresidencia o Vicepresidente.
TELEPUERTO.
Tabla 6-1 Glosario de términos y definiciones. [14]
154
ANEXOS
155
ANEXO A. [14]
ENCUESTAS
Se realizaron utilizando el servicio de encuestas en línea WuFoo,
permite
diseñar, enviar, contestar
el mismo que
y consolidar los datos de las encuestas
realizadas. La encuesta fue aplicada a 7 profesionales entre Gerentes y
Especialistas, que trabajan en áreas directamente relacionadas con la GSI y la
Seguridad Informática en empresas TELCO del país, sea dentro de las TELCO o
como consultores externos.
DISEÑO DE ENCUESTA
La encuesta tiene 9 preguntas, 7 son preguntas cerradas de selección simple o
múltiple y 2 preguntas de texto abierto.
La encuesta está publicada en el siguiente link:
http://gengiscan.com/encuesta.html
En el siguiente link http://wufoo.com, con las credenciales:
·
·
Usuario: [email protected]
Clave: spiliwicop
Se puede acceder a visualizar las encuestas, reportes y las respuestas individuales
de los encuestados.
RESULTADOS
Al ser 7 los profesionales encuestados, se considera más objetivo poner números
en los gráficos y no porcentajes.
1. Cuantas personas integran la unidad funcional de GSI en la TELCO en que
usted trabaja?
156
2
Ninguna
1-4 personas
5-9 personas
5
2. ¿Con qué frecuencia la Alta Gerencia, Comité de Seguridad, Riesgo o
Tecnología se reúnen para discutir las necesidades de la Seguridad de la
Información y objetivos del negocio?
0
0
Mensualmente o
menos
1
Trimestralmente
Semestralmente
6
Anualmente
3. Seleccione los roles que existen en su Organización para la Gestión de la
Seguridad de la Información.
CISO (Chief Information
Security)
1
4
7
CTO (Chief Technology
Officer)
ISM (Information Security
Management)
IT Manager
2
4. En qué aspectos se han tenido incidentes de no cumplimiento en la TELCO
que usted trabaja?
157
Normativas de la SUPERTEL
2
4
Acuerdos de Nivel de
Servicio
3
Contratos de Intercambio
de Tráfico
5
3
Licencias de Plataformas
de Servicios
3
Licencias de Software
7
2
Acuerdos internos con
empleados
5. Seleccione los tipos de fraude que con mayor o menor frecuencia ocurren en
la TELCO que usted trabaja.
ByPass Telefónico
1
3
Robo de Señal de
Servicios
3
Refilling
2
4
1
1
3
Fraude en teléfonos
públicos
Clonación de Cable
Modem
Hacking a PBX
Corporativo
6. Según su criterio, la TELCO en la que usted trabaja que nivel tiene en cuanto
a Gestión de Seguridad de la Información.
158
00
0
La GSI está formalmente
establecida y mejora
continuamente
1
0
2
La GSI es responsabilidad
del IT Manager
4
7. Seleccione las áreas funcionales de la TELCO donde se han identificado la
mayoría de incidentes de Seguridad de la Información.
000
11
Facturación
7
6
2
Atención al Cliente
4
5
3
2
1
3
6
2
4
3
2
1
Mantenimiento de
Plataformas Tecnológicas
de Servicios
Aseguramiento de
Ingresos
0 0
8. Explique la modalidad de Fraude que ha tenido mayor impacto en la TELCO
que usted trabaja?
Ing. Byron Mariño.
Clonación de dispositivos Terminales, usando la misma red de la TELCO, se
clonaba solamente las direcciones MAC y por tener un sistema de autenticación
básico que controla solo las direcciones físicas de los dispositivos, el equipo
159
terminal "pirata" ganaba acceso a Internet. Este modo de fraude se perpetro por
cerca de 5 años hasta que se implementó un sistema de autenticación por
certificado.
Empresa Satnet (Parte del Grupo TVCABLE).
Ing. René González.
Desconozco.
Msc. José Velasque.
Voy a comentar sobre un fraude interno en la organización que generó problemas
por muchos años, la unidad de instalación de servicios tenían un inventario muy
básico, de tal forma que en un momento determinado se perdía el seguimiento de
todos los dispositivos y los materiales que se requerían para realizar las
instalaciones de servicios, luego de varios años al implementar un sistema de
OSS (Operation Support System) se pudo controlar e identificar la cuantiosa
pérdida de todos los años anteriores por la falta de un inventario formal de
dispositivos.
Ing. Edison Alomoto
Desconozco en detalle.
Ing. Fernando Naranjo.
Por muchos años en el Ecuador, se permitió la importación de decodificadores de
Televisión, los cuales con actualizaciones de firmware fraudulentas podían
codificar 300 canales Internacionales, sin que legalmente se pueda frenar esta
modalidad de fraude, durante estos años, todos los operadores de TV por cable
sufrieron grandes pérdidas. Fue en Noviembre del 2013, que se estableció una
prohibición de importación de estos equipos y sanciones legales para los usuarios.
160
Msc. Nancy Cruz.
Personal de bodega con ciertos conocimientos técnicos en complicidad de otras
personas, sacaban dispositivos dados de baja de la empresa y los vendían en el
mercado negro.
Ing. Roberto Rodríguez.
Hace algunos años cuando se vendían tarjetas de recargas de minutos para
móviles, los códigos de recarga se generaban en función de un algoritmo el cual
fue filtrado, a tal punto que cuando los usuarios ingresaban el código de la tarjeta,
el sistema respondía que la tarjeta ya fue utilizada; esto frustró a muchos clientes,
en principio los clientes llamaban a atención al cliente y se les deba otro código
de tarjeta, pero muchos usuarios hacían de esta una práctica común para
conseguir saldo; finalmente se terminó buscando otros medios para vender
recargas. Adicional a esto hay que considerar que los usuarios no tenían amparo
legal del gobierno, ya que no la SUPERTEL en ese entonces no receptaba quejas
de los usuarios para hacer prevalecer los derechos los usuarios.
9. Explique cuál ha sido el mayor incidente que ha afectado de forma
crítica a la disponibilidad del servicio que se presta a los clientes, y
cuales han sido las causas relacionadas.
Ing. Byron Mariño.
Por la falta de gestión de disponibilidad de los routers críticos para la organización,
el Router de BGP principal de Quitó tubo un daño físico, dando como resultado
de esto, la pérdida del servicio de Internet a todos los clientes de la región Sierra,
el incidente duró 3 días sin servicio de Internet y por ende pérdida de cientos de
clientes que se cambiaron de proveedor, las respectivas quejas en la SUPERTEL
y sanciones correspondientes, al cuarto día se puso en producción un router con
una capacidad limitada y se restableció el servicio pero con una calidad mínima,
tuvieron que pasar 17 días para que el equipo nuevo de reemplazo se instale y
entonces se recupere la calidad del servicio al 100 %
Ing. René Gonzalez.
161
Denegación de Servicio por ataques a los servidores de DNS, con afectación a
clientes de Internet.
Msc. José Velasque.
El anillo de fibra óptica central del grupo TvCable de Quito, se compone de nodos
Lucent, cada nodo tiene tarjetas de 64 GB de RAM, por donde pasan los circuitos
de clientes, se contrató para hacer un upgrade de estas 12 tarjetas del anillo a
128 GB, luego de hacer el upgrade con el procedimiento indicado por el proveedor,
aproximadamente el 60 % de la capacidad de la red dejó de funcionar, según el
proveedor, las tarjetas instaladas tenían un control de calidad y garantizaron su
funcionamiento y atribuyeron el fallo al grupo TVCable, específicamente a temas
de configuración; pero no fue sino luego de 36 horas que se volvieron a poner las
tarjetas antiguas y todo volvió a la normalidad. El razonamiento de esto es que
como TELCO, se debe tener las políticas de gestión de cambios propias, las
mismas que deben estar sobre cualquier otra política de los proveedores de
plataformas.
Ing. Edison Alomoto.
El cluster de base de datos de clientes falló de forma inesperada por un problema
de redimensionamiento automático de la base de datos, esto afectó la mediación
y aprovisionamiento de servicios, Customer Care, facturación y varios servicios
internos a nivel nacional; el fallo se mantuvo por aproximadamente tres días; la
raíz del problema fue no disponer de espacio de almacenamiento en la SAN para
la base de datos, no se pudo solventar rápidamente ya que no se disponía de
personal capacitado ni un contrato de soporte, para los equipos de plataforma
SUN.
Ing. Fernando Naranjo.
No poseo Información al respecto.
Msc. Nancy Cruz.
162
El área técnica, específicamente el ISP ( Internet Service Provider), contaba con
un enlace de 100 mbps con Transnexa, por medio del cual se daba internet a
todos los clientes, pero no se disponía de un enlace de bakcup con otro proveedor
Internacional de Internet, cuando el circuito en cuestión falló por un corte de fibra
óptica, tuvieron que pasar 2 días para restablecer el servicio a los clientes.
Ing. Roberto Rodríguez.
Luego de una fusión entre empresas TELCO del país, al tener dos equipos de
Tecnología de Información, había cargos que no se necesitaban y se realizó
reducción de personal, personalmente creo que en estos casos hay que tomar
muchas medidas para evitar que personal con resentimiento pretenda causar
daños a la organización. Este no fue el caso, lo que dio pie a que una persona
que fue separada del equipo tomara represalias de mala fe en contra de la
organización, el tema se agudizó cuando no habían personas capacitadas para
solventar el problema rápidamente, ya que sistemáticamente comenzaron a
ocurrir errores de cálculo, servicios que se reiniciaban, certificados que se
borraban, eliminación de librerías de módulos, fallos en el sistema de
autenticación, bases de datos eliminadas; fue cerca de un mes críticos, hasta que
se pudo cerrar todos los accesos y asegurar los sistemas. Este incidente es el
que más problemas ha causado en la historia de la organización.
163
ANEXO B. [14]
CÓDIGO
NOMBRE PROCESO
1A
MARKETING &
OFFER
MANAGEMENT
1Aa
MARKET STRATEGY
AND POLICY
1Ab
PRODUCT & OFFER
CAPABILITY
DELIVERY
1Ac
PRODUCT & OFFER
DEVELOPMENT &
RETIREMENT
1B
SERVICE
DEVELOPMENT &
MANAGEMENT
1Ba
SERVICE STRATEGY
& PLANNING
PROCESOS NIVEL 3
DESCRIPCIÓN
-
-
GATHER & ANALYZE
MARKET INFORMATION
ESTABLISH MARKET
SEGMENTS
GAIN COMMITMENT TO
MARKETING ESTRATEGY
ESTABLISH MARKET
STRATEGY
LINK MARKET SEGMENTS &
PRODUCTS
DEFINE PRODUCT
CAPABILITY
REQUERIMENTS
APPROVE PRODUCT
BUSINESS CASE
DELIVERY PRODUCT
CAPABILITY
MANAGE PRODUCT
CAPABILITY DELIVERY
OPERATIONS
CAPTURE PRODUCTS
CAPABILITY SHORTFALLS
MANAGE HANDOVER TO
PRODUCT OPERATIONS
GATHER & ANALYZE NEW
PRODUCT IDEAS
DEVELOP NEW PRODUCT
BUSINESS PROPOSAL
DEVELOP DETAILED
PRODUCT SPECIFICATIONS
LAUNCH NEW PRODUCTS
ASSESS PERFORMANCE OF
EXISTING PRODUCTS
DEVELOP PRODUCT
COMMERCIALIZATION
STRATEGY
MANAGE PRODUCT
DEVELOPMENT
MANAGE PRODUCT EXIT
DESARROLLA UNA ESTRATEGIA EMPRESARIAL
PARA LOGRAR ABARCAR EL MERCADO
OBJETIVO, SE ANALIZA Y SEGMENTA EL
MERCADO PARA DETERMINAR EL MERCADO,
SE
DESARROLLAN LAS ESTRATÉGIAS DE
MARKETING PARA CADA SEGMENTO DE
MERCADO Y CLIENTES, SE DEFINE LOS
MERCADOS Y LAS ESTRATÉGIAS QUE SERÁN
LLEVADAS A CABO PARA CUMPLIR EL
OBJETIVO DEL NEGOCIO.
GESTIÓN DE LA ENTREGA Y CONSTRUCCIÓN
DE UN PRODUCTO NUEVO O REDISEÑADO,
INCLUYE
EL
MANEJO
DE
LA
INFRAESTRUCTURA QUE SE REQUIERE PARA
IMPLEMENTAR
EL
PRODUCTO,
ESPECIALMENTE CUANDO LA TECNOLOGÍA
QUE SE USARÁ ES SIGNIFICATIVAMENTE
DIFERENTE A LA TECNOLOGÍA QUE SE USA
ACTUALMENTE, POR EJEMPLO PARA EL CASO
DEL ECUADOR, UN
PROYECTO DE
IMPLEMENTACIÓN TE TECNOLOGÍA LTE(LONG
TERM EVOLUTION) PARA NAVEGACIÓN DE
DISPOSITIVOS
A
ALTAS
VELOCIDADES,
CONOCIDA TAMBIÉN COMO 4G.
-
-
SE DESARROLLA Y ENTREGA NUEVOS
PRODUCTOS O SERVICIOS, SE ENCARGA DE
GENERAR
MEJORAS
Y
NUEVAS
FUNCIONALIDADES
LISTAS
PARA
SU
IMPLEMENTACIÓN POR LOS PROCESOS DE
OPERACIÓN. ADICIONALMENTE GESTIONA EL
PROCESO DE SALIDA DEL MERCADO DE LOS
PRODUCTOS, UNA DE LAS MEDIDAS CLAVES
DE ESTE PROCESO ES EL TIEMPO QUE SE
PUEDE MANTENER EN EL MERCADO A UN
PRODUCTO O SERVICIO ANTES QUE DEBA SER
RETIRADO.
EL TENER UNA ESTRATEGIADEL SERVICIO Y
UN PROCESO DE PLANEACIÓN LLEVAN AL
GATHER & ANALYZE
DESARROLLO DE UNA ESTRATÉGIA DE
SERVICE INFORMATION
NEGOCIO
A
VARIOS
AÑOS,
UNA
MANAGE SERVICE
INVESTIGACIÓN Y ANÁLISIS ES LLEVADA A
RESEARCH
CABO PARA DETERMINAR LOS OBJETIVOS EN
ESTABLISH SERVICE
LOS SERVICIOS Y LAS ESTRATÉGIAS PARA
STRATEGY & GOALS
ALCANZAR
LOS
MISMOS,
ESTA
DEFINE SERVICE SUPPORT INVESTIGACIÓN PUEDE SER OBTENIDA DESDE
UN MERCADO EXTERNO, UN DESARROLLO
STRATEGIES
INTERNO O A TRAVÉZ DE PROGRAMAS DE
PRODUCE SERVICE
INVESTIGACIÓN, UNA ENTRADA CLAVE PARA
BUSINESS PLANS
LA ESTRATÉGIA DEL SERVICIO SURGE DEL
DEVELOP SERVICE
MARKETING EMPRESARIAL REALIZADO Y DE
PARTNERSHIP
LA ESTRATÉGIA DE PRONÓSTICOS EN EL
REQUIREMENTS
GAIN ENTERPRISE
PORTAFOLIO DE PRODUCTOS. SE DA UN
COMMINTMENT TO SERVICE ENFOQUE EN LA EXPANCIÓN DE LAS
STRATEGIES
CAPACIDADES DE LOS SERVICIOS Y LA
IDENTIFICACIÓN DE NUEVAS CAPACIDADES
REQUERIDAS POR LOS SERVICIOS.
164
CÓDIGO
1Bb
1Bc
1Ca
NOMBRE PROCESO
PROCESOS NIVEL 3
DESCRIPCIÓN
SERVICE
CAPABILITY
DELIVERY
MAP & ANALYZE SERVICE
REQUIREMENTS
GAIN SERVICE CAPABILITY
INVESTMET APPROVAL
ENABLE SERVICE SUPPORT
& OPERATION
MANAGE HANDOVER TO
SERVICE AND OPERATIONS
CAPTURE SERVICE
CAPABILITY SHORTFALLS
DESIGN SERVICE
CAPABILITIES
MANAGE SERVICE
CAPABILITY DELIVERY
SERVICE
DEVELOPMENT &
RETIREMENT
GATHER & ANALYZE NEW
SERVICE IDEAS
ACCESS PERFORMANCE OF
EXISTING SERVICES
DEVELOP NEW SERVICE
BUSINESS PROPOSAL
DEVELOP DETAILED
SERVICE SPECIFICATIIONS
MANGE SERVICE
DEVELOPMENT
MANAGE SERVICE FAX
ESTE PROCESO PLANEA Y ENTREGA TODA LA
CAPACIDAD REQUERIDA PARA ENTREGAR
LOS CAMBIOS AL SERVICIO QUE LO NECESITE,
ESTO IMPLICA INTEGRACIÓN DE CAPACIDAD
ENTREGADA DESDE DENTRO DE LA EMPRESA,
Y CAPACIDAD ENTREGADA DESDE UN
PROVEEDOR O PARTNER.
EL SERVICIO
DEMANDA PRONÓSTICOS Y CAPTURAR LAS
NUEVAS OPORTUNIDADES, SON ESENCIALES
PARA ASEGURAR QUE LA EMPRESA PUEDA
IMPLEMENTAR LOS SERVICIOS NECESARIOS
POR FUTURAS NECESIDADES DE SUS
CLIENTES ESPECIALMENTE AQUELLOS DE
MAYOR POTENCIAL.
SE ORIENTA A DESARROLLAR Y ENTREGAR
NUEVOS SERVICIOS O TIPOS DE MEJORAS,
ESTOS PROCESOS INLCUYEN PROCESOS Y
PROCEDIMIENTOS DE IMPLEMENTACIÓN DE
CAMBIOS EN SISTEMAS Y DOCUMENTACIÓNDE
DE CLIENTES. TAMBIÉN SE LLEVA A CABO
DESPLIEGUE Y PRUEBAS DEL TIPO DE
SERVICIO, GESTIÓN DE LA CAPACIDAD Y
COSTOS DE CADA TIPO DE SERVICIO,
ASEGURANDO LA CAPACIDAD DE LA EMPRESA
DE ENTREGAR TIPOS DE SERVICIO DE
ACUERDO A LOS REQUERIMIENTOS.
DESARROLLO
DE
ESTRATÉGIAS
DE
RECURSOS, POLÍTICAS Y PLANES A LARGO
PLAZO PARA EL NEGOCIO, TOMAR EN CUENTA
EL MERCADO LOS PRODUCTOS Y SERVICIOS
EN FUNCIÓN DE LA DIRECCIÓN QUE VAYA A
TOMAR LA EMPRESA.
ESTOS PROCESOS
COMPRENDE
LA
CAPACIDAD
DE
LA
INFRAESTRUCTURA ACTUAL DE LA EMPRESA,
IDENTIFICAN
REQUERIMIENTOS
DE
INFRAESTRUCTURA EN FUNCIÓN DE LAS
ESTRATEGIAS DE MERCADO
DE
LOS
PRODUCTOS Y SERVICIOS. SE GESTIONA LA
CAPACIDAD DE PROVEEDORES Y PARTNERS
PARA DESARROLLAR Y ENTREGAR NUEVOS
RECUROS Y SE DEFINE EL CAMINO DE NUEVA
O MEJOR INFRAESTRUCTURA QUE PUEDE SER
DESARROLLADA. SE REALIZA INVESTIGACIÓN
Y
ANÁLISIS
PARA
DETERMINAR
LOS
RECURSOS
PRINCIPALES
LOS
CUALES
ESTARÁN CONTEMPLADOS DENTRO DE LAS
ESTRATÉGIAS. ESTA INVESTIGACIÓN PUEDE
SER OBTENIDA DESDE EL MERCADO EXTERNO
U OBTENIDA DE INFORMACIÓN DE PARTNERS,
INCLUSO DESARROLLADA INTERNAMENTE.
UNA ENTRADA IMPORTANTE PARA ESTE
PROCESO BIENE DEL MERCADO Y ES EL
PRONÓSTICO Y
LA ESTRATÉGIA DEL
PORTAFOLIO DE PRODUCTOS Y SERVICIOS.
EL ENFOQUE ESTÁ EN INCREMENTAR LAS
CAPACIDADES DE LOS RECURSOS Y LA
IDENTIFICACIÓN
DE
INCREMENTOS
NECESARIOS EN LOS MISMOS.
RESOURCE
STRATEGY &
PLANNING
GATHER ANALYZE
RESOURCE INFORMATION
ESTABLISH RESOURCE
STRATEGY &
ARCHITECTURE
PRODUCE RESOURCES
BUSUNESS PLANS
GAIN ENTERPRISE
COMMITMENT TO
RESOURCE PLANS
MANAGE RESOURCES
RESEARCH
DEFINE RESOURCE
SUPPORT STRATEGIES
DEVELOP RESOURCE
PARTNERSHIP
REQUIREMENTS
165
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
DESCRIPCIÓN
SE
BASA
EN
LA
DEFINICIÓN
DE
REQUERIMIENTOS Y CAPACIDADES DE LOS
RECURSOS PARA EL DESARROLLO DE
NUEVAS
Y/O
MEJORES
TECNOLOGÍAS.
1Cb
RESOURCE
CAPABILITY
DELIVERY
1Cc
RESOURCE
DEVELOPMENT &
RETIREMENT
1Da
SUPPLY CHAIN
STRATEGY &
PLANNING
EL OBJETIVO DE ESTE PROCESO ES
ASEGURARAR QUE LA RED, APLICACIONES Y
MAP & ANALYZE RESOURCE RECURSOS DE TI SEAN DESPLEGADOS, DE
ACUERDO A LOS PLANES ESTABLECIDOS, SE
REQUIREMENTS
ENCARGA DE ENTREGAR LOS RECURSOS
GAIN RESOURCE
FÍSICOS Y LAS CAPACIDADES NECESARIAS
CAPABILITY INVESTMENT
PARA LAS OPERACIONES Y ASEGURAN EN
APPROVAL
CUANTO A CAPACIDAD LAS BASES EN LAS QUE
ENABLE RESOURCE
LOS
RECURSOS
Y
LOS
SERVICIOS
SUPPORT & OPERATIONS
SERÁN IMPLEMENTADOS. ESTE PROCESO
MANAGE HANDOVER TO
TIENE LAS SIGUIENTES RESPONSBILIDADES
RESOURCE OPERATIONS
PERO NO ESTA LIMITADA SOLAMENTE A:
CAPTURE RESOURCE
CAPABILITY SHORTFALLS
PLANEACIÓN DE RECURSOS PARA LOGISTICA
DESIGN RESOURCE
PLANEACIÓN
DE
RECURSOS
DE
CAPABILITIES
MANAGE RESOURCES
INSTALACIONES
CONTRATACIÓN Y DIRECCIÓN DE RECURSOS
CAPABILITY DELIVERY
DE CONSTRUCCIÓN DONDE SE REQUIERA
VERIFICACIÓN DE LA INSTALACIÓN DE
RECURSOS
ASIGNADOS
TRASPASO DE CAPACIDAD DE RECURSOS A
TRAVÉS DE LA INTERACCIÓN CON LA GESTIÓN
DE
CONFIGURACIÓN
DE
CLASE
DE
RECURSOS.
CONSISTE EN EL DESARROLLO O MEJORA DE
LA TECNOLOGÍA EXISTENTE ASOCIADA A
CUALQUIER
TIPO
DE
RECURSO,
PARA QUE NUEVOS SERVICIOS SEAN
DESARROLLADOS.
POR
TANTO
LOS
GATHER & ANALYZE NEW
PRODUCTOS NUEVOS ESTAN DISPONIBLES
RESOURCE IDEAS
PARA SER VENDIDOS A CLIENTES. SE DEFINEN
ASSESS PERFORMANCE OF LOS REQUERIMIENTOS Y LA CAPACIDADES
EXISTING RESOURCES
DENTRO DE LA ESTRATÉGIA DE RECURSOS Y
DEVELOP NEW RESOURCE
LA PLANEACIÓN, TAMBIÉN SE DEFINE EN ESTE
BUSINESS PROPOSAL
PROCESO SI SE ADQUIERE O NO RECURSOS
DEVELOP DETAILED
EXTERNOS, TOMANDO EN CUENTA LAS
RESOURCE BUSINESS
POLÍTICAS ESTABLECIDAS AL RESPECTO EN
PROPOSAL
LA
ORGANIZACIÓN.
DEVELOP DETAILED
RESOURCE
LOS RECURSOS PUEDEN SER CONSTRUIDOS
SPECIFICATIONS
O ARRENDADOS A PROVEEDORES PARA
MANAGE RESOURCES
ASEGURAR
LA
MAYOR EFICIENCIA
Y
DEVELOPMENT
EFECTIVIDAD DE LA SOLUCIÓN QUE SEA
MANAGE RESOURCE
UTILIZADA, TAMBIÉN SE REALIZAN LAS
DEPLOYMENT
NEGOCIOACIONES CON LOS ACUERDOS DE
MANAGE RESOURCE EXIT
NIVEL
DE
SERVICIO
CON
OTROS
PROVEEDORES O PARTNERS, IMPORTANTE
DESTACAR QUE EL CUMPLIMIENDO DE LOS
ACUERDOS
DE
NIVEL
DE
SERVICIO
DETERMINA
SI
LOS
RECURSOS
SON
CONSTRUIDOS O ARRENADADOS.
GATHER & ANALYZE
SE DESARROLLAN LAS ESTRATEGIAS Y
SUPPLY CHAIN
POLÍTICAS DE LA CADENA DE SUMINISTRO DE
INFORMATION
LA EMPRESA. INCLUYE LAS POLÍTICAS PARA
ESTABLISH SUPPLY CHAIN
PROVEEDORES Y ASOCIADOS POR EJEMPLO
STRATEGY & GOALS
LA
EMPRESA
DECIDE
QUE
HARÁ
DEFINE SUPPLY CHAIN
OUTSOURCING PARA CONSTRUIR TODA UNA
SUPPORT STRATEGIES
RED MÓVIL, TANTO EL PROCESO FUNCIONAL
PRODUCE SUPPLY CHAIN
COMO LA INFRAESTRUCTURA Y LA GESTIÓN
BUSINESS PLANS
DEL PROCESO DEL CICLO DE VIDA DEL
GAIN ENTERPRISE
PRODUCTO
SON MANEJADAS POR LA
COMMITMENT TO SUPPLY
ESTRATÉGIA DE LA CADENA DE SUMINISTRO Y
CHAIN PLANS
SUS POLÍTICAS.
166
CÓDIGO
1Db
1Dc
2Aa(1)
2Aa(2)
NOMBRE PROCESO
SUPPLY CHAIN
CAPABILITY
DELIVERY
PROCESOS NIVEL 3
DETERMINE THE SOURCING
REQUIREMENTS
MANAGE THE TENDER
PROCESS
GAIN TENDER DECISION
APPROVAL
NEGOTIATE COMMERCIAL
ARRANGEMENTS
DETERMINE POTENTIAL
SUPPLIERS/PARTNERS
GAIN APPROVAL FOR
COMMERCIAL
ARRANGEMENTS
DESCRIPCIÓN
GESTIÓN DE EVALUACIÓN DE NUEVOS
PROVEEDORES
Y
ASOCIADOS
PARA
DETERMINAR LOS MEJORES PRODUCTOS DE
ACUERDO A LAS NECESIDADES DE LA
EMPRESA.
ESTOS PROCESOS TAMBIÉN
INICIAN
Y
TERMINAN
ACUERDOS
DE
NEGOCIOS
CON
LA
CADENA
DE
ABASTECIMIENTO, DE TAL FORMA QUE
PERMITA ENTREGAR LAS CAPACIDADES
TÉCNICAS Y DE NEGOCIO REQUERIDAS POR
LA EMPRESA. POR EJEMPLO LA EMPRESA
PUEDE CONTRATAR UN PROVEEDOR DE
REDES MOVILES DE TERCERA GENERACIÓN Y
ENLAZAR LOS SISTEMAS DE INFORMACIÓN
DEL PROVEEDOR DE LA RED Y LOS SISTEMAS
PROPIOS DE LA EMPRESA, CON ESTO QUEDA
ABIERTA LA POSIBILIDA DE DESARROLLAR
NUEVAS FUNCIONALIDADES REQUERIDAS.
SUPPLY CHAIN
DEVELOPMENT &
CHANGE
MANAGEMENT
MANAGE
SUPPLIER/PARTNER
ENGAGEMENT
MANAGE SUPPLY CHAIN
CONTRACT VARIATION
MANAGE
SUPPLIER/PARTNER
TERMINATION
DA SOPORTE AL DESARROLLDO DE LA
CADENA
DE
ABASTECIMIENTO,
PARA
MANTENER EL "SERVICE CATALOGUE" PARA
HACER AGREGACIONES O MODIFICACIONES
AL MISMO. NUEVOS PROVEEDORES PUEDEN
SER REQUERIDOS PARA AMPLIAR LOS
SERVICIOS QUE SE OFRECEN
A LOS
CLIENTES, ASI POR EJEMPLO SI SE REQUIERE
OFRECER A LOS CLIENTES PORTABILIDAD
NUMÉRICA EN LAS REDES DE TERCERA
GENERACIÓN LOS PROCESOS DE "SUPPLY
CHAIN
DEVELOPMENT"
Y
"CHANGE
MANAGEMENT"
GESTIONARÁN ESTE
PROCESO MODIFICANDO O CREANDO UN
PROCESO Y/O APLICACIONES DE TI PARA
CUMPLIR EL REQUERIMIENTO.
CRM - SUPPORT &
READINESS
SUPPORT CUSTOMER
INTERFACE MANGEMENT
SUPPORT ORDER
HANDLING
SUPPORT PROBLEM
HANDLING
SUPPORT RETENTION &
LOYALTY
SUPPORT MARKETING
FULFILLMENT
SUPPORT SELLING
SUPPORT CUSTOMER QOS /
SLA
MANAGE CAMPAIGN
MANAGE CUSTOMER
INVENTORY
MANAGE PRODUCT
OFFERING INVENTORY
MANAGE SALES INVENTORY
SUPPORT BILL INVOICE
MANAGEMENT
SUPPOR BILL PAYMENTS &
RECEIVABLES
MANAGEMENT
SUPPORT BILL INQUIRY
HANDLING
INCLUYE TODOS LOS PROCESOS INMERSOS
EN LA RELACIÓN CON EL CLIENTE
Y
GARANTIZA
QUE
EL
PROCESO
DE
FACTURACIÓN SE EJECUTE DE FORMA
EFICAZ. ESTE PROCESO INLCUYE PERO NOS
SE
LIMITA
A:
PROCESO
DE
VENTAS,
OFERTA
DE
PRODUCTOS, POLÍTICAS PARA INTERACCIÓN
CON
CLIENTES.
INFRAESTRUCTURA PARA PRODUCTOS Y
CLIENTES
POLÍTICAS DE SOPORTE E INTERACCIÓN CON
CLIENTES, INCLUYE LA INTERACCIÓN CON
CLIENTES EN EL PROCESO DE FACTURACIÓN.
ANÁLISIS Y GESTIÓN DE CAMPAÑAS DE
VENTAS
ANÁLISIS Y GESTIÓN DE OPORTUNIDADES DE
VENTAS Y SUS ACTIVIDADES, INCLUYENDO LA
SELECCIÓN DE CLIENTES POTENCIALES.
MANTENER INVENTARIOS DE SOPORTE Y
VENTAS.
CUSTOMER
INTERFACE
MANAGEMENT
MANAGE CONTACT
MANAGE REQUEST
(INCLUDING SELFT
SERVICE)
ANALYZE & REPORT ON
CUSTOMER
MEDIATE & ORCHESTRATE
CUSTOMER INTERACTIONS
GESTIONA TODOS LOS INTERFACES ENTRE LA
TELCO Y SUS CLIENTES O POTENCIALES
CLIENTES.
ESTE PROCESO SE ENCARGA DE DEFINIR LOS
PROTOCOLOS, LAS RAZONES, EXEPCIONES Y
OBJETIVOS
PARA CONTACTAR A LOS
CLIENTES O POSIBLES CLIENTES, ASÍ COMO
EL ANÁLISIS DE RESULTADOS Y REPORTES DE
RESULTADOS.
167
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
DESCRIPCIÓN
GESTIONA TODOS LOS INCIDENTES O
PROBLEMAS DE FACTURACIÓN CON LOS
CLIENTE DE LA TELCO.
2Ab(1)
2Ab(2)
2Ab(3)
2Ac(1)
2Ac(2)
MARKETING
FULFILLMENT
RESPONSE
ISSUE & DISTRIBUTE
MARKETING COLLATERALS
TRACK LEADS
REALIZA LA EDICIÓN
Y DISTRIBCIÓN DE
MATERIAL DE MARKETING A LOS CLIENTES, SU
SEGUIMIENTO Y ANÁLSIS DE RESULTADOS
OBTENIDOS.
SELLING
MANAGE PROSPECTS
QUALIFY OPPORTUNITY
NEGOTIATE SALES /
CONTRACTS
ACQUIRE CUSTOMER DATA
CROSS / UP SELLING
DEVELOP SALES
PROPOSAL
MANAGE SALES ACCOUNTS
RESPONSABLE
DE
GENERAR
LOS
PRONÓSTICOS DE VENTAS EN EL TIEMPO,
CLASIFICA LOS USUARIOS DE ACUERDO A
CRITERIOS DEL NEGOCIO, SE INFLUYE EN EL
CLIENTE PARA EXACERVAR SU NECESIDAD Y
HACERLA
COINCIDIR
CON
LAS
CARACTERISTICAS DE LOS PRODUCTOS Y
SERVICIOS QUE SE OFRECEN, ESTE PROCESO
TAMBIÉN
RECIBE
Y
EVALÚA
LAS
RECOMENDACIONES DE LOS CLIENTES.
ORDER HANDLING
DETERMINE CUSTOMER
ORDER FEASIBILITY
AUTHORIZE CREDIT
TRACK & MANAGE
CUSTOMER ORDER
HANDLING
COMPLETE CUSTOMER
ORDER
ISSUE CUSTOMER ORDERS
REPORT CUSTOMER
ORDER HANDLING
CLOSE CUSTOMER ORDER
ISOLATE CUSTOMER
PROBLEM
REPORT CUSTOMER
PROBLEM
TRACK & MANAGE
PROBLEM HANDLING
CUSTOMER PROBLEM
CLOSE CUSTOMER
PROBLEM REPORT
CREATE CUSTOMER
PROBLEM REPORT
ASSESS CUSTOMER
QOS/SLA PERFORMANCE
MANAGE QOS/SLA
VIOLATION
TRACK & MANAGE
CUSTOMER QOS
PERFORMANCE
CUSTOMER
RESOLUTION
QOS/SLA
CLOSE CUSTOMER QOS
MANAGEMEN
PERFORMANCE
DEGRADATION REPORT
CREATE CUSTOMER QOS
PERFORMANCE
DEGRADATION REPORT .
REPORT CUSTOMER QOS
PERFORMANCE
ES REPONSABLE DE ACEPTAR ORDENES Y
DIRECCIONARLAS,
AUTORIZACIONES
DE
CRÉDITO, SEGUIMIENTO Y NOTIFICACIONES,
LA GESTIÓN DE ORDENES INCLUYE PERO NO
SE
LIMITA
A:
GESTIÓN DE NUEVAS ORDENES DE CLIENTES,
MODIFICACIONES Y CANCELACIONES DE
ORDENES.
DEFINIR FACTIBILIDAD A REQUERIMIENTOS NO
ESTÁNDARES SOLICITADOS POR CLIENTES.
REVISIÓN DE SOLVENCIA DE CLIENTES COMO
PARTE
DEL PROCESO DE
ORDENES.
ACTUALIZACIÓN DE BASE DE DATOS DE
CLIENTES PARA SERVICIOS ASIGANADOS,
MODIFICADOS
O
CANCELADOS.
ASIGNACIÓN
Y
TRACKING
A
PROVISIONAMIENTO DE SERVICIOS.
SON RESPONSABLES DE LA GESTIÓN DE LOS
PROBLEMAS
REPORTADOS
POR
LOS
CLIENTES Y ASOCIADOS CON LA OFERTA DE
PRODUCTOS COMPRADOS. EL OBJETIVO DE
ESTOS PROCESOS ES RECIBIR INFORMES DE
CLIENTES,
RESOLVERLAS
CON
LA
SATISFACCIÓN
DEL
CLIENTE
Y
LA
DISPONIBILIDAD DE ESTADO SIGNIFICATIVO
EN LA REPARACIÓN Y / O ACTIVIDAD DE
RECUPERACIÓN PARA EL CLIENTE
ABARCAN EL SEGUIMIENTO, GESTIÓN Y
NOTIFICACIÓN DE ENTREGA CONTRACTUAL
VS CALIDAD DE SERVICIO (QOS), COMO SE
DEFINE EN DESCRIPCIONES DE SERVICIO DE
LA EMPRESA, LOS CONTRATOS DE LOS
CLIENTES O EN EL CATÁLOGO DE OFERTAS DE
PRODUCTOS. TAMBIÉN ESTÁN PREOCUPADOS
CON EL RENDIMIENTO DE LA EMPRESA Y SUS
PRODUCTOS EN RELACIÓN CON SUS
ACUERDOS DE NIVEL DE SERVICIO (SLA) PARA
INSTANCIAS ESPECÍFICAS DEL PRODUCTO Y
OTROS DOCUMENTOS RELACIONADOS CON
EL SERVICIO.
168
CÓDIGO
2Ac(3)
2Ad(1)
2Ad(2)
2Ad(3)
2Ad(4)
2Ba
2Bb
NOMBRE PROCESO
RETENTION &
LOYALTY
BILL INVOICE
MANAGEMENT
CHARGING
MANAGE BILLING
EVENTS
MANAGE
BALANCES
SM&O SUPPORT
READINESS
SERVICE
CONFIGURATION &
ACTIVATION
PROCESOS NIVEL 3
"ESTABLISH & TERMINATE
CUSTOMER RELATIONSHIP
BUILD CUSTOMER INSIGHT
ANALYZE & MANAGE
CUSTOMER RISK
PERSONALIZE CUSTOMER
PROFILE FOR RETENTION &
LOYALTY
VALIDATE CUSTOMER
SATISFACTION"
APPLY PRICING,
DISCOUNTING,
ADJUSTMENTS & REBATES
CREATE CUSTOMER BILL
INVOICE
PRODUCE & DISTRIBUTE
BILL
PERFORM RATING
APPLY RATE LEVEL
DISCOUNTS
AGGREGATE ITEMS FOR
CHARGING
MANAGE CUSTOMER
CHARGING HIERARCHY
ENRICH BILLING EVENTS
GUIDE BILLING EVENTS
MEDIATE BILLING EVENTS
REPORT BILLING EVENT
RECORDS
MANAGE BALANCE
POLICIES
MANAGE BALANCE
OPERATIONS
MANAGE BALANCE
CONTAINERS
AUTHORIZE TRANSACTION
BASED ON BALANCE
MANAGE SERVICE
INVENTORY
ENABLE SERVICE
CONFIGURATION &
ACTIVATION
SUPPORT SERVICE
PROBLEM MANAGEMENT
ENABLE SERVICE QUALITY
MANAGEMENT
SUPPORT SERVICE &
SPECIFIC INSTANCE
RATING
DESIGN SOLUTION
ALLOCATE SPECIFIC
SERVICE PARAMETERS TO
SERVICES
TRACK & MANAGE SERVICE
PROVISIONING
IMPLEMENT CONFIGURE &
ACTIVATE SERVICE
TEST SERVICE END TO END
ISSUE SERVICE ORDERS
REPORT SERVICE
PROVISIONING
DESCRIPCIÓN
HACE
FRENTE
A
TODAS
LAS
FUNCIONALIDADES RELACIONADAS CON LA
RETENCIÓN DE LOS CLIENTES ADQUIRIDOS, Y
EL USO DE ESQUEMAS DE LEALTAD EN EL
POTENCIAL DE ADQUISICIÓN DE CLIENTES.
ESTABLECEN UNA COMPRENSIÓN COMPLETA
DE LAS NECESIDADES DEL CLIENTE, LA
DETERMINACIÓN DEL VALOR DEL CLIENTE
PARA LA EMPRESA, LA DETERMINACIÓN DE
LAS OPORTUNIDADES Y RIESGOS PARA
CLIENTES
ESPECÍFICOS,
ETC
ESTOS
PROCESOS DE RECOPILAR Y ANALIZAR LOS
DATOS DE TODAS LAS EMPRESAS Y
CONTACTO CON EL CLIENTE.
ASEGURA LA CREACIÓN DE LAS FACTURA
ELECTRONICA, FACTURA FÍSICA Y / O
PRODUCIDOS ELECTRÓNICAMENTE Y SE
DISTRIBUYEN A LOS CLIENTES, Y QUE SE HAN
APLICADO
LOS
CORRESPONDIENTES
IMPUESTOS,
DESCUENTOS,
AJUSTES,
DESCUENTOS Y CRÉDITOS PARA LOS
PRODUCTOS Y SERVICIOS OFRECIDOS A LOS
CLIENTES.
ASIGNA UN VALOR (MONETARIO O DE OTRO
TIPO) A UN EVENTO O PRODUCTO, O UNA
COMBINACIÓN DE LO ANTERIOR. PUEDE SER
UNA TARJETA DE CRÉDITO O DE DÉBITO Y
PUEDE SER MANEJADO YA SEA EN LÍNEA O
FUERA DE LÍNEA.
CUBRE LAS FUNCIONES NECESARIAS PARA
ORIENTAR, DISTRIBUIR, MEDIAR, RESUMIR,
ACUMULAR Y ANALIZAR LOS REGISTROS DE
EVENTOS
DE
FACTURACIÓN.
ESTOS
PROCESOS PUEDEN OCURRIR, EN TIEMPO
REAL, CASI EN TIEMPO REAL, O SE PUEDEN
EJECUTAR DE FORMA PERIÓDICA.
"ES EL RESPONSABLE DEL CÁLCULO, LA
APLICACIÓN DE LAS POLÍTICAS Y LA GESTIÓN
DE LA FUNCIONALIDAD / INTERFACES PARA LA
CUENTA DE SALDOS DE CLIENTES Y / O UN
SUSCRIPTOR.
AQUÍ LOS VALORES RESULTANTES DE LA
CLASIFICACIÓN Y LA APLICACIÓN DE LOS
DESCUENTOS SE APLICAN AL SALDO DE UN
CLIENTE"
GESTIONA
LA
INFRAESTRUCTURA
DEL
SERVICIO, ASEGURA QUE LA APROPIADA
CAPACIDAD DEL SERVICIO ESTÁ DISPONIBLE Y
LISTA PARA DAR SOPORTE A LA GESTIÓN DEL
DEL SERVICIO, GARANTIZA EL PROCESOS DE
FACTURACIÓN DE TODOS LOS SERVICIOS DE
LA TELCO.
ACTIVACIÓN Y PRUEBAS DEL SERVICIO A UN
CLIENTE ASEGURANDO QUE REUNE TODOS
LOS REQUERIMEINTOS SOLICITADOS POR EL
MISMO, ESTE PROCESO INLCUYE PERO NO SE
LIMITA
A:
VERIFICAR
LA
FACTIBLIDAD
DE
UN
REQUERIMIENTO NO ESTANDARD SOLICITADO
POR
EL
CLIENTE.
ASIGNAR LOS PARÁMETROS DE SERVICIO
APROPIADOS PARA DAR SOPORTE A LAS
ORDENES DE SERVICIO DE OTRAS AREAS.
169
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
CLOSE SERVICE ORDER
RECOVER SERVICE
DESCRIPCIÓN
REALIZA PRUEBAS PUNTUALES DEL SERVICIO
PARA
VALIDAR
SU
FUNCIONAMIENTO.
LIDERAR Y HACER SEGUIMIENTO DE LAS
ACTIVIDADES DE PROVICIONAMIENTO DE
SERVICIOS
GENERAR REPORTES DE ORDENES DE
SERVICIOS DE OTROS PROCESOS.
2Bc(1)
CREATE SERVICE TROUBLE
REPORT
DIAGNOSE SERVICE
PROBLEM
CORRECT & RESOLVE
SERVICE PROBLEM SERVICE PROBLEM
MANAGEMENT
TRACK & MANAGE SERVICE
PROBLEM
REPORT SERVICE
PROBLEM
CLOSE SERVICE TROUBLE
REPORT
SON LOS RESPONSABLES DE LA GESTIÓN DE
LOS
PROBLEMAS
ASOCIADOS
A
LOS
SERVICIOS ESPECÍFICOS. EL OBJETIVO DE
ESTOS PROCESOS ES LA RESPUESTA
INMEDIATA A LOS PROBLEMAS DE SERVICIO
REPORTADOS O FALLOS CON EL FIN DE
MINIMIZAR SUS EFECTOS EN LOS CLIENTES, Y
PARA INVOCAR EL RESTABLECIMIENTO DEL
SERVICIO,
O
PRESTAR
UN
SERVICIO
ALTERNATIVO TAN PRONTO COMO SEA
POSIBLE.
2Bc(2)
MONITOR SERVICE QUALITY
ANALYZE SERVICE QUALITY
IMPROVE SERVICE QUALITY
REPORT SERVICE QUALITY
PERFORMANCE
CREATE SERVICE
PERFORMANCE
DEGRADATION REPORT
TRACK & MANAGE SERVICE
QUALITY PERFORMANCE
RESOLUTION
CLOSE SERVICE
PERFORMANCE
DEGRADATION REPORT
ES EL RESPONSABLE DE LA GESTIÓN, EL
SEGUIMIENTO, LA VIGILANCIA, ANÁLISIS,
MEJORA Y PRESENTACIÓN DE INFORMES
SOBRE EL RENDIMIENTO DE LOS SERVICIOS
ESPECÍFICOS.
2Bd
2Ca
SERVICE QUALITY
MANGEMENT
SERVICE GUIDING
& MEDIATION
RM&O SUPPORT &
READINESS
MEDIATE SERVICE USAGE
RECORDS
REPORT SERVICE USAGE
RECORDS
GUIDE RESOURCE USAGE
RECORDS
ENABLE RESOURCE
PROVISIONING
ENABLE RESOURCE
PERFORMANCE
MANAGEMENT
SUPPORT RESOURCE
TROUBLE MANAGEMENT
ENABLE RESOURCE DATE
COLLECTION /
DISTRIBUTION
MANAGE RESOURCE
INVENTORY
MANAGE LOGISTICS
ESTOS PROCESOS INCLUYEN LA GUÍA
ACONTECIMIENTOS DE RECURSOS A UN
SERVICIO APROPIADO, LA MEDIACIÓN DE
ESTOS REGISTROS DE USO, ASÍ COMO DE LOS
REGISTROS DE USO DE DUPLICACIÓN YA
PROCESADOS.
ESTOS
PROCESOS
PROPORCIONAN
INFORMACIÓN
SOBRE
EVENTOS RELACIONADOS CON LOS CLIENTES
Y RELACIONADOS CON EL SERVICIO A OTRAS
ÁREAS DE PROCESO A TRAVÉS DE LA
GARANTÍA Y DE FACTURACIÓN.
GESTIONA
LOS
RECURSOS
DE
INFRAESTRUCTURA PARA ASEGUGURAR SU
USO ADECUADO, CALCULA LOS RECURSOS DE
RED NECESARIOS QUE DEBEN ESTAR
DISPONIBLES PARA PARA CUMPLIR LOS
REQUERIMIENTOS DE OTROS PROCESOS,
GARANTIZA EL PROCESO DE FACTURACIÓN
DESDE EL PUNTO DE VISTA DE LOS
RECURSOS NECESARIOS PARA EL PROCESO,
MONITOREA Y SACA REPORTES SOBRE LAS
CAPACIDADES Y COSTOS DE LOS PROCESOS
FAB, INCLUYE PERO NO SE LIMITA A:
GESTIONAR
CORTES
DE
SERVICIO
PROGRAMADO.
GESTIONAR Y GARANTIZAR EL INVENTARIO DE
RECURSOS.
ANALIZAR LA DISPONIBILIDAD Y USO EN EL
TIEMPO
DE
LOS
RECURSOS
O
GRUPOS DE RECURSOS INCLUYENDO LAS
TENDENCIAS
Y
PRONÓSTICOS.
EJECUTAR MANTENIMIENTOS PRO ACTIVOS
DE
ACTIVIDADES
DE
REPARACIÓN.
ESTABLECER LA FUERZA DE TRABAJO PARA
DOTAR DE LOS RECURSOS NECESARIO A
TODOS LOS PROCESOS DE LA TELCO.
170
CÓDIGO
2Cb
2Cc
2Cd(1)
2Cd(2)
NOMBRE PROCESO
PROCESOS NIVEL 3
RESOURCE
PROVISIONING
ALLOCATE & INSTALL
RESOURCE
CONFIGURE & ACTIVATE
RESOURCE
TEST RESOURCE
TRACK & MANAGE
RESOURCE PROVISIONING
REPORT RESOURCE
PROVISIONING
CLOSE RESOURCE ORDER
ISSUE RESOURCE ORDERS
RECOVER RESOURCE
RESOURCE
TROUBLE
MANAGEMENT
SURVEY & ANALYZE
RESOURCE TROUBLE
LOCALIZE RESOURCE
TROUBLE
CORRECT & RESOLVE
RESOURCE TROUBLE
TRACK & MANAGE
RESOURCE TROUBLE
REPORT RESOURCE
TROUBLE
CLOSE RESOURCE
TROUBLE REPORT
CREATE RESOURCE
TROUBLE REPORT
RESOURCE DATA
COLLECTION &
DISTRIBUTION
RESOURCE
MEDIATION &
REPORTING
DESCRIPCIÓN
ASIGNACIÓN,
INSTALACIÓN, ACTIVACIÓN,
CONFIGURACIÓN Y PRUEBAS DE RECURSOS
ESPECÍFICOS
QUE
REUNAN
LOS
REQUERIMIENTOS DEL SERVICIO, PARA
SATISFACER LOS REQUERIMIENTOS DE
OTROS PROCESOS DE LA TELCO, SUS
RESPONSABILIDADES INLCUYEN PERO NO SE
LIMITAN
A:
VERIFICAR LA DISPONIBILIDAD DE LOS
RECURSOS NECESARIOS PARA DAR PASO A
UNA
ORDEN
DE
TRABAJO.
ASIGANAR LOS RECURSOS ADECUADOS EN
TIPO Y CANTIDAD PARA ORDENES DE
TRABAJO
DE
OTROS
PROCESOS.
RESERVA DE RECURSOS (SEGUN LAS REGLAS
DEL NEGOCIO) POR UN PERIODO DE TIEMPO
HASTA QUE SE CONFIRME LA REALIZACIÓN DE
LA
ORDEN.
PROPORCIONAR LOS RECURSOS A BODEGAS
SEGUN
PRONÓSTICOS
Y
TENDENCIAS.
INSTALACIÓN Y PUESTA EN MARCHA DE
RECURSOS DESPUÉS DE LA ENTREGA.
CONFIGURACIÓN Y ACTIVACIÓN FÍSICA Y/O
LÓGICA
DE
RECURSOS
COMO
SEA
REQUERIDO.
SON LOS RESPONSABLES DE LA GESTIÓN DE
LOS
PROBLEMAS
ASOCIADOS
A
LOS
RECURSOS ESPECÍFICOS. LOS OBJETIVOS DE
ESTOS PROCESOS PARA GESTIONAR CON
EFICIENCIA Y EFICACIA LOS RECURSOS
REPORTADO PROBLEMAS, AISLAR LA CAUSA Y
ACTUAR PARA RESOLVER EL PROBLEMA DE
LOS RECURSOS.
SON RESPONSABLES DE LA RECOGIDA Y / O
DISTRIBUCIÓN DE LA INFORMACIÓN DE
GESTIÓN Y DE REGISTROS DE DATOS ENTRE
INSTANCIAS DE RECURSOS Y SERVICIOS Y
OTROS
PROCESOS
EMPRESARIALES.
COLLECT MANAGEMENT
RECURSOS DE RECOPILACIÓN DE DATOS Y
INFORMATION & DATA
LOS PROCESOS DE DISTRIBUCIÓN DE
PROCESS MANAGEMENT
INTERACTUAR CON LAS INSTANCIAS DE
INFORMATION & DATA
RECURSOS Y SERVICIOS PARA INTERCEPTAR
DISTRIBUTE MANAGEMENT Y / O RECOPILAR EVENTOS DE TECNOLOGÍA
INFORMATION & DATA
DE CONSUMO, REDES Y LA INFORMACIÓN Y
AUDIT DATA COLLECTION & OTRA INFORMACIÓN DE GESTIÓN PARA LA
DISTRIBUTION
DISTRIBUCIÓN A OTROS PROCESOS DENTRO
DE LA EMPRESA, Y CON LOS PROCESOS DE LA
EMPRESA PARA ACEPTAR COMANDOS,
CONSULTAS Y OTROS GESTIÓN DE LA
INFORMACIÓN PARA SU DISTRIBUCIÓN A
INSTANCIAS DE RECURSOS Y DE SERVICIOS.
GESTIONAN
RECURSOS
MEDIANTE
LA
CORRELACIÓN DE EVENTOS Y DAR FORMATO
A UN FORMATO ÚTIL. ESTOS PROCESOS
MEDIATE RESOURCE
INCLUYEN LA MEDIACIÓN Y LA COMUNICACIÓN
USAGE RECORDS
RECURSOS.
DE
LOS
REGISTROS
DE
REPORT RESOURCE USAGE
INVESTIGACIÓN DE PROBLEMAS DE EVENTOS
RECORDS
DE FACTURACIÓN RELACIONADOS CON LOS
RECURSOS ES TAMBIÉN PARTE DE ESTOS
PROCESOS.
171
CÓDIGO
2Da
2Db
2Dc
2Dd(1)
2Dd(2)
3A1
3A2
NOMBRE PROCESO
S/P PROBLEM
REPORTING &
MANAGEMENT
S/P REQUISITION
MANAGEMENT
S/P PROBLEM
REPORTING &
MANAGEMENT
S/P SETTLEMENTS
& PAYMENTS
MANAGEMENT
S/P INTERFACE
MANAGEMENT
STRATEGIC
BUSINESS
PLANNING
BUSINESS
DEVELOPMENT
PROCESOS NIVEL 3
DESCRIPCIÓN
INITIATE S/P PROBLEM
REPORT
RECEIVE S/P PROBLEM
REPORT
TRACK & MANAGE S/P
PROBLEM RESOLUTION
REPORT S/P PROBLEM
RESOLUTION
CLOSE S/P PROBLEM
REPORT
SON LOS PROCESOS DE SEGUIMIENTO,
CONTROL
Y
COMUNICACIÓN
EN
EL
PROVEEDOR DE SERVICIOS, ASEGURAN QUE
LAS
INTERACCIONES
ESTÁN
EN
CONFORMIDAD
CON
LOS
ACUERDOS
COMERCIALES
ACORDADAS
ENTRE
EL
PROVEEDOR Y EL PROVEEDOR / SOCIO.
ADEMÁS, LOS PROVEEDORES / SOCIOS
EXTERNOS PUEDEN INFORMAR S / P
DESCUBRIÓ PROBLEMAS CON EL PROVEEDOR
DE SERVICIOS QUE PUEDAN AFECTAR LOS
RECURSOS, SERVICIOS Y / O CLIENTES.
SELECT SUPLIER /
PARTNER
DETERMINE S/P
REQUISITION FEASIBILTY
TRACK & MANAGE S/P
REQUISITION
RECEIVE & ACCEPT S/P
REQUISITION
INITIATE S/P REQUISITION
ORDER
REPORT S/P REQUISITION
CLOSE S/P REQUISITION
ORDER
MONITOREO, SEGUIMIENTO Y REPORTES DE
LOS PROVEEDORES DE SERVICIO Y/O
PRODUCTOS EXTERNOS A LA TELCO,
ASEGURANDO QUE LA INTERACCIÓN ESTÉ DE
ACUERDO A LOS ACUERDOS COMERCIALES.
INITIATE S/P PROBLEM
REPORT
RECEIVE S/P PROBLEM
REPORT
TRACK & MANAGE S/P
PROBLEM RESOLUTION
REPORT S/P PROBLEM
RESOLUTION
CLOSE S/P PROBLEM
REPORT
SON LOS PROCESOS DE SEGUIMIENTO,
CONTROL
Y
COMUNICACIÓN
EN
EL
PROVEEDOR DE SERVICIOS, ASEGURAN QUE
LAS
INTERACCIONES
ESTÁN
EN
CONFORMIDAD
CON
LOS
ACUERDOS
COMERCIALES
ACORDADAS
ENTRE
EL
PROVEEDOR Y EL PROVEEDOR / SOCIO.
ADEMÁS, LOS PROVEEDORES / SOCIOS
EXTERNOS PUEDEN INFORMAR S / P
DESCUBRIÓ PROBLEMAS CON EL PROVEEDOR
DE SERVICIOS QUE PUEDAN AFECTAR LOS
RECURSOS, SERVICIOS Y / O CLIENTES.
MANAGE ACCOUNT
RECEIVE & ASSESS
INVOICE
NEGOTIATE & APPROVE
INVOICE
ISSUE SETTLEMENT NOTICE
& PAYMENT
GESTIONAN
TODOS
LAS
PROCESOS
CONTABLES Y LOS PAGOS DE LA EMPRESA,
INCLUIDA LA VALIDACIÓN Y VERIFICACIÓN DE
FACTURAS Y AUTORIZACIÓN DE PAGO.
MANAGE S/P REQUESTS
(INCLUDING SELF SERVICE)
ANALYZE & REPORT S/P
INTERACTIONS
MEDIATE & ORCHESTRATE
SUPPLIER/PARTNER
INTERACTIONS
PROVIDE STRATEGIC
BUSINESS DIRECTION
CREAT ACTIONABLE
STRATEGY
PROGRAM-MANAGE
STRATEGY
IMPLEMENTATION
DEVELOP CONCEPTS FOR
REVENUE STREAMS
FOCUS OR BROADEN
CUSTOMER BASE
IDENTIFY OUTSPOURCING
OPPORTUNITIES
GESTIONAN LOS CONTACTOS ENTRE LA
EMPRESA Y SUS PROVEEDORES / SOCIOS
PARA LOS PRODUCTOS O SERVICIOS
ACTUALES O FUTUROS. ESTOS PROCESOS
SON, BÁSICAMENTE, CONTACTO CON LOS
PROCESOS DE GESTIÓN Y SEGUIMIENTO.
ESTOS S / P INTERFAZ DE ADMINISTRACIÓN DE
PROCESOS DE INTERFAZ CON EL PROCESO
DE CRM DE GESTIÓN DE INTERFAZ DE
CLIENTE.
ESTABLECE UNA ESTRATÉGIA Y PLANEACIÓN
DEL NEGOCIO Y DIRECCIÓN PARA LA
EMPRESA. ESTE MACRO PROCESO ABARCA
TODAS LAS FUNCIONES REQUERIDAS PARA
PROVEER LA ESTRATÉGIA DE NEGOCIOS Y
DIRECCIÓN DE LA EMPRESA, CREA PLANES
DE ACCIÓN BASADOS EN LA ESTRATÉGIA DE
NEGOCIOS Y PROVEE UN ALTO NIVEL DEL
PROGRAMA
DE
GESTIÓN
DE
SU
IMPLEMENTACIÓN.
DESARROLLAN CONCEPTOS PARA NUEVAS
FUENTES DE INGRESOS, LA DIVERSIFICACIÓN
DE FUENTES DE INGRESOS Y SE CENTRAN O
AMPLIACIÓN DE LA BASE DE CLIENTES A
TRAVÉS DE LA INVESTIGACIÓN DE NUEVOS
172
CÓDIGO
3A3
3A4
3A5
NOMBRE PROCESO
ENTERPRISE
ARCHITECTURE
MANAGEMENT
GROUP
ENTERPRISE
MANAGEMENT
ITIL RELEASE AND
DEPLOYMENT
MANAGEMENT
PROCESOS NIVEL 3
DESCRIPCIÓN
INVESTIGATE POTENTIAL
MERGERS & ACQUISITIONS
FACILITATE NEGOTIATION &
IMPLEMENTATION OF
POTENTIAL MERGERS &
ACQUISITIONS
MANAGE ENTERPRISE
ARCHITECTURE
METHODOLOGY
COORDINATE ENTERPRISE
ARCHITECTURE
MANAGE ENTERPRISE
ARCHITECTUER TOOLSETS
AND ASSOCIATED
STANDARDS
MANAGE & ADMINISTER
ARCHITECTURE
REPOSITORIES
MANAGE ARCHITECTURE
SKILLSETS
PROVIDE REFERENCE
SOURCE FOR STANDARD
OPERATING ENVIRONMENT
COORDINATE
ARCHITECTURE REVIEW
MERCADOS, ASÍ COMO LOS DIFERENTES
PRODUCTOS Y SERVICIOS PARA LA EMPRESA.
PLANN & IMPLEMENT
CROSS-BUSINESS UNIT
OPERATION
HARMONIZE PROCESSES &
COMMUNICATION SYSTEMS
ACROSS BUSINESS UNITS
MANAGE FUNDING &
CROSS-SUBSIDIES ACROSS
BUSINESS UNITS
MANAGE INVESTMENT FOR
BUSINESS DEVELOPMENT
COORDINATE BUSINESS
ACTIVITIES
N/A
3A6
ITIL CHANGE
MANAGEMENT
N/A
3B1
BUSINESS
CONTINUITY
MANAGEMENT
COORDINATE BUSINESS
CONTINUITY
PLAN BUSINESS
CONTINUITY
PLAN INFRASTRUCTURE
RECOVERY
ESTOS PROCESOS DEFINEN / SELECCIONAR,
DESARROLLAR
E
IMPLEMENTAR
LA
METODOLOGÍA DE ARQUITECTURA DE LA
EMPRESA,
QUE
ES
UN
MARCO
DE
REFERENCIA QUE IDENTIFICA LOS MODELOS
DE REFERENCIA, SUS RELACIONES ENTRE SÍ,
Y LOS PROCESOS DE GESTIÓN DE LA
ARQUITECTURA
UTILIZADA
PARA
ESTABLECER Y MANTENER LA ARQUITECTURA
DE LA EMPRESA
SON
LOS
RESPONSABLES
DE
LA
PLANIFICACIÓN Y LA GESTIÓN DE LA
COORDINACIÓN ENTRE LAS UNIDADES DE
NEGOCIO DENTRO DE LA EMPRESA Y ENTRE
LA EMPRESA Y SUS SUBSIDIARIAS (NOTA QUE
LAS INTERACCIONES SIMILARES SOBRE
EXTERNALIZACIÓN
RELACIONADOS
CON
PROVEEDORES Y SOCIOS SE MANEJAN EN
OTROS LUGARES, A TRAVÉS DE LA CADENA DE
SUMINISTRO
Y
LOS
PROCESOS
DE
PROVEEDOR / ASOCIADO). LA ATENCIÓN SE
CENTRA EN LOS PROCESOS RELACIONADOS
CON LA COORDINACIÓN DENTRO DE LA
PROPIA ORGANIZACIÓN DE LA EMPRESA,
INCLUIDAS LAS FILIALES, DESDE EL PUNTO DE
VISTA DE TODA LA EMPRESA.
SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES
COMO UN MODELO O PLANTILLA PARA QUÉ
OTRAS ÁREAS DE PROCESO DEBEN OPERAR
PARA ALINEARSE CON EL ENFOQUE DE ITIL,
DONDE ESTO ES RELEVANTE PARA LA
EMPRESA EN CUESTIÓN. TENGA EN CUENTA
QUE NO TODAS LAS ORGANIZACIONES OPTAN
POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ
OTROS MODELOS DE LANZAMIENTO E
IMPLEMENTACIÓN DE GESTIÓN PUEDEN
APLICARSE EN ESTOS CASOS.
SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES
COMO UN MODELO O PLANTILLA PARA QUÉ
OTRAS ÁREAS DE PROCESO DEBEN OPERAR
PARA ALINEARSE CON EL ENFOQUE DE ITIL,
DONDE ESTO ES RELEVANTE PARA LA
EMPRESA EN CUESTIÓN. TENGA EN CUENTA
QUE NO TODAS LAS ORGANIZACIONES OPTAN
POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ
OTROS MODELOS PARA LA GESTIÓN DEL
CAMBIO
(O
EQUIVALENTE)
PUEDEN
APLICARSE EN ESTOS CASOS.
GESTIONA EL DESARROLLO DE ESTRATEGIAS,
POLITICAS,
PLANES,
ROLES
ORGANIZACIONALES, RESPONSABILIDADES,
ESCALACIÓN
DE PROCEDIMIENTOS Y ACTIVIDADES EN
CASO DE OCURRENCIA DE EVENTOS GRAVES
173
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
PLAN SERIOUS INCIDENT
MANAGEMENT
MANAGE BUSINESS
CONTINUITY
METHODOLOGIES
3B2
3B3
SECURITY
MANAGEMENT
FRAUD
MANAGEMENT
DESCRIPCIÓN
QUE INTERRUMPAN LA OPERACIÓN DEL
NEGOCIO. ESTOS PROCESOS ASEGURAN QUE
PLANES Y PROCEDIMIENTOS APROPIADOS
ESTÁN ESTABLECIDOS Y DEBIDAMENTE
PROBADOS PARA PROVEER CONTINUIDAD EN
LA OPERACIÓN DEL NEGOCIO, PROVEYENDO
UN PLAN CONTROLADO DE RECUPERACIÓN
DE FUNCIONALIDAD DE INFRAESTRUDTURA
TECNOLÓGICA HASTA LLEGAR A LOS NIVELES
NORMALES DE FUNCIONALIDAD Y HABILITAR
LOS PROCESOS Y ACTIVIDADES CLAVES DEL
NEGOCIO.
DEFINE SECURITY
MANAGEMENT PREVENTION
SECURITY MANAGEMENT
MANAGE PROACTIVE
SECURITY MANAGEMENT
MONITOR INDUSTRY
TRENDS FOR SECURITY
MANAGEMENT
DEFINE SECUIRTY
MANAGEMENT POLICIES &
PROCEDURES
ASSIST WITH SECURITY
MANGEMENT DEPLOYMENT
MANAGE REACTIVE
SECURITY MANAGEMENT
DETECT POTENTIAL
SECURITY THREATS &
VIOLATIONS
INVESTIGATE POTENTIAL
SECURITY THREATS &
VIOLATIONS
DEFINE MONITORING TO
FACILITATE SECURITY
MANAGEMENT
DEFINE SECURITY
MANAGEMENT ANALYSIS
DEFINE SECURITY
MANAGEMENT POLICIES &
PROCEDURES TO
FACILITATE DETECTION
INCIDENTS
DEFINE INCIDENT
MANAGEMENT POLICIES
AND PROCEDURES
EVALUAN LAS AMENAZAS A LA EMPRESA Y
OFRECEN CAPACIDADES Y CONTROLES PARA
MINIMIZAR LAS AMENAZAS IDENTIFICADAS.
ESTOS PROCESOS SON RESPONSABLES DE
ESTABLECER LAS POLÍTICAS DE GESTIÓN DE
LA SEGURIDAD CORPORATIVA, DIRECTRICES,
MEJORES PRÁCTICAS Y AUDITORÍAS DE
CUMPLIMIENTO POR PARTE DE LA EMPRESA.
EN LA INFORMACIÓN Y LAS COMUNICACIONES
(TIC) DE DOMINIO PROVEEDOR DE SERVICIOS,
GESTIÓN DE LA SEGURIDAD ES UNA SERIE
SISTEMÁTICA Y CONTINUA DE LOS PROCESOS
Y COMPORTAMIENTOS QUE GARANTICEN LA
CONFIDENCIALIDAD,
DISPONIBILIDAD
E
INTEGRIDAD DE LOS ACTIVOS TIC CRÍTICOS
DE LA EMPRESA.
FRAUD POLICY
MANAGEMENT
FRAUD MANAGEMENT
LOS PROCESOS GESTIÓN DE FRAUDES DEBEN
INSTAURAR LAS POLÍTICAS CORPORATIVAS
DE LA GESTIÓN DE FRAUDES, LAS
DIRECTRICES, LAS ACCIONES QUE MEJOR
CONVIENEN
Y
LAS
VERIFICACIONES
NECESARIAS CON VISTAS A LA OBSERVANCIA
DE
LAS
NORMAS
DE
LA
EMPRESA
CONCERNIENTES A LOS CASOS DE FRAUDE.
LA GESTIÓN DE FRAUDES ABORDA LOS
ASPECTOS DE FUENTES INTERNAS Y
EXTERNAS DE VIOLACIONES A LA SEGURIDAD.
ESTOS
PROCESOS
INTERACTÚAN
SENSIBLEMENTE CON LA GESTIÓN DE LA
SEGURIDAD Y COMPARTEN ELEMENTOS EN
COMÚN; POSEEN, ASIMISMO, ELEMENTOS
ESPECÍFICOS DE
COMUNICACIONES Y
SERVICIOS DE INFORMACIÓN. LOS PROCESOS
GESTIÓN DE FRAUDES SON EJECUTADOS EN
DIVERSOS NIVELES DE LA EMPRESA Y EN LOS
NIVELES
USUARIO,
SISTEMA/RED,PLATAFORMAS DE SERVICIOS Y
DEMAS.
174
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
AUDIT
MANAGEMENT
DEFINE AUDIT POLICY
DEFINE AUDIT MECHANIMS
ASSESS OPERATONAL
ACTIVITIES
EVALUATE OPERATIONAL
ACTIVITIES
REPORT AUDITS
APPLY AUDIT MECHANISMS
PROACTIVELY
INSURANCE
MANAGEMENT
IDENTIFY INSURABLE RISKS
ANALYZE INSURANCE
COST/BENEFITS
PROVIDE INSURANCE
ADVICE
MANAGE INSURAMCE
PORRTFOLIO
3B6
REVENUE
ASSURANCE
MANAGEMENT
MANAGE REVENUE
ASSURANCE POLICY
FRAMEWORK
MANAGE REVENUE
ASSURANCE OPERATIONS
SUPPORT REVENUE
ASSURANCE OPERATIONS
3B7
ITIL IT SERVICE
CONTINUITY
MANAGEMENT
N/A
3B8
ITIL INFORMATION
SECURITY
MANAGEMENT
N/A
3B4
3B5
DESCRIPCIÓN
IDENTIFICAN, ESTABLECEN PRIORIDADES Y
GESTIONAN LOS PROGRAMAS DE AUDITORÍA,
DEFINIR LAS POLÍTICAS Y PROCEDIMIENTOS
DE AUDITORÍA, EVALUAR LAS ACTIVIDADES
OPERACIONALES PARA ASEGURAR LAS
ESTRUCTURAS DE CONTROL NECESARIAS O
MANDATO ESTÁN EN SU LUGAR, Y
PROPORCIONAN UNA ESTIMACIÓN DE LA
MEDIDA
EN
QUE
SE
SIGAN
LOS
PROCEDIMIENTOS Y SON EFICACES. LOS
PROCESOS
GARANTIZAN
QUE
LOS
CORRESPONDIENTES INFORMES RELATIVOS
AL CUMPLIMIENTO Y LA CAPACIDAD SE
PROPORCIONAN A LA ALTA DIRECCIÓN /
JUNTA DENTRO DE LOS PLAZOS DEFINIDOS
CORRESPONDIENTES.
LOS
PROCESOS
DEFINEN EL ENFOQUE DE AUDITORÍA PARA
SER UTILIZADO DEPENDIENDO DE LAS
CIRCUNSTANCIAS,
ASÍ
COMO
LA
METODOLOGÍA DE EVALUACIÓN DE RIESGO Y
EL ENFOQUE DE PUNTUACIÓN PARA SER
UTILIZADO.
SON RESPONSABLES DE EVALUAR Y
GESTIONAR LOS RIESGOS ASEGURABLES
DENTRO
DE
UNA
EMPRESA.
ESTOS
PROCESOS SE IDENTIFICAN LAS ÁREAS Y
ACTIVIDADES DENTRO DE LA EMPRESA EN
LOS
ASPECTOS
DE
RIESGOS
SON
ASEGURABLES, Y ANALIZAR EL COSTO /
BENEFICIO
DE
REALIZAR
SEGURO
ESPECÍFICO.
ESTABLECE UN MARCO PARA TODA LA
EMPRESA LOS INGRESOS GARANTÍA POLÍTICA
Y UNA CAPACIDAD OPERATIVA ASOCIADA
PARA RESOLVER CUALQUIER DEGRADACIÓN
DE ASEGURAMIENTO DE INGRESOS Y LAS
VIOLACIONES DETECTADAS. PROCESOS DE
GESTIÓN DE ASEGURAMIENTO DE INGRESOS
IDENTIFICAR LAS ÁREAS DE RIESGO DE FUGA
DE INGRESOS DENTRO DE LA EMPRESA, Y LAS
TENDENCIAS
DE
LA
INDUSTRIA
DE
MONITORES Y ENFOQUES DE MEJORES
PRÁCTICAS PARA GARANTIZAR QUE LA
EMPRESA SE MANTIENE A LA VANGUARDIA DE
LOS INGRESOS FUGAS MINIMIZACIÓN. ESTOS
PROCESOS DE APOYO A LA CATEGORIZACIÓN
Y PRIORIZACIÓN DE ÁREAS DE RIESGO DE
PÉRDIDA DE INGRESOS.
SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES
COMO UN MODELO O PLANTILLA PARA QUÉ
OTRAS ÁREAS DE PROCESO DEBEN OPERAR
PARA ALINEARSE CON EL ENFOQUE DE ITIL,
DONDE ESTO ES RELEVANTE PARA LA
EMPRESA EN CUESTIÓN. TENGA EN CUENTA
QUE NO TODAS LAS ORGANIZACIONES OPTAN
POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ
OTROS MODELOS DE IT SERVICE CONTINUITY
MANAGEMENT (O EQUIVALENTE) PUEDEN
APLICARSE EN ESTOS CASOS.
SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES
COMO UN MODELO O PLANTILLA PARA QUÉ
OTRAS ÁREAS DE PROCESO DEBEN OPERAR
PARA ALINEARSE CON EL ENFOQUE DE ITIL,
DONDE ESTO ES RELEVANTE PARA LA
EMPRESA EN CUESTIÓN. TENGA EN CUENTA
QUE NO TODAS LAS ORGANIZACIONES OPTAN
POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ
OTROS MODELOS DE GESTIÓN DE LA
SEGURIDAD
DE
LA
INFORMACIÓN
(O
EQUIVALENTE) PUEDEN APLICARSE EN ESTOS
175
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
3B9
ITIL PROBLEM
MANAGEMENT
N/A
3C1
PROCESS
MANAGEMENT &
SUPPORT
N/A
3C2
ENTERPRISE
QUALITY
MANAGEMENT
N/A
3C3
PROGRAM &
PROJECT
MANAGEMENT
DELIVER
PROGRAM/PROJECT
METHODOLOGIES &
SUPPORT
SELECT
PROGRAM/PROJECT
MANAGEMENT SUPPORT
TOOLS
MANAGE
PROGRAM/PROJECT
MANAGEMENT SKILL SETS
MANAGE
PROGRAM/PROJECT
MANAGEMENT
REPOSITORY
MANAGE
PROGRAM/PROJECT
MANAGEMENT METRICS
DEFINE ENTERPRISE
PERFORMANCE MEASURES
MANAGE ENTERPRISE
PERFORMANCE DATA
MANAGE EXTERNAL
SURVET COMPANIES
REPORT BALANCED
SCORECARD
3C4
ENTERPRISE
PERFORMANCE
ASSESSMENT
3C5
FACILITIES
MANAGEMENT &
SUPPORT
N/A
3C6
ITIL SERVICE
ASSET AND
CONFIGURATION
MANAGEMENT
N/A
DESCRIPCIÓN
SE DEFINE DENTRO DE ITIL. SU PAPEL AQUÍ ES
COMO UN MODELO O PLANTILLA PARA QUÉ
OTRAS ÁREAS DE PROCESO DEBEN OPERAR
PARA ALINEARSE CON EL ENFOQUE DE ITIL,
DONDE ESTO ES RELEVANTE PARA LA
EMPRESA EN CUESTIÓN. TENGA EN CUENTA
QUE NO TODAS LAS ORGANIZACIONES OPTAN
POR SEGUIR EL ENFOQUE DE ITIL, Y ASÍ
OTROS
MODELOS
DE
GESTIÓN
DE
PROBLEMAS (O EQUIVALENTE) PUEDEN
APLICARSE EN ESTOS CASOS.
DEFINEN Y ADMINISTRAN LA GESTIÓN DE
PROCESOS
EMPRESARIALES.
ESTOS
PROCESOS DEFINEN LA METODOLOGÍA A SER
UTILIZADA POR TODO EL DISEÑO DE
PROCESOS, GESTIÓN DE CAMBIOS EN LOS
PROCESOS O ACTIVIDADES DE REINGENIERÍA
DE PROCESOS EN TODA LA EMPRESA.
DEFINEN LAS POLÍTICAS DE GESTIÓN DE
CALIDAD DE LA EMPRESA Y EL MODELO
EMPRESARIAL PARA LA GESTIÓN DE LA
CALIDAD.
SE
ADMITEN
TODAS
LAS
OPERACIONES Y PROCESOS DEL CICLO DE
VIDA DE LA APLICACIÓN Y EL CONTROL DE
ESTE MODELO.
DEFINE Y GESTIONA EL PROGRAMA Y LAS
METODOLOGÍAS DE GESTIÓN DE PROYECTOS,
DESTREZAS Y HERRAMIENTAS DENTRO DE LA
EMPRESA. ESTOS PROCESOS DOCUMENTAN
EL PROGRAMA Y LAS METODOLOGÍAS USADAS
EN LOS PROYECTOS, PROVEEN PLANTILLAS Y
HERRAMIENTAS
REQUERIDAS
PARA
DESARROLLAR
EL
PROYECTO,
SE
DETERMINAN LAS HABILIDADES REQUERIDAS
Y
LOS
NIVELES
DE
CERTIFICACIÓN
NECESARIOS, CON LA INFORMACIÓN QUE SE
GENERA DE LA EJECUCIÓN DE PROYECTOS
SE DETERMINANA MÉTRICAS PARA HACER
UNA
ANÁLISIS
GLOBAL
Y
GENERAR
INDICADORES.
ESTOS
PROCESOS
PROPORCIONAN
INFORMES PERIÓDICOS A LA ALTA DIRECCIÓN
Y AL CONSEJO SOBRE EL ESTADO DE TODOS
LOS
INDICADORES
DE
DESEMPEÑO
DEFINIDOS SOBRE UNA BASE REGULAR
(GENERALMENTE MENSUAL).
PROCESOS SE ENCARGAN DE LOS ASPECTOS
AMBIENTALES EN EL LUGAR DE TRABAJO DE
LA EMPRESA, ASEGURÁNDOSE DE LAS
INSTALACIONES DEL LUGAR DE TRABAJO SON
SUFICIENTES
PARA
GARANTIZAR
EL
RENDIMIENTO ÓPTIMO DE LOS EMPLEADOS
DEFINIDO EN ITIL. SU PAPEL AQUÍ ES COMO UN
MODELO O PLANTILLA PARA QUÉ OTRAS
ÁREAS DE PROCESO DEBEN OPERAR PARA
ALINEARSE CON EL ENFOQUE DE ITIL, DONDE
ESTO ES RELEVANTE PARA LA EMPRESA EN
CUESTIÓN. TENGA EN CUENTA QUE NO TODAS
LAS ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE
ACTIVOS DE SERVICIO Y GESTIÓN DE LA
CONFIGURACIÓN (O EQUIVALENTE) PUEDEN
APLICARSE EN ESTOS CASOS.
176
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
3C7
ITIL EVENT
MANAGEMENT
N/A
3C8
ITIL SERVICE
CATALOGUE
MANAGEMENT
N/A
3C9
ITIL INCIDENT
MANAGEMENT
N/A
3C10
ITIL SERVICE
LEVEL
MANAGEMENT
N/A
3C11
ITIL CAPACITY
MANAGEMENT
N/A
3C12
ITIL AVAILABILITY
MANAGEMENT
N/A
3C13
ITIL REQUEST
FULFILLMENT
N/A
DESCRIPCIÓN
SU PAPEL AQUÍ ES COMO UN MODELO O
PLANTILLA PARA QUÉ OTRAS ÁREAS DE
PROCESO DEBEN OPERAR PARA ALINEARSE
CON EL ENFOQUE DE ITIL, DONDE ESTO ES
RELEVANTE PARA LA EMPRESA EN CUESTIÓN.
TENGA EN CUENTA QUE NO TODAS LAS
ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS
PARA LA GESTIÓN DE EVENTOS (O
EQUIVALENTE) PUEDEN APLICARSE EN ESTOS
CASOS.
DEFINIDA EN ITIL. SU PAPEL AQUÍ ES COMO UN
MODELO O PLANTILLA PARA QUÉ OTRAS
ÁREAS DE PROCESO DEBEN OPERAR PARA
ALINEARSE CON EL ENFOQUE DE ITIL, DONDE
ESTO ES RELEVANTE PARA LA EMPRESA EN
CUESTIÓN. TENGA EN CUENTA QUE NO TODAS
LAS ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE
GESTIÓN DE CATÁLOGO DE SERVICIOS (O
EQUIVALENTE) PUEDEN APLICARSE EN ESTOS
CASOS.
SU PAPEL AQUÍ ES COMO UN MODELO O
PLANTILLA PARA QUÉ OTRAS ÁREAS DE
PROCESO DEBEN OPERAR PARA ALINEARSE
CON EL ENFOQUE DE ITIL, DONDE ESTO ES
RELEVANTE PARA LA EMPRESA EN CUESTIÓN.
TENGA EN CUENTA QUE NO TODAS LAS
ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE
GESTIÓN DE INCIDENTES (O EQUIVALENTE)
PUEDEN APLICARSE EN ESTOS CASOS.
SU PAPEL AQUÍ ES COMO UN MODELO O
PLANTILLA PARA QUÉ OTRAS ÁREAS DE
PROCESO DEBEN OPERAR PARA ALINEARSE
CON EL ENFOQUE DE ITIL, DONDE ESTO ES
RELEVANTE PARA LA EMPRESA EN CUESTIÓN.
TENGA EN CUENTA QUE NO TODAS LAS
ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS
PARA LA GESTIÓN DE NIVEL DE SERVICIO (O
EQUIVALENTE) PUEDEN APLICARSE EN ESTOS
CASOS.
SU PAPEL AQUÍ ES COMO UN MODELO O
PLANTILLA PARA QUÉ OTRAS ÁREAS DE
PROCESO DEBEN OPERAR PARA ALINEARSE
CON EL ENFOQUE DE ITIL, DONDE ESTO ES
RELEVANTE PARA LA EMPRESA EN CUESTIÓN.
TENGA EN CUENTA QUE NO TODAS LAS
ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE
GESTIÓN DE CAPACIDAD (O EQUIVALENTE)
PUEDEN APLICARSE EN ESTOS CASOS.
SU PAPEL AQUÍ ES COMO UN MODELO O
PLANTILLA PARA QUÉ OTRAS ÁREAS DE
PROCESO DEBEN OPERAR PARA ALINEARSE
CON EL ENFOQUE DE ITIL, DONDE ESTO ES
RELEVANTE PARA LA EMPRESA EN CUESTIÓN.
TENGA EN CUENTA QUE NO TODAS LAS
ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE
ADMINISTRACIÓN DE DISPONIBILIDAD (O SU
EQUIVALENTE) PUEDEN APLICARSE EN ESTOS
CASOS.
SU PAPEL AQUÍ ES COMO UN MODELO O
PLANTILLA PARA QUÉ OTRAS ÁREAS DE
PROCESO DEBEN OPERAR PARA ALINEARSE
CON EL ENFOQUE DE ITIL, DONDE ESTO ES
RELEVANTE PARA LA EMPRESA EN CUESTIÓN.
TENGA EN CUENTA QUE NO TODAS LAS
177
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
3C14
ITIL CONTINUAL
SERVICE
IMPROVEMENT
N/A
3D1
KNOWLEDGE
MANAGEMENT
N/A
3D2
RESEARCH
MANAGEMENT
EVALUATE R&D BUSINESS
VALUE
MANAGE R&D INVESTMENT
MANAGE R&D PROGRAM
ACTVITIES
3D3
3E1
TECHNOLOGY
SCANNING
FINANCIAL
MANAGEMENT
EVALUATE EXTERNAL
TECHNOLOGY
DETERMINE BUSINESS
VALUE OF POTENTIAL
TECHNOLOGY
ASSESS TECHNOLOGY
ACQUISITION
N/A
DESCRIPCIÓN
ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE
SOLICITUD
DE
CUMPLIMIENTO
(O
EQUIVALENTE) PUEDEN APLICARSE EN ESTOS
CASOS.
SU PAPEL AQUÍ ES COMO UN MODELO O
PLANTILLA PARA QUÉ OTRAS ÁREAS DE
PROCESO DEBEN OPERAR PARA ALINEARSE
CON EL ENFOQUE DE ITIL, DONDE ESTO ES
RELEVANTE PARA LA EMPRESA EN CUESTIÓN.
TENGA EN CUENTA QUE NO TODAS LAS
ORGANIZACIONES OPTAN POR SEGUIR EL
ENFOQUE DE ITIL, Y ASÍ OTROS MODELOS DE
CSI (O EQUIVALENTE) PUEDEN APLICARSE EN
ESTOS CASOS.
SON RESPONSABLES DE LA GESTIÓN DEL
CONOCIMIENTO
TÁCITO
Y
EXPLÍCITO
CONTENIDO CON LA EMPRESA. ESTO INCLUYE
EL ESTABLECIMIENTO DE PROCESOS Y
CAPACIDADES PARA ASEGURAR QUE TODO EL
PERSONAL TENGA LOS CONOCIMIENTOS
NECESARIOS A SU ALCANCE PARA SER
EFICAZ EN SU TRABAJO, Y PARA ASEGURAR
QUE LOS CONOCIMIENTOS OBTENIDOS A
TRAVÉS DE ACTIVIDADES DE TRABAJO SE
CONSERVARÁN Y PONDRÁN COMO SE
REQUIERE EN TODA LA EMPRESA. ALGUNOS
EJEMPLOS DE PROCESOS DE GESTIÓN DEL
CONOCIMIENTO
INCLUYEN
PROCESOS
ASOCIADOS CON LA GESTIÓN DE PATENTES,
LOS DERECHOS DE PROPIEDAD INTELECTUAL
DE GESTIÓN, LAS NORMAS DE INFORMACIÓN
Y LA INFORMACIÓN DE CAPTURA Y EL
ALMACENAMIENTO, Y LA ASIGNACIÓN DE
DIRECCIÓN
PARA
PROPORCIONAR
LA
ADMINISTRACIÓN DE DATOS, REDUCIENDO AL
MÍNIMO LOS CASOS DE LOS MISMOS DATOS,
ETC OTROS EJEMPLOS INCLUYEN EL
ESTABLECIMIENTO DE PROCESOS POLÍTICAS
Y EL ESTABLECIMIENTO DE LA GESTIÓN DE
PORTALES EMPRESARIALES Y CAPACIDADES
DE INTRANET.
PLANIFICAN Y PRIORIZAR LAS ACTIVIDADES
DE INVESTIGACIÓN Y DESARROLLO DENTRO
DE LA EMPRESA. ESTOS PROCESOS SE
IDENTIFICAN Y EVALÚAN EL VALOR DE
NEGOCIO DE LA INVERSIÓN EN I + D. ESTOS
PROCESOS GESTIONAN LA ASIGNACIÓN DE
RECURSOS FINANCIEROS Y DE OTRO TIPO A
LA BÚSQUEDA DE ÁREAS DE I + D, Y LA
GESTIÓN DE PROGRAMAS DE I + D Y LA
EVALUACIÓN PERMANENTE DE SU VALOR Y
PRIORIDAD. ESTOS PROCESOS COOPERAN
CON ADQUISICIÓN DE TECNOLOGÍA PARA LAS
DECISIONES A NIVEL INSTITUCIONAL EN
MATERIA DE INVERSIÓN INTERNO O EXTERNO
DE INVESTIGACIÓN Y DESARROLLO "HACER
FRENTE A COMPRAR"
REALIZAN PROCESOS DE EXPLORACIÓN Y
EVALUACIÓN INICIAL DE LAS NUEVAS
TECNOLOGÍAS A PARTIR DE FUENTES
EXTERNAS PARA LA EMPRESA. ESTO INCLUYE
LA IDENTIFICACIÓN Y EVALUACIÓN DE LAS
TECNOLOGÍAS POTENCIALES Y FUENTES DE
TECNOLOGÍAS, Y LA COMPARACIÓN CON LA
CAPACIDAD DE INVESTIGACIÓN "IN-HOUSE".
SE ENCARGAN DE LOS PROCESOS DE
GESTIÓN DE LOS ASPECTOS FINANCIEROS DE
LA EMPRESA, TALES COMO TESORERÍA,
BANCA, NÓMINA, PLANIFICACIÓN FINANCIERA,
178
CÓDIGO
3E2
3E3
3F1
NOMBRE PROCESO
PROCESOS NIVEL 3
ASSET
MANAGEMENT
N/A
PROCUREMENT
MANAGEMENT
MANAGE CORPORATE
PROCUREMENT &
LOGISTICS POLICIES
DEFINE WAREHOUSING
POLICIES
DEVELOP
LOGISTICS/TRANSPORT
POLICIES
DEVELOP
STOCK/INVENTORY
MANAGEMENT POLICIES
MANAGE GOODS
ACCEPTANCE & HANDLING
CORPORATE
COMMUNICATIONS &
IMAGE
MANAGEMENT
PROMOTE DESIRED
CORPORATE MAGE
MANAGE SPOKESPEOPLE
MANAGE MESSAGING
DESCRIPCIÓN
Y LAS FUNCIONES DE LAS OPERACIONES
CONTABLES, POR EJEMPLO, CUENTAS POR
COBRAR Y POR PAGAR. ESTOS PROCESOS
SON
RESPONSABLES
DE
LA
SALUD
FINANCIERA DE LA EMPRESA, LA GESTIÓN DE
FLUJO DE CAJA, ETC
GESTIONAN
TODOS LOS ASPECTOS
FINANCIEROS Y DE LA POLÍTICA DE LOS
ACTIVOS FÍSICOS DE LA EMPRESA (DE BIENES
RAÍCES CORPORATIVOS, LAS FLOTAS, LA
INFRAESTRUCTURA,
LAS
EXISTENCIAS,
CONSUMIBLES, ETC), QUE ESTABLECEN LAS
POLÍTICAS DE GESTIÓN DE ACTIVOS, LOS
ACTIVOS DE LA PISTA UTILIZANDO LOS
SISTEMAS DE REGISTRO DE LOS ACTIVOS
FÍSICOS Y GESTIONAR LA BALANCE GENERAL
DE LA EMPRESA.
DEFINEN POLÍTICAS Y NORMAS DE LOGÍSTICA
Y COMPRAS CORPORATIVAS, PARA TODAS
LAS
COMPRAS,
ALMACENAMIENTO,
TRANSPORTE Y DISTRIBUCIÓN DE RECURSOS
FÍSICOS, Y SUPERVISAR SU APLICACIÓN.
ESTOS PROCESOS DE GESTIÓN Y CONTROL
DE LA ACEPTACIÓN DE LOS PRODUCTOS DE
LOS PROVEEDORES Y LOS ARREGLOS DE
TRANSPORTE PARA ENTREGAR LOS BIENES A
CUALQUIERA DE LOS ALMACENES O EN EL
SITIO.
DEFINEN
LA
ESTRUCTURA
DE
ALMACENAMIENTO (CENTRALIZADA Y / O
DISTRIBUIDA) Y LAS POLÍTICAS DE GESTIÓN
DE ASOCIADOS QUE DEBEN APLICARSE A LOS
BIENES ADQUIRIDOS. LOS PROCESOS DE
LOGÍSTICA / TRANSPORTE DESARROLLAR
POLÍTICAS
RELACIONADAS
CON
EL
TRANSPORTE DEL MATERIAL ADQUIRIDO
PARA EL ALMACENAMIENTO, AL SITIO, ETC
LOS PROCESOS DE GESTIÓN DE EXISTENCIAS
/ INVENTARIO, JUNTO CON LOS PROCESOS DE
GESTIÓN DE ACTIVOS QUE CONSTITUYEN LA
FUENTE DE INFORMACIÓN DE INVENTARIO,
DESARROLLO DE POLÍTICAS CORPORATIVAS
RELACIONADAS CON LA UBICACIÓN DE Y
NIVELES DE, LAS TENENCIAS DE VALORES /
INVENTARIO.
SON RESPONSABLES DE LA COMUNICACIÓN
DE LOS MENSAJES REQUERIDOS PARA LA
INDUSTRIA DEL MERCADO Y DE LA EMPRESA
EN
GENERAL.
ESTOS
INCLUYEN
LA
PROMOCIÓN DE LA IMAGEN CORPORATIVA
DESEADA PARA LA EMPRESA Y SUS
NEGOCIOS Y PRODUCTOS EN GENERAL.
ÁREAS TALES COMO EL PATROCINIO, LA
PUBLICIDAD A NIVEL INSTITUCIONAL Y DE
CONTACTO GENERAL CON LOS ORGANISMOS
DE LA INDUSTRIA, Y EL GOBIERNO Y LOS
ORGANISMOS REGULADORES, SE ABORDAN
AQUÍ. ESTOS PROCESOS TAMBIÉN ASIGNAR
PORTAVOCES DE TEMAS DE MARKETING Y
CUALQUIER
ASUNTO
CORPORATIVO,
DESARROLLAR MENSAJES ESPECÍFICOS PARA
LOS TEMAS DE INTERÉS PARA LA EMPRESA,
ADMINISTRAR LA APROBACIÓN DE LA
LIBERACIÓN DE MENSAJES, GESTIONAR LAS
INTERACCIONES CON LOS MEDIOS DE
COMUNICACIÓN
PORTAVOCES,
Y
MONITOREAR LA REACCIÓN DEL MERCADO A
LOS MENSAJES E IMPLEMENTAR LOS
CAMBIOS O ADAPTACIONES NECESARIAS.
179
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
3F2
COMMUNITY
RELATIONS
MANAGEMENT
ENSURE COMMUNITY
VISIBILITY
COMMUNICATE
COMMUNITY MESSAGING
HANDLE COMMUNITY
CONTACTS
3F3
SHAREHOLDER
RELATIONS
MANAGEMENT
MANAGE SHAREHOLDER
RELATIONS
MANAGE EMPLOYEE SHARE
PLANS
3F4
REGULATORY
MANAGEMENT
ENSURE REGULATORY
COMPLIANCE
HANDLE PENDING
REGULATIONS
FILE TRARIFFS
LEGAL
MANAGEMENT
ENSURE LEGALA
COMPLIANCE
CARRY OUT LEGAL
REQUESTS
PROVIDE LEGAL ADVICE
NOTIFY LEGAL
ENVIRONMENT CHANGES
MANAGE LEGAL ACTIONS
3F5
3F6
MANAGE BOARD RELATED
ACTIVITIES
MANAGE
BOARD &
SHARES/SECURITIES
SHARES/SECURITIES
MANAGE CAPITAL/EQUITY
MANAGEMENT
ACTIVITIES
MANAGE SHARE/STOCK
REGISTRY
DESCRIPCIÓN
SON RESPONSABLE DE ASEGURAR LA
POSICIÓN DE LA EMPRESA DENTRO DE LA
COMUNIDAD O COMUNIDADES, EN EL QUE
OPERA.
ESTO
INCLUYE
ACTIVIDADES
LOCALES, Y EL APOYO FINANCIERO Y DE OTRO
TIPO, ESCUELAS, BIBLIOTECAS, HOSPITALES,
SERVICIOS DE EMERGENCIA, ETC, LA
PREOCUPACIÓN
POR
EL
ENTORNO
INMEDIATO, LA VISIBILIDAD EN EVENTOS
LOCALES,
ETC
ESTA
ÁREA
TAMBIÉN
COMUNICA LOS MENSAJES DESEADOS SOBRE
LA EMPRESA A LA COMUNIDAD QUE OPERA
DENTRO DE LA EMPRESA, ASÍ COMO A LOS
EMPLEADOS DE UNA EMPRESA PUNTO DE
VISTA GLOBAL. ESTOS PROCESOS TAMBIÉN
SE ENCARGAN DE CONTACTO CON LOS
GRUPOS DE INTERÉS DE LOS CLIENTES Y LOS
REPRESENTANTES DE LOS CLIENTES, ASÍ
COMO LOS QUE SE OCUPAN DE LAS
RELACIONES PÚBLICAS Y LOS CONTACTOS DE
RELACIONES
CON
LA
COMUNIDAD
REALIZADOS EN LA EMPRESA. ESTOS
PROCESOS TAMBIÉN INFLUYEN EN LA
POLÍTICA DE PRIVACIDAD DE LA EMPRESA.
GERSTIONAN A RELACIÓN ENTRE LA
EMPRESA Y SUS ACCIONISTAS, DE ACUERDO
CON TODOS LOS REQUISITOS DE NEGOCIO,
FINANCIEROS, LEGALES Y REGULATORIOS.
ESTO
INCLUYE
LAS
COMUNICACIONES
ENTRANTES
Y
SALIENTES
CON
LOS
ACCIONISTAS.
GARANTIZAN QUE LA EMPRESA CUMPLE CON
TODAS
LAS
REGULACIONES
GUBERNAMENTALES EXISTENTES. ADEMÁS,
ESTE PROCESO ES RESPONSABLE DE INFLUIR
LEGALMENTE REGLAMENTOS Y ESTATUTOS
PENDIENTES EN BENEFICIO DE LA EMPRESA Y
DE INFORMAR A LA EMPRESA DE LAS
CONSECUENCIAS
POTENCIALES
DE
LA
LEGISLACIÓN
PENDIENTE
O
LOS
REGLAMENTOS. ADEMÁS, ESTOS PROCESOS
SON RESPONSABLES DE LAS NOTIFICACIONES
DE TARIFAS SEGÚN SE REQUIERA.
SON RESPONSABLE DE GARANTIZAR QUE LA
EMPRESA
CUMPLE
CON TODOS
LOS
REQUISITOS
LEGALES
PERTINENTES,
INCLUIDA LA DEBIDA DILIGENCIA. ELLOS
TAMBIÉN SON RESPONSABLES DE LA
REALIZACIÓN DE PETICIONES LEGALES
DENTRO DE LA EMPRESA, EL APOYO A LA
EMPRESA MEDIANTE LA PRESTACIÓN DE
ASESORAMIENTO JURÍDICO EN RELACIÓN
CON LAS DECISIONES DE NEGOCIOS, Y DE
MANERA PROACTIVA NOTIFICAR A LA
EMPRESA DE LOS CAMBIOS O TENDENCIAS
RELEVANTES QUE PUEDEN AFECTAR EL
ENTORNO LEGAL QUE LA EMPRESA OPERA
DENTRO. ESTOS PROCESOS FRENTE A
CUALQUIER ACCIÓN LEGAL EMPRENDIDA EN
NOMBRE DE O EN CONTRA DE LA EMPRESA.
GESTIONAN
TODAS
LAS
ACTIVIDADES
RELACIONADAS CON LA ADMINISTRACIÓN DE
LA JUNTA Y DE LA REGULACIÓN DE VALORES.
LOS PROCESOS DE GESTIÓN DEL CONSEJO
DE ADMINISTRACIÓN JUNTA ACTIVIDADES
RELACIONADAS, Y LA COMUNICACIÓN DE LAS
DECISIONES DE LA JUNTA EN TODA LA
EMPRESA
CUANDO
SEA
NECESARIO.
ACCIONES / GESTIÓN DE VALORES GESTIONA
TODAS LAS ACTIVIDADES RELACIONADAS CON
180
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
DESCRIPCIÓN
VALORES / ACCIONES DE LA EMPRESA Y LOS
VALORES / REGLAMENTOS DE LA EMPRESA
QUE AFECTAN A LA EMPRESA, INCLUYENDO
LA ADMINISTRACIÓN Y GESTIÓN DE LA
DIVULGACIÓN / COMUNICADOS A LA BOLSA DE
VALORES Y / O DE VALORES / REGULADOR
EMPRESA CONTINUA.
3G1
3G2
3G3
3G4
HR POLICIES &
PRACTICES
ORGANIZATION
DEVELOPMENT
WORKFORCE
STRATEGY
WORKFORCE
DEVELOPMENT
FACILITATE PERFORMANCE
APPRAISAL
FACILITATE
REMUNERATION POLICIES &
LEVELS
FACILITATE ALLOWANCES &
BENEFITS
FACILITATE OCCUPATIONAL
HEALTH & SAFETY
FACILITATE EQUAL
EMPLOYMENT
OPPORTUNITY
FACILITATE
COMPENSATION
GUIDELINES
FACILITATE CODE OF
CONDUCT
FACILITATE HIRING &
TERMINATION GUIDELINES
FACILITATE EMPLOYEE
SATISFACTION
MEASUREMENT &
MANAGEMENT
N/A
DEFINE WORKFORCE
STRATEGY REQUIREMENTS
CREATE WORKFORCE
STRATEGY
MANAGE WORKFORCE
CHANGE
APPLY COMPETENCY
MODELING
APPLY SKILLS
ASSESSMENT
APPLY STRENGTH
PROFILING
APPLY SUCCESSION
PLANNING
APPLY TRAINING
APPLY CAREER
DEVELOPMENT
APPLY WORK DESIGN
INCLUYEN LOS PROCESOS QUE APOYAN LA
GESTIÓN DE PERSONAS EN TODA LA
EMPRESA, POR EJEMPLO, LA EVALUACIÓN
DEL DESEMPEÑO, LAS POLÍTICAS DE
REMUNERACIÓN,
NIVELES
DE
REMUNERACIÓN,
PRESTACIONES,
BENEFICIOS DE SALUD Y SEGURIDAD EN EL
TRABAJO, IGUALDAD DE OPORTUNIDADES DE
EMPLEO,
LAS
DIRECTRICES
DE
COMPENSACIÓN, CÓDIGO DE CONDUCTA
DIRECTRICES, CONTRATACIÓN Y DESPIDOS,
LA MEDICIÓN SATISFACCIÓN DE LOS
EMPLEADOS Y LA GESTIÓN, ETC
SON LOS PROCESOS DE APOYO A LA
DEFINICIÓN DE LA ORGANIZACIÓN DE LA
EMPRESA
Y
COORDINAR
SUS
REORGANIZACIONES.
ESTOS
PROCESOS
PUEDEN SOLICITAR LA ORGANIZACIÓN EN
GENERAL, PUEDE DEFINIR LA ORGANIZACIÓN
DE LAS UNIDADES DE NEGOCIO INDIVIDUALES,
O AL MENOS PUEDE GARANTIZAR LA
COHERENCIA Y / O GARANTÍA DE APOYO A LOS
PROCESOS ESPECÍFICOS QUE DEFINEN LA
ORGANIZACIÓN DE LAS UNIDADES DE
NEGOCIOS INDIVIDUALES EN OTRO LUGAR
DENTRO DE LA EMPRESA.
ESTOS PROCESOS IMPULSA ESTRATEGIAS DE
LA FUERZA LABORAL DE LA EMPRESA EN
GENERAL, INCLUYENDO SU DESARROLLO Y
EJECUCIÓN A NIVEL INDIVIDUAL, LA UNIDAD
DE NEGOCIO. PROCESOS DE LA ESTRATEGIA
WORKFORCE INCLUYEN LA COMPRENSIÓN DE
LAS NECESIDADES DEL NEGOCIO Y LA
DEFINICIÓN DE LAS COMPETENCIAS Y
HABILIDADES
NECESARIAS
EN
LOS
RECURSOS HUMANOS. LOS PROCESOS
DEFINEN
LOS
REQUISITOS
PARA
EL
MODELADO DE LA COMPETENCIA, LA
APLICACIÓN DE PERFILES, EL DISEÑO GLOBAL
CON EL TRABAJO, EL ENFOQUE DE
SATISFACCIÓN DE LOS EMPLEADOS, ETC
SE CENTRAN EN EL DESARROLLO DE LA
FUERZA LABORAL DE LOS EMPLEADOS PARA
SATISFACER LAS NECESIDADES DE LA
EMPRESA. ESTOS PROCESOS INCLUYEN EL
MODELADO DE COMPETENCIAS, EVALUACIÓN
DE HABILIDADES, EL TRABAJO Y LOS PERFILES
FUERZA EMPLEADO, PLANES DE SUCESIÓN,
EL DESARROLLO DE LA CAPACITACIÓN Y LA
ENTREGA, EL DESARROLLO PROFESIONAL, EL
TRABAJO DE DISEÑO, SELECCIÓN DE
PERSONAL, ETC
181
CÓDIGO
NOMBRE PROCESO
PROCESOS NIVEL 3
DESCRIPCIÓN
APPLY EMPLOYEE
RECRUITMENT
3G5
EMPLOYEE &
LABOR RELATIONS
MANAGEMENT
SE CENTRAN EN LAS RELACIONES CON LOS
EMPLEADOS DE UNA EMPRESA Y EL NIVEL DE
GRUPO DE EMPLEADOS. PROCESOS DE
RELACIONES
LABORALES
INCLUYEN
DEFINICIONES DE TÉRMINOS DE EMPLEO, EL
DESARROLLO CONTRATOS DE TRABAJO,
NEGOCIACIONES
DE
CONTRATOS
MANAGE EMPLOYEE
SINDICALES, GESTIÓN DE PROCESOS DE
RELATIONS
ARBITRAJE, ETC RELACIONES LABORALES
MANAGE LABOR RELATIONS
CUBREN UNA VARIEDAD DE PROCESOS, POR
EJEMPLO,
LOS
PROGRAMAS
DE
ASESORAMIENTO, INTERFAZ PARA GRUPOS
DE EMPLEADOS, PARTICIPACIÓN DE LOS
EMPLEADOS
EN
LA
COMUNIDAD
Y
ORGANIZACIONES BENÉFICAS EN EL NOMBRE
DE LA EMPRESA, ETC
182
ANEXO C. [14]
COBIT 5 Procesos
Evaluar, Orientar y Supervisar
(EDM)
Asegurar el
establecimiento y
EDM01
mantenimiento del marco
de gobierno
Asegurar la entrega de
beneficios
Asegurar la optimización
EDM03
del riesgo
Asegurar la optimización
EDM04
de los recursos
EDM02
EDM05
APO01
Alinear, Planificar y Organizar
(APO)
APO02
APO03
APO04
APO05
APO06
APO07
APO08
APO09
OBJETIVO DE CONTROL ISO/IEC 27011
REGULATORY MANAGEMENT
AUDIT MANAGEMENT
FRAUD MANAGEMENT
SM&O SUPPORT READINESS
eTOM PROCESS MAPING COBIT 5 & ISO/IEC 27011
BILL INVOICE MANAGEMENT
INTEGRACION DE ESTADADES
SERVICE CONFIGURATION & ACTIVATION
eTOM Procesos
6.1.1 Compromiso de la dirección con la
seguridad de la Información
N/A
14.1.2 Continuidad de negocio y gestión de
riesgos
N/A
6.1.1 Compromiso de la dirección con la
seguridad de la información
6.1.2 Coordinación de la seguridad de la
información
6.1.3 Establecimiento de responsabilidades de la
Asegurar la transparencia seguridad de la información
hacia las partes
6.1.4 Proceso de autorización de instalaciones
interesadas
para el tratamiento de la información
6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con autoridades
6.1.7 Contacto con grupos de interés especiales
6.1.8 Revisión independiente de la seguridad de
la información
Gestionar el Marco de
6. Organización de seguridad de la información
Gestión de TI
Gestionar la Estrategia
N/A
Gestionar la Arquitectura
N/A
Empresarial
Gestionar la Inversión
N/A
Gestionar Portafolio
N/A
Gestionar el Presupuesto
N/A
y Costo
Gestionar los Recursos
8. Seguridad de la Información de Recursos
Humanos
Humanos
Gestionar las Relaciones
N/A
10.2.1 Provisión de servicios
10.2.2 Supervisión y revisión de los servicios
Gestionar los Acuerdos
prestados por terceros
de Servicios
10.2.3 Gestión del cambio en los servicios
prestados por terceros
x
x
x
x
183
APO10 Gestionar Proveedores
APO11 Gestionar la Calidad
APO12 Gestionar el Riesgo
BAI01
BAI02
BAI03
BAI04
Construir, Adquirir e Implementar
(BAI)
BAI05
Gestionar los Programas
y Proyectos
6.1.5 Acuerdos de confidencialidad
6.2.1 Identificación de riesgos relacionados con
terceros
6.2.3 Tratamiento de la seguridad en contratos
con terceros
8.1.2 Investigación de antecedentes
8.1.3 Términos y condiciones de contratación
10.2.3 Gestión del cambio en los servicios
prestados por terceros
10.8.2 Acuerdos de intercambio
12.4.2 Protección de datos de prueba del
sistema
12.5.5 Externalización del desarrollo de software
15.1.4 Protección de datos y privacidad de la
información de carácter personal
N/A
13.1.1 Notificación de eventos de seguridad de
la información
13.1.2 Notificación de puntos débiles de
seguridad
14.1.1 Inclusión de seguridad de la información
en el proceso de gestión de la continuidad del
negocio
14.1.2 Continuidad del negocio y evaluación de
riesgos
N/A
10.1.1 Análisis y especificación de los requisitos
de seguridad
Gestionar la Definición de 10.3.2 Aceptación del sistema
Requisitos
11.6.2 Aislamiento de sistemas sensibles
12.1.1 Análisis y especificación de requisitos de
seguridad
Gestionar la
Identificación y la
Tratado a lo Largo de esta Norma
Construcción de
Soluciones
Gestionar la
Disponibilidad y la
10.3.1 Gestión de la capacidad
Capacidad
Gestionar la Introducción
N/A
de Cambios Organizados
BAI06
Gestionar los Cambios
BAI07
Gestionar la Aceptación
del Cambio y de la
Transición
BAI08
Gestionar el
Conocimiento
10.1.2 Gestión de cambios
11.5.4 Uso de las utilidades del sistema
12.5.1 Procedimientos de control de cambios
12.5.3 Restricciones a los cambios en los
paquetes de software
12.6.1 Control de las vulnerabilidades técnicas
6.1.4 Proceso de autorización de instalaciones
para el tratamiento de la información
8.2.2 Concienciación, formación y capacitación
en seguridad de la información
9.1.6 Áreas de acceso público y de carga y
descarga
10.1.4 Separación de los recursos de desarrollo,
prueba y operación
10.3.2 Aceptación del sistema
12.4.2 Protección de los datos de prueba del
sistema
12.4.3 Control de acceso al código fuente de los
programas
12.5.1 Procedimientos de control de cambios
12.5.2 Revisión técnica de las aplicaciones tras
efectuar cambios en el sistema operativo
10.1.1 Documentación de los procedimientos de
operación
10.3.2 Aceptación del sistema
10.7.4 Seguridad de la documentación del
sistema
13.2.2 Aprendizaje de los incidentes de
seguridad de la información
x
x
X
x
184
BAI09
Gestionar los Activos
BAI10
Gestionar la
Configuración
Gestionar las
Operaciones
Gestionar las Peticiones
DSS02 y los Incidentes del
Servicio
DSS01
DSS04 Gestionar la Continuidad
Gestionar los Servicios
DSS05
de Seguridad
Gestionar los Controles
DSS06 de los Procesos del
Negocio
Supervisar,
Evaluar y
Valorar
Entrega, Servicio y Soporte
(DSS)
DSS03 Gestionar los Problemas
Supervisar, Evaluar y
MEA01 Valorar Rendimiento y
Conformidad
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.2.2 Etiquetado y manipulado de la información
10.7.4 Seguridad de la documentación del
sistema
11.4.3 Identificación de los equipos en las redes
12.4.1 Control del software en explotación
12.4.2 Protección de los datos de prueba del
sistema
12.5.2 Revisión técnica de las aplicaciones tras
efectuar cambios en el sistema operativo
12.5.3 Restricciones a los cambios en los
paquetes de software
12.6.1 Control de las vulnerabilidades técnicas
15.1.5 Prevención del uso indebido de los
recursos de tratamiento de la información
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.2.2 Etiquetado y manipulado de la información
10.7.4 Seguridad de la documentación del
sistema
11.4.3 Identificación de los equipos en las redes
12.4.1 Control del software en explotación
12.4.2 Protección de los datos de prueba del
sistema
12.5.2 Revisión técnica de las aplicaciones tras
efectuar cambios en el sistema operativo
12.5.3 Restricciones a los cambios en los
paquetes de software
12.6.1 Control de las vulnerabilidades técnicas
15.1.5 Prevención del uso indebido de los
recursos de tratamiento de la información
x
x
x
10. Gestión de comunicaciones y operaciones
x
13. Gestión de incidentes de seguridad de la
información
x
13.2.2 Aprendizaje de los incidentes de
seguridad de la información
14. Gestión de la continuidad del negocio
Tratado a lo Largo de esta Norma
8.2.1 Responsabilidades de la dirección
10.1.3 Segregación de tareas
10.1.4 Separación de los recursos de desarrollo,
prueba y operación
10.5.1 Copias de seguridad de la información
10.6.1 Controles de red
10.7.3 Procedimientos de manipulación de la
información
10.8.3 Soportes físicos en tránsito
10.8.4 Mensajería electrónica
12.4.2 Protección de los datos de prueba del
sistema
12.4.3 Control de acceso al código fuente de los
programas
10.10.2 Supervisión del uso del sistema
5.1.2 Revisión de la política de seguridad de la
información
6.1.8 Revisión independiente de la seguridad de
la información
10.10.2 Supervisión del uso del sistema
x
x
185
Supervisar, Evaluar y
MEA02 Valorar el Sistemas de
Control Interno
5.1.1 Documento de política de seguridad de la
información
5.1.2 Revisión de la política de seguridad de la
información
6.1.8 Revisión independiente de la seguridad de
la información
6.2.3 Tratamiento de la seguridad en contratos
con terceros
10.2.2 Supervisión y revisión de los servicios
prestados por terceros
10.10.2 Supervisión del uso del sistema
10.10.4 Registros de administración y operación
15.2.1 Cumplimiento de políticas y normas de
seguridad
15.2.2 Comprobación del cumplimiento técnico
15.3.1 Controles de auditoría de los sistemas de
información
Supervisar, Evaluar y
Valorar la Conformidad
MEA03
con los Requerimientos
Externos
6.1.6 Contacto con las autoridades
15.1.1 Identificación de la legislación aplicable
15.1.2 Derechos de propiedad intelectual (IPR)
15.1.4 Protección de datos y privacidad de la
información de carácter personal
x
x
x
186
ANEXO D. [14]
SERVICE CONFIGURATION & ACTIVATION
SERVICE
Nombre del Proceso:
Área de eTOM:
Operaciones
Identificador del Proceso
2Bb
CONFIGURATION &
ACTIVATION
Descripción del Proceso
Abarca la asignación, implementación,
configuración, activación y pruebas de servicios específicos que reúnen
requerimientos de cliente o en respuesta requerimientos de otros procesos para solventar problemas de capacidad, caídas
de servicio, reclamos o condiciones de falla. Las responsabilidades de este proceso incluye pero no se limita a:
Verificar si los diseños de servicios específicos solicitados por clientes son técnicamente factibles.
Asignación de parámetros específicos de servicio adecuados para otros procesos de la TELCO u servicios
personalizados requeridos por clientes.
Reserva de parámetros específicos de servicio (si es requerido por las reglas del negocio) por un determinado
periodo de tiempo hasta que la orden de servicio del cliente sea confirmada, o hasta que el periodo de
reservación expire.
Implementar, configurar y activar servicios específicos de acuerdo a requerimientos de negocio.
Probar los servicios específicos para asegurar que el servicio está trabajando correctamente.
Recuperación de disponibilidad de servicio en caso de fallos.
Actualización de la base de datos del servicio reflejando los cambios, asignaciones y modificaciones realizadas.
Asignación y seguimiento de actividades de aprovisionamiento de servicios.
Reportes de progreso de órdenes de servicio a otros procesos.
·
·
·
·
·
·
·
·
·
Procesos de Nivel 3 eTOM:
Descripción del Proceso:
Desarrollo de inicio a fin de
Design Solutions.
diseño de servicios específicos que cumplan los
requerimientos del cliente. Se realiza el diseño cuando un cliente requiere un inusual o
especial requerimiento en su servicio, el cual no es factible hacerlo con los
procedimientos estándar.
Allocate
Specific
Service
Parameters to Services.
Es requerido por una orden de servicio en respuesta a una orden de cliente confirmada,
este proceso es responsable de la asignación de parámetros de servicio específicos
requerido para satisfacer el inicio de la orden de servicio.
Aseguran que las actividades de aprovisionamiento del servicio sean asignadas,
gestionadas y controladas eficientemente, incluye:
Track
&
Manage
Service
Provisioning.
·
·
·
·
Implement,
Configure
Activate Service
&
Las responsabilidades de este proceso incluye pero no se limita a:
Agendar, asignar y controlar las actividades relacionadas con el aprovisionamiento
del servicio.
Generar las órdenes de recursos necesarios para cubrir las necesidades de las
órdenes de servicio.
Escalamiento de estado de las órdenes de servicio de acuerdo con la política
establecida, llevando a cabo el seguimiento necesario de la ejecución del proceso.
Se encarga de implementar, configurar y activar los servicios específicos asignados
dados en una orden de servicio, implica evaluar y planificar el despliegue a llevarse a
cabo para la implementación, configuración y activación del servicio.
Test Service End-to-End
187
Se realizan pruebas del servicio para asegurar que todos los componentes están
operativos con los parámetros normales y que el servicio está funcionando de acuerdo
a los parámetros de performance acordados.
Report Service Provisioning
Monitorea el estado de las órdenes, provee notificaciones de todos cambios y genera
reportes gerenciales de productividad.
Actividades
Guías de Implementación enfocado a la Seguridad de la Información
d)
Se deben definir los controles de seguridad a cumplir para cada entrega de
servicio estándar de la TELCO y en caso de entregas de servicio personalizado,
se debe determinar si hay controles de seguridad adicionales que se deben
cumplir.
e)
Se debe monitorear por medio de reportes que los controles de seguridad
establecidos para cada servicio se cumplan de acuerdo a lo establecido, para el
efecto se requiere:
·
·
·
f)
1.- Asegurar que se definen,
Reportes de incidencias y problemas de seguridad de la información
referentes a cada servicio.
Monitorear el cumplimiento de los acuerdos de nivel de servicio.
Revisión en plataforma técnica de eventos de error y alertas que pudieren
estar generando fallos, micro cortes o problemas operacionales.
Todo cambio o modificación que se deba realizar con el propósito de realizar
activaciones de nuevos servicios, debe ser debidamente gestionado de acuerdo
a la criticidad de los servicios y la plataforma tecnológica que estará sujeta a
cambios, estos cambios pueden incluir:
implementan y mantienen los
controles de seguridad durante
·
y después de la configuración
·
·
·
·
·
·
·
y activación del servicio.
b)
Cambios hechos por la organización para implementar mejoras en el actual
servicio.
Desarrollo de nueva aplicación a nivel de sistemas de información.
Nuevos controles para resolver incidentes o problemas de GSI.
Incrementos de capacidad técnica de redes de servicio.
Uso de nuevas tecnologías.
Aplicación de nuevos firmwares en plataformas tecnológicas.
Cambios físicos de equipos.
Cambios de proveedor de plataformas tecnológicas.
El uso de los recursos de plataformas tecnológicas que intervienen en la
configuración y activación de servicios, se debe monitorear y optimizar, así como
se debe también proyectar el uso de los mismos en función de las tendencias de
uso y tomar acciones proactivas con otras áreas para asegurar que en todo
momento estén disponibles y asignados los recursos técnicos necesarios.
Supervisar y revisar la disponibilidad y la capacidad.
·
·
·
2.- Gestionar la disponibilidad
de los recursos necesarios
para
la
configuración
Investigar y abordar cuestiones de disponibilidad, rendimiento y capacidad.
y
activación de los servicios de la
TELCO.
Supervisar, medir, analizar, informar y revisar la disponibilidad, el rendimiento
y la capacidad.
Identificar desviaciones respecto a la línea base establecida.
Revisar informes de análisis de tendencias identificando cualquier cuestión y
variación significativa, iniciando acciones donde sea necesario y asegurando
que se realiza el seguimiento de todas las cuestiones pendientes.
·
Abordar las desviaciones investigando y resolviendo las cuestiones
identificadas relativas a disponibilidad, rendimiento y capacidad.
Planificar para requisitos de servicios nuevos o modificados.
188
·
b)
Planificar y priorizar las implicaciones en la
disponibilidad,
el
rendimiento y la capacidad de cambios en las necesidades de la TELCO y en
los requerimientos de servicio.
Los cambios a nivel de plataformas tecnológicas y/o sistemas de información
requeridos para la configuración y activación de servicios tiene que ser
debidamente controlada, tomando e cuanta los siguientes aspectos:
Evaluar, priorizar y autorizar peticiones de cambio.
·
·
Evaluar todas las peticiones de cambio para determinar
su impacto en
los procesos de negocio y los servicios TI, y analizar si el cambio afectará
negativamente al entorno operativo e introducirá un riesgo inaceptable.
Asegurar que los cambios son registrados, priorizados,
categorizados,
analizados, autorizados, planificados y programados.
Gestionar cambios de emergencia.
3.- Garantizar que los cambios
que se realizan para hacer
configuraciones y activaciones
·
de servicios, sean rápidos y
fiables, a la vez que se mitiga
·
cualquier riesgo que impacte
negativamente la estabilidad e
Gestionar cuidadosamente los cambios de emergencia para minimizar
futuras incidencias y asegurar que el cambio está controlado y se realiza de
forma segura.
Verificar que los cambios de emergencia son evaluados debidamente y
autorizados de una vez hecho el cambio.
Hacer seguimiento e informar de cambios de estado.
integridad del entorno en que
se aplica el cambio.
·
Mantener un sistema de seguimiento e informe que documente los cambios
rechazados, comunique el estado de cambios aprobados y en proceso y de
cambios completados.
·
Asegurar que los cambios aprobados son implementados como esté previsto
Cerrar y documentar los cambios.
·
e)
Siempre que el cambio haya sido implementado, actualizar, de manera
consecuente, la documentación de la solución y del servicio, así como los
procedimientos a los que afecta el cambio.
Toda la información y los elementos de las plataformas tecnológicas de servicio y
los sistemas de información deben tener asociado un responsable que
pertenezca a la TELCO, para los recursos tecnológicos de responsabilidad
compartida especialmente entre Sistemas de Información y Plataformas
tecnológicas de servicio se especificarán las responsabilidades de cada área.
·
Asegurar que toda la información de los activos tecnológicos que se usan
para la configuración y activación del servicio esté apropiadamente
clasificada.
·
Definir revisiones periódicas a cargo de los respectivos responsables de los
controles de acceso y la aplicación de las políticas de control de seguridad
establecidas.
La propiedad o responsabilidad puede ser asignada a:
o
o
o
o
Proceso de negocio.
Un definido conjunto de actividades.
Una aplicación.
Información.
189
o
·
Plataformas tecnológicas de servicio o dispositivos que cumplen una
función.
En el caso específico de las TELCO es recomendable asignar soluciones
completas que cumplen una función por ejemplo:
Plataforma de prepago de telefonía Movil, que puede incluir, el proceso, la
información,
los
dispositivos,
plataformas
tecnológicas
de
servicio,
servidores, recurso humano y sistemas de aprovisionamiento.
4.- Gestionar adecuadamente
la definición de los recursos
f)
Establecer y mantener un modelo lógico de la toda la infraestructura de la TELCO,
segregado por soluciones, registrar los elementos de configuración y las
relaciones entre ellos. Incluyendo los elementos de configuración considerados
necesarios para gestionar eficazmente los servicios y proporcionar una sola
descripción fiable de los activos en un servicio.
g)
La información de configuraciones y activaciones tiene que estar protegida de
accesos no autorizados. Específicamente en el ámbito de las TELCO esta
información forma parte de los Sistemas de Gestión de plataformas que son varios
en función de la solución y del proveedor, por ende la protección de información
se implementa con una política adecuada de gestión de contraseñas y controles
de accesos no autorizados.
tecnológicos que intervienen
en la configuración y activación
de
los
servicios
que
proporciona la TELCO.
Revisar periódicamente el repositorio de configuración
y
verificar
la
integridad y exactitud con respecto al objetivo deseado.
h)
Al ser las plataformas tecnológicas de servicio y los sistemas de
aprovisionamiento, accedidas desde diferentes áreas funcionales, se deben
establecer los roles y permisos adecuados en función de las necesidades de
cada uno, los cambios en estos roles y permisos tienen que ser estrictamente
controlados.
Definir y elaborar informes de configuración sobre cambios en el estado de los
elementos de configuración.
FRAUD MANAGEMENT
Nombre del Proceso:
FRAUD
Área de eTOM:
Operaciones
MANAGEMENT
Identificador del Proceso
3B3
Descripción del Proceso
La Gestión del Fraude aborda los aspectos de fuentes internas y externas de violaciones a la seguridad de la Información.
Estos procesos interactúan sensiblemente con la Auditoria y comparten elementos en común; poseen, asimismo,
elementos específicos de comunicaciones y servicios de información. Los procesos de la Gestión del Fraude son
ejecutados en diversos niveles de la empresa.
Procesos de Nivel 3 eTOM:
Descripción del Proceso:
El objetivo de la Política de Gestión del Fraude, es gestionar y mantener todas las
políticas para llevar a cabo un exitoso programa de control del fraude en la TELCO.
Fraud Policy Management.
Dependiendo de los productos que se ofrecen, la condición geográfica en que se
entrega el servicio a los suscriptores, la infraestructura interna, los presupuestos y otros
factores. Prácticas y procesos para detección, investigación, capacitación, herramientas
y comprobaciones de fraude, están contempladas dentro de la Política de Gestión del
Fraude.
Fraud Operations Support
190
La prevención del Fraude en las operaciones tiene un rol primario del proceso de
Gestión del Fraude de la TELCO. El objetivo es habilitar la detección del fraude sobre
la marcha de las operaciones, su investigación, monitoreo,
registro de medidas
aplicadas y resultados obtenidos.
Actividades
Guías de Implementación enfocado a la Seguridad de la Información
1.- Implementar la segregación
La segregación de funciones con el criterio adecuado reduce el riesgo de mal uso,
de funciones en los procesos
accidental o deliberado de los recursos de la TELCO y por ende reduce la posibilidad
de negocio para evitar el
de perpetrar fraude en áreas de responsabilidad única sin ser detectada, por ello:
Fraude.
a)
b)
2.- Identificar casos de Fraude,
Se debe identificar las funciones en la TELCO, en las que por su naturaleza sea
factible cometer Fraude y separarlas de tal forma que se implemente un control
mutuo entre las funciones o áreas separadas.
Si a pesar de la segregación de funciones existe el riesgo de conspiración en
determinados procesos, se debe definir el procedimiento de control y la frecuencia
de revisión para que Auditoría lo tenga presente.
Los siguientes controles se aplican a todos los servicios de la TELCO:
por medio de la Gestión de
Capacidad
y
soluciones
a)
TELCO Antifraude.
b)
c)
d)
3.- Establecer e implementar
políticas
de
Se debe monitorear las tendencias de uso de capacidad de las plataformas de
Telecomunicaciones y establecer alarmas en caso disminuciones abruptas de
capacidad, se recomienda la automatización de esta función.
En caso de cambios de tendencia de uso de capacidad se deben abrir casos de
investigación de posible fraude.
Los casos de posible fraude debe contrastar el uso de la capacidad de los recursos
tecnológicos, con las ventas y la facturación.
Si se detecta un caso de Fraude, se lo debe exponer en el ISSC, donde se
establecerán las prioridades y acciones para solventar el caso.
a)
Conformar y capacitar un equipo técnico especializado en gestión de Incidentes
de Seguridad en Plataformas Tecnológicas de Servicio y Tecnologías de
Información, para atender los casos comprobados de Fraude.
b)
Formar parte de un CSIRT de Telecomunicaciones de primer nivel, para
intercambiar Información y mantenerse a la vanguardia de herramientas de
identificación y mitigación de Fraude en las TELCO.
escalamiento
técnico especializado en caso
de problemas complejos de
Fraude
en
Plataformas
Tecnológicas
Telecomunicaciones
Sistemas de Información.
de
o
191
AUDIT MANAGEMENT
Nombre del Proceso:
AUDIT
Área de eTOM:
Operaciones
MANAGEMENT
Identificador del Proceso
3B4
Descripción del Proceso
Este proceso asegura a la alta dirección de la empresa que los procesos operativos y controles son efectivamente
realizados acorde a lo establecido. Audit Management puede ser gestionado por una organización externa independiente
o por un grupo interno de la organización, pero en cualquier caso, el objetivo es ayudar a la alta dirección. El Rol de
Auditoria puede mencionar recomendaciones preventivas, pero en general su acción es reactiva.
Se evalúan las actividades operativas para asegurar los controles y la correcta estructura organizacional, se provee una
visión amplia de los procedimientos que están siendo revisados. Los procesos de auditoria aseguran que los reportes
relacionados con el cumplimiento y la capacidad que se provee a la alta gerencia sean los apropiados y son entregados
en un tiempo definido. Los procesos de auditoria definen cuando un procedimiento de auditoria debe ser aplicado en
función de las circunstancias, así como la metodología de evaluación y las valoraciones posibles.
Procesos de Nivel 3 eTOM:
Define Audit Policy
Define Audit Mechanims
Descripción del Proceso:
Define los la Política de Auditoría y procedimientos.
Define la manera que la auditoria debe ser usada en dependencia de las circunstancias,
así como la evaluación del riesgo y la metodología de evaluación y valoración. Identifica,
prioriza y gestiona el programa de auditoria.
Assess Operatonal Activities
Evalúa las actividades operativas para asegurar que las estructuras impuestas o
necesarias están en su lugar.
Evaluate Operational Activities
Proveen una estimación de la medida en que los procedimientos se siguen y son
eficaces.
Apply
Audit
Mechanisms
Usa mecanismos proactivos de auditoria para desarrollar metodologías de evaluación
Proactively.
de riesgos y sistemas de valoración y sugiere a los grupos operaciones quienes son los
Actividades
Guías de Implementación enfocado a la Seguridad de la Información
responsables de los procesos operativos.
a)
1.- Establecer la estrategia de
En base a la Política de la GSI, la implementación de la misma debe ser revisada
de forma independiente para garantizar que las prácticas en la TELCO reflejen
adecuadamente la aplicación de las Políticas de GSI establecidas. Esta revisión
puede ser llevada a cabo por la función de auditoría de la TELCO, pero externa a
la GSI, por un gerente independiente especializado en revisiones de esta índole.
Esta función auditora puede ser también un ente externo especializado.
·
Esta revisión tiene que ser realizada periódicamente, bajo demanda, en caso
de un requerimiento de la alta gerencia o cuando han ocurridos cambios
significativos en la GSI.
·
Estas revisiones buscan asegurar la continua idoneidad y efectividad en la
implementación de la GSI, la revisión puede contemplar el aprovechar
oportunidades y/o la necesidad de cambios en el enfoque de la GSI, incluso
las políticas y los controles.
·
Informar a los líderes y obtener su apoyo, su aceptación y su compromiso.
revisiones independientes de
la implantación de la GSI.
192
·
a)
Guiar las estructuras, procesos y prácticas para la GSI en línea con los
principios, modelos para la toma de decisiones y niveles de autoridad y
control (incluye auditorias) diseñados.
Se debe identificar los funcionarios, proveedores o entes externos que por su
interacción con la TELCO, manejan información sensible para la organización,
evaluar y definir si amerita generar un acuerdo de confidencialidad y los
términos específicos de acuerdo al tipo de información sensible que se maneje.
La función auditora de la organización debe contar con el apoyo de la Gestión de
Recursos Humanos o cualquier otra unidad funcional de la organización para
llevar a cabo esta labor.
b)
Los acuerdos de confidencialidad y no divulgación de la información deben reflejar
las necesidades de protección de la organización y deben ser regularmente
revisadas, para el efecto se debe considerar:
·
·
2.- Celebrar los acuerdos de
confidencialidad
términos
en
requeridos
los
·
·
para
asegurar la confidencialidad de
·
la información de la TELCO.
·
·
·
La definición de la información a ser protegida.
Duración del acuerdo, incluido los casos donde la confidencialidad puede ser
necesaria mantenerla de forma indefinida.
Acciones requeridas cuando el acuerdo finaliza.
Responsabilidades y acciones de las partes para evitar divulgación no
autorizada de información.
Propiedad de la información, secretos comerciales y propiedad intelectual y
como estos protegen la confidencialidad de la información.
Procesos de notificación y reporte divulgación no autorizada de información
confidencial.
Términos para la información que tiene que ser retornada o destruida al final
del acuerdo.
Acciones y penalización que serán tomadas en caso de no cumplimiento del
acuerdo de confidencialidad.
REGULATORY MANAGEMENT
Nombre del Proceso:
REGULATORY
Área de eTOM:
Operaciones
MANAGEMENT
Identificador del Proceso
3F4
Descripción del Proceso
Aseguran que la empresa cumple con todas las regulaciones existentes de gobierno. Además, este proceso es
responsable de legalmente influir en regulaciones pendientes y estatutos en beneficio de la empresa e informar a la
empresa de las consecuencias potenciales de no cumplir con la legislación o regulaciones.
Procesos de Nivel 3 eTOM:
Ensure
Regulatory
Compliance
Handle Pending Regulations
Descripción del Proceso:
Es el responsable de asegurar que la empresa cumpla con todas las regulaciones
gubernamentales existentes.
Responsable de legalmente influenciar para que las regulaciones pendientes de aplicar
se cumplan, para beneficio de la TELCO. Informa oportunamente las consecuencias de
no acatar las regulaciones gubernamentales.
File Trariffs
Actividades
Establece las tarifas de los servicios de la TELCO.
Guías de Implementación enfocado a la Seguridad de la Información
193
a)
1.
Definición
de
aspectos
Todos los estatutos, regulaciones y requerimientos contractuales que debe cumplir
obligatoriamente la TELCO, deben ser explícitamente definidos, documentados y
actualizados, esto incluye pero no se limita a los siguientes:
inherentes a la Gestión de la
·
·
Regulación.
·
·
·
·
2.
Establecer
Contratos de Concesiones de espectro radioeléctrico.
Regulaciones establecidas por la SENATEL, respecto a las licencias de los
servicios de telecomunicaciones que se provee y normas de implementación.
Convenios de Intercambio de tráfico con otras TELCOS, nacionales o
Internacionales.
Tarifas, calidad y cobertura de Servicios.
Requerimientos de Interoperabilidad y portabilidad.
Régimen tributario.
a)
Se deben implementar los procedimientos y responsables apropiados para
asegurar el continuo cumplimiento de leyes, regulaciones y requerimientos
contractuales en la TELCO.
b)
La organización debe asegurar disponer de la capacidad suficiente de recursos
tecnológicos, para asegurar la continuidad del servicio y cumplir los acuerdos
mínimos de servicio y cobertura en caso de fallos graves o desastres naturales.
c)
Cuando se recibe un requerimiento de información de un ente externo para
evaluaciones de cumplimiento, se debe definir y aplicar un procedimiento de
validación para determinar que la petición está hecha a través del legítimo proceso
o procedimiento, de acuerdo a las leyes gubernamentales establecidas.
a)
La política de seguridad de la información, respecto a temas de cumplimiento de
un marco regulatorio tiene que ser revisada y actualizada de forma constante para
evaluar si es idónea y efectiva respecto a las modificaciones realizadas en el
marco regulatorio vigente.
los
procedimientos para cumplir
fielmente los requerimientos
de cumplimiento de la Gestión
de las Regulaciones.
El dueño del proceso de Gestión de las Regulaciones, es el responsable de los
enunciados de la política de seguridad respecto a temas de cumplimiento, el
mismo que debe coordinar con el ISM para la actualización y difusión de la política
de seguridad de la información, en caso de modificaciones relacionadas con
cumplimiento del marco regulatorio.
3. Validar constantemente la
Información de Entrada:
política de GSI respecto a
temas de cumplimiento.
·
·
·
·
·
Feedback de partes o unidades funcionales interesadas.
Alertas y sugerencias generadas por auditorías internas y externas.
Modificaciones contractuales, de regulación o condiciones legales recientes.
Reportes de sanciones de la SUPERTEL hacia otras TELCO ecuatorianas.
Recomendaciones recibidas de autoridades relevantes de la TELCO.
Información de Salida:
·
·
Modificaciones en la política de seguridad de la Información respecto a
cumplimiento.
Mejoras en la asignación de recursos y responsabilidades.
194
BILL INVOICE MANAGEMENT
Nombre del
Proceso:
BILL INVOICE
MANAGEMENT
Área de eTOM:
Operaciones
Identificador del
Proceso
2Ad(1)
Descripción del Proceso:
Asegura que las facturas sean creadas de forma física y/o electrónica y que sean distribuidas a los clientes, procura que
se apliquen los impuestos, descuentos, ajustes y créditos adecuados a los productos y servicios que se entregan a los
clientes.
Bill Invoice Management es responsable de:
·
·
·
·
·
Establecer y aplicar los impuestos y gravámenes a los servicios prestados a los clientes.
Aplicar Ajustes (Reglamentos de Gobiernos).
Creación de Facturas, incluyendo todos los ajustes, rebajas, descuentos, créditos, etc.
Producir y distribuir las Facturas de forma Física o Electrónico a los clientes en base al ciclo de facturación.
Proveer los recursos físicos asociados con la producción de facturas.
Procesos de Nivel 3
Descripción del Proceso:
eTOM:
Apply
Pricing,
Asegura que las facturas sean el reflejo de todos los acuerdos comerciales y ajustes establecidos
Discounting,
Adjustments & Rebates entre el cliente y el proveedor del servicio.
Create Customer Bill Se encarga de todo lo inherente para lograr que la facturación sea oportuna y precisa de acuerdo
Invoice.
a los ciclos de facturación de los productos y los cargos finales aplicados al cliente.
Produce & Distribute Bill
Este proceso es responsable de todas las actividades para lograr que las facturas físicas sean
entregadas a los clientes.
Actividades
Guías de Implementación enfocado a la Seguridad de la Información
a)
El registro de actividades de usuario, los errores y los eventos de seguridad en los
sistemas que involucra el proceso de facturación deben ser generados y almacenados
durante el tiempo que el órgano regulador de las telecomunicaciones lo establezca.
Los
1. Asegurar que TI
supervisa activamente
aspectos de seguridad
de la información de la
infraestructura de TI,
tales
como
configuración,
operaciones,
acceso y uso.
logs
·
·
·
·
·
·
·
·
·
·
·
de
auditoria
deben
incluir
la
siguiente
información:
Id de Usuario.
Fechas, número de accesos y categorización de eventos.
Identificación de terminal desde cual se accedió.
Registros de accesos fallidos y exitosos a los sistemas.
Cambios en configuración de los sistemas.
Uso de privilegios.
Uso de utilidades y aplicaciones.
Archivos accesados y tipos de archivos.
Protocolos de red y direcciones de acceso.
Alarmas activadas en sistemas de control de acceso.
Eventos de activación y desactivación de herramientas de protección de sistemas,
como antivirus y sistemas de protección de Intrusos.
195
a)
Los eventos de seguridad en el proceso deben ser reportados a través de un
procedimiento
definido ágil, de tal forma que se puede incluir en el caso reportado información detallada
del posible evento de seguridad en el proceso.
b)
Se debe establecer un punto de contacto para reportar los eventos de seguridad de la
información en el proceso y un procedimiento formal de reporte de eventos de seguridad,
así como procedimientos para responder el mismo o escalarlo, el punto de contacto debe
ser conocido por toda la organización y debe estar siempre disponible y dotado de
recursos para actuar de forma inmediata. El procedimiento de reporte de eventos debe
incluir:
·
·
2.
Implementar un
procedimiento
formal
de
resolución
de
incidentes y mantener
de
un procedimiento
recogida de evidencias
en línea con las normas
forenses locales.
·
Retroalimentación para asegurar que los eventos son notificados, gestionados y
cerrados.
Los formularios de reportes de eventos de seguridad en el proceso de preferencia
deben ser automatizados y deben permitir ingresar toda la información relacionada el
evento de seguridad.
El correcto comportamiento del reporte de un evento de seguridad en el proceso
incluye:
o
o
Anotar todos los detalles importantes por ejemplo, no cumplimientos,
brechas, funcionamiento sospechoso de funcionalidades de sistemas,
plataformas de gestión y aprovisionamientos, captura de mensajes en
pantalla, logs generados.
No tomar acción alguna para corregir el evento de seguridad, pero si
reportarlo de forma inmediata.
c)
Referenciar un procedimiento de sanciones disciplinarias aplicables en caso de
cometimiento de violaciones de seguridad de la Información.
d)
El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un
indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo
tanto, siempre debe reportarse como un evento en la seguridad de la información. Como
ejemplos de incidentes de seguridad en el contexto del proceso de facturación se tiene:
·
·
·
a)
3.
Determinar los
requerimientos externos
de cumplimiento que
deben
satisfacerse
(incluyendo
legales,
regulatorios,
de
privacidad
y b)
contractuales).
Modificaciones no autorizadas sobre registros de facturas ya generadas en un ciclo
de facturación.
Omisiones intencionales de aplicación de cargos en productos y/o servicios
brindados por la TELCO.
No cumplimiento de todos los procedimientos y protocoles de operación.
Se debe definir de forma explícita, documentar y actualizar todos los requerimientos
establecidos:
·
·
·
Por ente regulador de la Industria respecto a la facturación de servicios de
Telecomunicaciones.
Impuesto y/o cargos a servicios de Telecomunicaciones.
Cláusulas contractuales con los clientes.
Se debe definir e implementar una política de protección y privacidad de los datos de los
clientes, esta política debe ser comunicada a todas las personas involucradas en el
procesamiento de la información. El cumplimiento de esta política requiere una apropiada
estructura y control gerencial, se recomienda asignar formalmente esta responsabilidad al
dueño del proceso de Facturación el cual debe generar lineamientos para su
cumplimiento.
196
SM&O SUPPORT READINESS
Nombre del
Proceso:
SM&O SUPPORT
READINESS
Área de eTOM:
Operaciones
Identificador del
Proceso
2Ba
Descripción del Proceso:
Service Management & Operation Support Readiness, Gestiona la Infraestructura de los servicios de Telecomunicaciones,
asegura que la capacidad adecuada del servicio esté disponible y lista, tiene que garantizar al proceso de facturación,
que los servicios que se cobran son los servicios que los clientes realmente tienen contratado, en cuanto a capacidades
de
uso,
comparticiones
y
parámetros
de
performance.
Este
proceso
·
·
·
·
·
·
incluye
pero
no
se
limita
a:
Dar soporte a la operación cuando se instala nueva infraestructura tecnológica o se modifica la existente para
incrementar la capacidad de brindar servicios.
Gestión y aseguramiento de la calidad del servicio de inventario.
Aplicación de reglas de capacidad dentro del ciclo de vida de la infraestructura.
Analizar la disponibilidad y la calidad de los servicios de la infraestructura tecnológica, incluyendo análisis de
tendencias y pronósticos.
Asegurar la capacidad operacional de los procesos de gestión de operación de los servicios.
Mantener los registros definidos de rating y tarifas de todos los servicios.
Procesos de Nivel 3
Descripción del Proceso:
eTOM:
Gestiona y administra el inventario de los servicios de la TELCO y su coherencia con las bases
de datos del inventario, se encarga del monitoreo y hacer reportes y control del uso y el acceso
de los inventarios de servicios y de la calidad de los datos.
Manage
Inventory.
Service
Enable
Configuration
Activation.
Service
Planea y despliega la infraestructura del servicio, asegura la disponibilidad de toda la
and
infraestructura para realizar el proceso de activación y configuración del servicio.
Suppor
t
Service Colabora con el proceso de gestión de problemas para proactivamente analizar estadísticas, se
Problem Management. generen actividades proactivas de mantenimiento programados de la infraestructura.
Support Service Quality Realiza un monitoreo y evaluación del performance de la infraestructura de servicios, monitoreo,
Management.
gestiona y reporta las capacidades al proceso de gestión de Calidad.
Support
especific
Rating.
Actividades
Service Asegura que el rating (unidades del producto y unidades de costo), y la información de tarifas
instance es mantenida para cada clase de servicio, para el servicio en general o para servicios
combinados.
Guías de Implementación enfocado a la Seguridad de la Información
a)
1.
Controlar
el
inventario
de
dispositivos
de b)
Telecomunicaciones.
c)
Todos los dispositivos que conforman la infraestructura tecnológica necesaria para
proveer los servicios de telecomunicaciones a los clientes, tienen que ser inventariados,
definir una configuración base de acuerdo al dispositivo y hacer referencia a la
funcionalidad en el negocio, ubicación, conexiones con terceros, capacidad utilizada ,esto
aplica para equipos de la red Core y de Acceso, al ser los dispositivos de diferentes
marcas, su inventario debería ser llevado en un módulo automatizado dentro del OSS.
Los dispositivos que componen la infraestructura, deben ser clasificados en términos de
su funcionalidad, valor para el negocio, requerimientos legales, y nivel de criticidad para
la organización, con el objetivo de identificar los dispositivos que necesitan ser protegidos
de forma especial.
Todos los movimientos, traslados, cambios de funcionalidad o cualquier tipo de
actualización de los dispositivos tienen que generar un registro histórico accesible.
197
a)
En lo posible, se deben usar las versiones de software base de los dispositivos de
telecomunicaciones originales suministrados por los vendedores sin modificaciones, así
como los sistemas de gestión de las plataformas. En caso de ser necesaria y posible la
modificación de un software base de un dispositivo, se debe considerar:
·
·
2.
Establecer
un
procedimiento para el
control
de
las
modificaciones
de
software base de los
dispositivos y sistemas
de
gestión
de
plataformas
de
Telecomunicaciones.
·
·
·
·
·
·
a)
b)
3.
Gestionar
las
vulnerabilidades
técnicas
de
los
dispositivos y sistemas
de
gestión
de
plataformas.
Si se debiera obtener el consentimiento del vendedor.
La posibilidad de obtener del vendedor los cambios requeridos como
actualizaciones del software estándar.
El impacto de si como resultado de los cambios, la organización se hace
responsable del mantenimiento futuro del software base.
Si son necesarios cambios, se debiera mantener el software original y se debieran
aplicar los cambios en una copia claramente identificada.
Se debe implementar un proceso de gestión de actualizaciones del software para
asegurar que la mayoría de los parches aprobados hasta la-fecha y las
actualizaciones de la aplicación se instalen para todo software autorizado.
Todos los cambios deben ser completamente probados y documentados, de manera
que puedan ser reaplicados, si fuese necesario, a las futuras actualizaciones del
software.
Si fuese requerido, las modificaciones deben ser probadas y validadas por un
organismo de evaluación independiente.
El riesgo de comprometer los controles incorporados y los procesos de integridad.
Se debe obtener oportunamente la información sobre las vulnerabilidades técnicas de
todos los dispositivos que forman parte de la infraestructura que provee los servicios de
Telecomunicaciones.
·
El inventario completo de los dispositivos es un prerrequisito para la gestión
efectiva de la vulnerabilidad técnica.
·
La información específica necesaria para apoyar la gestión de la vulnerabilidad
técnica incluye al proveedor del dispositivo y su plataforma de gestión, versiones del
software base del dispositivo y la plataforma de gestión, estado actual de uso, y las
personas responsables de los dispositivos dentro de la organización.
Se debe tomar la acción apropiada y oportuna en respuesta a la identificación de
vulnerabilidades técnicas potenciales a cargo del responsable del proceso. Se debe
seguir el siguiente lineamiento para establecer un proceso de gestión efectivo para las
vulnerabilidades técnicas:
·
La organización debe definir y establecer los roles y responsabilidades asociadas
con la gestión de la vulnerabilidad técnica; incluyendo el monitoreo de la
vulnerabilidad, evaluación del riesgo de la vulnerabilidad, monitoreo de dispositivos
y cualquier responsabilidad de coordinación requerida.
·
Se debe identificar los recursos de información que se utilizarán para identificar las
vulnerabilidades técnicas relevantes y mantener la conciencia sobre ellas para los
dispositivos y otras tecnologías, se debe definir una línea de tiempo para
reaccionar a las notificaciones de vulnerabilidades técnicas potencialmente
relevantes.
·
Una vez que se identifica la vulnerabilidad técnica potencial, la organización debe
identificar los riesgos asociados y las acciones a tomarse; dicha acción
puede implicar aplicar parches al software base de dispositivos o sistemas de
gestión de plataformas vulnerables y/o la aplicación de otros controles.
·
Dependiendo de la criticidad con que se necesita tratar la vulnerabilidad técnica, la
acción a tomarse debe realizarse de acuerdo a los controles relacionados con la
gestión de cambios o siguiendo los procedimientos de respuesta ante
incidentes de seguridad de la información definidos.
·
·
Si es posible aplicar un parche, se debe evaluar los riesgos asociados con la
aplicación del mismo, en este punto es importante comparar los riesgos impuestos
por la vulnerabilidad con el riesgo de aplicar el parche a los dispositivos o sistemas
de gestión.
·
Los parches se deben probar y evaluar en un ambiente controlado antes de
aplicarlos para asegurar que que solventen la vulnerabilidad y no desencadenen
198
efectos secundarios no tolerables; si el parche no está disponible, se pueden
considerar otros controles:
o
o
o
o
o
o
·
a)
El correcto funcionamiento del proceso de gestión de la vulnerabilidad técnica
aplicado a la infraestructura que provee los servicios a los clientes es crítica para
evitar el fraude por tanto, debe ser monitoreado regularmente.
En plataformas de Telecomunicaciones en producción los cambios deben estar sujetos a
un estricto control, los siguientes ítems deben ser considerados:
·
·
·
4. Asegurar que se
realiza una evaluación
del impacto potencial
de los cambios en
seguridad
de
la
información.
Desconectar los servicios o capacidades relacionadas con la
vulnerabilidad.
Adaptar o agregar controles de acceso.
Mayor monitoreo para detectar o evitar ataques reales.
Elevar la conciencia acerca de la vulnerabilidad.
Mantener un registro de auditoría de todos los procedimientos realizados;
el proceso de gestión de vulnerabilidad técnica debiera ser monitoreado y
Evaluado regularmente para asegurar su efectividad y eficacia; se
debieran tratar primero los sistemas en alto riesgo.
·
·
·
·
·
·
Identificación y registro de los cambios significativos realizados.
Planeación y pruebas de los cambios en ambiente controlado.
Evaluación de impactos funcionales y de seguridad respecto a los cambios a
realizar.
Comunicar de los detalles del cambio a todas las personas técnicamente
relacionadas al cambio.
Establecer procedimientos detallados incluyendo responsabilidades para deshacer
el cambio en caso de que el cambio no sea exitoso.
En dependencia de la criticidad del cambio es recomendable solicitar
acompañamiento a personal de soporte de plataformas propietarias.
Si los cambios implican movimientos, reasignaciones, repotenciación, cambios de
funcionalidad sobre los dispositivos, el inventario debe ser correctamente
actualizado.
Siempre que el cambio haya sido implementado, actualizar, de manera
consecuente, la documentación de configuración, así como los procedimientos a los
que afecta el cambio.
Se tiene generar y mantener un log detallado de los cambios realizados y mantenido
por un tiempo adecuado para posibles auditorias.
199
ANEXO E. [14]
Descripción
4.4.1 PERIODO DE
EVALUCION.
4.3.2 CONTABILIZACION
DE METRICAS.
4.3.3 EVALUACION.
Definir el período de evaluación de la Madurez de
la GSI y la escala cuantitativa de valores para
todos los indicadores.
Implantar formalmente el procedimiento de
contabilización de indicadores.
Evaluación de resultados, correctivos y prioridades.
Roles
CEO
CISO
BPO
CTO
ISM
AM
R
A
C
I
Chief executive Officer
Chief Informaion Officer
Business Process Owner
Chief Technological Officer
Information Security Manager
Audit Management
Funciones
Responsable de hacerlo
A quien se reporta
A quién se le consulta y provee información
A quien se le informa
CEO CISO BPO CTO ISM AM
I
A
C
R
I
I
A
C
R
I
I
A
C
R
C
C
200
ANEXO F. [14]
NOMBRE DEL PROCESO
NIVEL DE RIESGO
BILL INVOICE MANAGEMENT
ALTA
A
V
I
C
D
IMPACTO
PROBABILIDAD
RIESGO
A1
V1
1
1
1
3
1
3
A1
V2
1
1
1
3
1
3
A1
V3
1
1
1
3
1
3
A1
V4
1
1
1
3
1
3
A1
V5
1
1
1
3
1
3
A1
V6
1
1
1
3
1
3
A2
V1
1
1
1
3
1
3
A2
V2
1
1
1
3
1
3
A2
V3
1
1
1
3
1
3
A2
V4
1
1
1
3
1
3
A2
V5
1
1
1
3
1
3
A2
V6
1
1
1
3
1
3
A3
V1
1
1
1
3
1
3
A3
V2
1
1
1
3
1
3
A3
V3
1
1
1
3
1
3
A3
V4
1
1
1
3
1
3
A3
V5
5
1
3
9
3
27
A3
V6
5
1
3
9
3
27
A4
V1
1
1
1
3
1
3
A4
V2
1
1
1
3
1
3
A4
V3
1
1
1
3
1
3
A4
V4
1
1
1
3
1
3
A4
V5
1
1
1
3
1
3
A4
V6
1
1
1
3
1
3
A5
V1
1
1
1
3
1
3
A5
V2
1
1
1
3
1
3
A5
V3
1
1
1
3
1
3
A5
V4
1
1
1
3
1
3
A5
V5
1
1
1
3
1
3
A5
V6
1
1
1
3
1
3
A6
V1
1
1
1
3
1
3
A6
V2
1
1
1
3
1
3
A6
V3
1
1
1
3
1
3
A6
V4
1
1
1
3
1
3
A6
V5
1
1
1
3
1
3
A6
V6
1
1
1
3
1
3
A7
V1
1
1
1
3
1
3
PROMEDIO PROMEDIO GENERAL
3,62
3,00
3,00
11,00
3,00
3,00
3,00
3,00
201
A7
V2
1
1
1
3
1
3
A7
V3
1
1
1
3
1
3
A7
V4
1
1
1
3
1
3
A7
V5
1
1
1
3
1
3
A7
V6
1
1
1
3
1
3
A8
V1
1
1
1
3
1
3
A8
V2
1
1
1
3
1
3
A8
V3
1
1
1
3
1
3
A8
V4
1
1
1
3
1
3
A8
V5
1
1
1
3
1
3
A8
V6
1
1
1
3
1
3
A9
V1
1
1
1
3
1
3
A9
V2
1
1
1
3
1
3
A9
V3
1
1
1
3
1
3
A9
V4
1
1
1
3
1
3
A9
V5
1
1
1
3
1
3
A9
V6
1
1
1
3
1
3
A10
V1
1
1
1
3
1
3
A10
V2
1
1
1
3
1
3
A10
V3
1
1
1
3
1
3
A10
V4
1
1
1
3
1
3
A10
V5
1
1
1
3
1
3
A10
V6
1
1
1
3
1
3
A11
V1
1
1
1
3
1
3
A11
V2
1
1
1
3
1
3
A11
V3
1
1
1
3
1
3
A11
V4
1
1
1
3
1
3
A11
V5
1
1
1
3
1
3
A11
V6
1
1
1
3
1
3
A12
V1
1
1
1
3
1
3
A12
V2
1
1
1
3
1
3
A12
V3
1
1
1
3
1
3
A12
V4
1
1
1
3
1
3
A12
V5
1
1
1
3
1
3
A12
V6
1
1
1
3
1
3
A13
V1
1
1
1
3
1
3
A13
V2
1
1
1
3
1
3
A13
V3
1
1
1
3
1
3
A13
V4
1
1
1
3
1
3
A13
V5
1
1
1
3
1
3
A13
V6
1
1
1
3
1
3
3,00
3,00
3,00
3,00
3,00
3,00
202
NOMBRE DEL PROCESO
NIVEL DE RIESGO
SM&O SUPPORT READINESS
ALTA
A
V
I
C
D
IMPACTO
PROBABILIDAD
RIESGO
A1
V1
1
1
1
3
1
3
A1
V2
1
1
1
3
1
3
A1
V3
1
1
1
3
1
3
A1
V4
1
1
1
3
1
3
A1
V5
1
1
1
3
1
3
A1
V6
1
1
1
3
1
3
A2
V1
1
1
1
3
1
3
A2
V2
1
1
1
3
1
3
A2
V3
1
1
1
3
1
3
A2
V4
1
1
1
3
1
3
A2
V5
1
1
1
3
1
3
A2
V6
1
1
1
3
1
3
A3
V1
1
1
1
3
1
3
A3
V2
5
5
5
15
2
30
A3
V3
5
5
5
15
2
30
A3
V4
1
1
1
3
1
3
A3
V5
1
1
1
3
1
3
A3
V6
5
5
5
15
1
15
A4
V1
1
1
1
3
1
3
A4
V2
1
1
3
5
2
10
A4
V3
1
1
3
5
2
10
A4
V4
1
1
1
3
1
3
A4
V5
1
1
1
3
1
3
A4
V6
1
1
1
3
1
3
A5
V1
1
1
1
3
1
3
A5
V2
1
1
3
5
2
10
A5
V3
1
1
3
5
1
5
A5
V4
1
1
1
3
1
3
A5
V5
1
1
1
3
1
3
A5
V6
1
1
1
3
1
3
A6
V1
1
1
1
3
1
3
A6
V2
1
1
1
3
1
3
A6
V3
1
1
3
5
2
10
A6
V4
1
1
1
3
1
3
A6
V5
1
1
1
3
1
3
A6
V6
1
1
1
3
1
3
A7
V1
1
1
1
3
1
3
A7
V2
1
1
1
3
1
3
A7
V3
1
1
3
5
2
10
PROMEDIO PROMEDIO GENERAL
4,81
3,00
3,00
14,00
5,33
4,50
4,17
4,17
203
A7
V4
1
1
1
3
1
3
A7
V5
1
1
1
3
1
3
A7
V6
1
1
1
3
1
3
A8
V1
1
1
1
3
1
3
A8
V2
1
1
1
3
1
3
A8
V3
1
1
1
3
1
3
A8
V4
1
1
1
3
1
3
A8
V5
1
1
1
3
1
3
A8
V6
1
1
1
3
1
3
A9
V1
1
1
1
3
1
3
A9
V2
1
1
1
3
1
3
A9
V3
1
1
1
3
1
3
A9
V4
1
1
1
3
1
3
A9
V5
1
1
1
3
1
3
A9
V6
1
1
1
3
1
3
A10
V1
1
1
1
3
1
3
A10
V2
1
1
1
3
1
3
A10
V3
1
1
1
3
1
3
A10
V4
1
1
1
3
1
3
A10
V5
1
1
1
3
1
3
A10
V6
1
1
1
3
1
3
A11
V1
1
1
1
3
1
3
A11
V2
1
1
1
3
1
3
A11
V3
1
1
1
3
1
3
A11
V4
1
1
1
3
1
3
A11
V5
1
1
1
3
1
3
A11
V6
1
1
1
3
1
3
A12
V1
1
1
1
3
1
3
A12
V2
1
1
1
3
1
3
A12
V3
1
1
1
3
1
3
A12
V4
1
1
1
3
1
3
A12
V5
1
1
1
3
1
3
A12
V6
1
1
1
3
1
3
A13
V1
1
1
1
3
1
3
A13
V2
1
5
1
7
3
21
A13
V3
1
1
1
3
1
3
A13
V4
1
5
1
7
3
21
A13
V5
1
3
1
5
1
5
A13
V6
1
1
1
3
1
3
3,00
3,00
3,00
3,00
3,00
9,33
204
NOMBRE DEL PROCESO
NIVEL DE RIESGO
SERVICE CONFIGURATION & ACTIVATION
ALTA
A
V
I
C
D
IMPACTO
PROBABILIDAD
RIESGO
A1
V1
5
3
3
11
3
33
A1
V2
3
1
1
5
1
5
A1
V3
1
1
1
3
1
3
A1
V4
1
1
1
3
1
3
A1
V5
1
1
1
3
1
3
A1
V6
1
1
1
3
1
3
A2
V1
1
1
1
3
1
3
A2
V2
1
1
1
3
1
3
A2
V3
1
1
1
3
1
3
A2
V4
1
1
1
3
1
3
A2
V5
1
1
1
3
1
3
A2
V6
1
1
1
3
1
3
A3
V1
1
1
1
3
1
3
A3
V2
1
1
1
3
1
3
A3
V3
1
1
1
3
1
3
A3
V4
1
1
1
3
1
3
A3
V5
1
1
1
3
1
3
A3
V6
1
1
1
3
1
3
A4
V1
1
1
1
3
1
3
A4
V2
1
1
1
3
1
3
A4
V3
1
1
1
3
1
3
A4
V4
1
1
1
3
1
3
A4
V5
1
1
1
3
1
3
A4
V6
1
1
1
3
1
3
A5
V1
1
1
1
3
1
3
A5
V2
1
1
3
5
1
5
A5
V3
3
1
3
7
1
7
A5
V4
1
1
1
3
1
3
A5
V5
1
1
1
3
1
3
A5
V6
1
1
1
3
1
3
A6
V1
5
5
5
15
3
45
A6
V2
1
1
1
3
1
3
A6
V3
5
5
5
15
1
15
A6
V4
1
1
1
3
1
3
A6
V5
1
1
1
3
1
3
A6
V6
1
1
1
3
1
3
A7
V1
1
1
1
3
1
3
A7
V2
1
1
1
3
1
3
A7
V3
1
1
3
5
2
10
PROMEDIO PROMEDIO GENERAL
4,83
8,33
3,00
3,00
3,00
4,00
12,00
4,17
205
A7
V4
1
1
1
3
1
3
A7
V5
1
1
1
3
1
3
A7
V6
1
1
1
3
1
3
A8
V1
1
1
1
3
1
3
A8
V2
1
1
1
3
1
3
A8
V3
1
1
1
3
1
3
A8
V4
1
1
1
3
1
3
A8
V5
1
1
1
3
1
3
A8
V6
1
1
1
3
1
3
A9
V1
1
1
1
3
1
3
A9
V2
1
1
1
3
1
3
A9
V3
1
1
1
3
1
3
A9
V4
1
1
1
3
1
3
A9
V5
1
1
1
3
1
3
A9
V6
1
1
1
3
1
3
A10
V1
1
1
1
3
1
3
A10
V2
1
1
1
3
1
3
A10
V3
1
1
1
3
1
3
A10
V4
1
1
1
3
1
3
A10
V5
1
1
1
3
1
3
A10
V6
1
1
5
7
3
21
A11
V1
1
1
1
3
1
3
A11
V2
1
1
1
3
1
3
A11
V3
1
1
1
3
1
3
A11
V4
1
1
1
3
1
3
A11
V5
1
1
1
3
1
3
A11
V6
1
1
1
3
1
3
A12
V1
1
1
1
3
1
3
A12
V2
1
1
1
3
1
3
A12
V3
1
1
1
3
1
3
A12
V4
1
1
1
3
1
3
A12
V5
1
1
1
3
1
3
A12
V6
1
1
1
3
1
3
A13
V1
1
1
1
3
1
3
A13
V2
1
3
1
5
3
15
A13
V3
1
1
1
3
1
3
A13
V4
1
3
1
5
3
15
A13
V5
1
3
1
5
1
5
A13
V6
1
1
1
3
1
3
3,00
3,00
6,00
3,00
3,00
7,33
206
NOMBRE DEL PROCESO
NIVEL DE RIESGO
FRAUD MANAGEMENT
ALTA
A
V
I
C
D
IMPACTO
PROBABILIDAD
RIESGO
A1
V1
1
1
1
3
2
6
A1
V2
1
1
1
3
2
6
A1
V3
1
1
1
3
2
6
A1
V4
1
1
1
3
2
6
A1
V5
1
1
1
3
2
6
A1
V6
3
3
3
9
2
18
A2
V1
1
1
1
3
2
6
A2
V2
1
1
1
3
2
6
A2
V3
1
1
1
3
2
6
A2
V4
1
1
1
3
1
3
A2
V5
3
3
3
9
2
18
A2
V6
3
3
3
9
2
18
A3
V1
1
1
1
3
2
6
A3
V2
1
1
1
3
2
6
A3
V3
1
1
1
3
2
6
A3
V4
1
1
1
3
1
3
A3
V5
3
3
3
9
3
27
A3
V6
3
3
3
9
3
27
A4
V1
1
1
1
3
1
3
A4
V2
1
1
1
3
1
3
A4
V3
1
1
1
3
1
3
A4
V4
1
1
1
3
1
3
A4
V5
1
1
1
3
1
3
A4
V6
1
1
1
3
1
3
A5
V1
1
1
1
3
1
3
A5
V2
1
1
1
3
1
3
A5
V3
1
1
1
3
1
3
A5
V4
1
1
1
3
1
3
A5
V5
1
1
1
3
1
3
A5
V6
1
1
1
3
1
3
A6
V1
1
1
1
3
2
6
A6
V2
1
1
1
3
2
6
A6
V3
1
1
1
3
2
6
A6
V4
1
1
1
3
1
3
A6
V5
3
3
3
9
2
18
A6
V6
3
3
3
9
2
18
A7
V1
1
1
1
3
2
6
A7
V2
1
1
1
3
2
6
PROMEDIO PROMEDIO GENERAL
6,31
8,00
9,50
12,50
3,00
3,00
9,50
9,50
207
A7
V3
1
1
1
3
2
6
A7
V4
1
1
1
3
1
3
A7
V5
3
3
3
9
2
18
A7
V6
3
3
3
9
2
18
A8
V1
1
1
1
3
2
6
A8
V2
1
1
1
3
2
6
A8
V3
1
1
1
3
2
6
A8
V4
1
1
1
3
1
3
A8
V5
3
3
3
9
2
18
A8
V6
3
3
3
9
2
18
A9
V1
1
1
1
3
2
6
A9
V2
1
1
1
3
2
6
A9
V3
1
1
1
3
2
6
A9
V4
1
1
1
3
1
3
A9
V5
1
1
1
3
2
6
A9
V6
1
1
1
3
2
6
A10
V1
1
1
1
3
1
3
A10
V2
1
1
1
3
1
3
A10
V3
1
1
1
3
1
3
A10
V4
1
1
1
3
1
3
A10
V5
1
1
1
3
1
3
A10
V6
1
1
1
3
1
3
A11
V1
1
1
1
3
1
3
A11
V2
1
1
1
3
1
3
A11
V3
1
1
1
3
1
3
A11
V4
1
1
1
3
1
3
A11
V5
1
1
1
3
1
3
A11
V6
1
1
1
3
1
3
A12
V1
1
1
1
3
1
3
A12
V2
1
1
1
3
1
3
A12
V3
1
1
1
3
1
3
A12
V4
1
1
1
3
1
3
A12
V5
1
1
1
3
1
3
A12
V6
1
1
1
3
1
3
A13
V1
1
1
1
3
1
3
A13
V2
1
1
1
3
1
3
A13
V3
1
1
1
3
1
3
A13
V4
1
1
1
3
1
3
A13
V5
1
1
1
3
1
3
A13
V6
1
1
1
3
1
3
9,50
5,50
3,00
3,00
3,00
3,00
208
NOMBRE DEL PROCESO
NIVEL DE RIESGO
AUDIT MANAGEMENT
ALTA
A
V
I
C
D
IMPACTO
PROBABILIDAD
RIESGO
A1
V1
1
1
1
3
2
6
A1
V2
1
1
1
3
2
6
A1
V3
1
1
1
3
2
6
A1
V4
1
1
1
3
1
3
A1
V5
1
1
1
3
2
6
A1
V6
1
1
1
3
2
6
A2
V1
1
1
1
3
2
6
A2
V2
1
1
1
3
2
6
A2
V3
1
1
1
3
2
6
A2
V4
1
1
1
3
1
3
A2
V5
1
1
1
3
2
6
A2
V6
1
1
1
3
2
6
A3
V1
1
1
1
3
2
6
A3
V2
1
1
1
3
2
6
A3
V3
1
1
1
3
2
6
A3
V4
1
1
1
3
1
3
A3
V5
1
1
1
3
2
6
A3
V6
1
1
1
3
2
6
A4
V1
1
1
1
3
1
3
A4
V2
1
1
1
3
1
3
A4
V3
1
1
1
3
1
3
A4
V4
1
1
1
3
1
3
A4
V5
1
1
1
3
1
3
A4
V6
1
1
1
3
1
3
A5
V1
1
1
1
3
1
3
A5
V2
1
1
1
3
1
3
A5
V3
1
1
1
3
1
3
A5
V4
1
1
1
3
1
3
A5
V5
1
1
1
3
1
3
A5
V6
1
1
1
3
1
3
A6
V1
1
1
1
3
2
6
A6
V2
1
1
1
3
2
6
A6
V3
1
1
1
3
2
6
A6
V4
1
1
1
3
1
3
A6
V5
1
1
1
3
2
6
A6
V6
1
1
1
3
2
6
A7
V1
1
1
1
3
2
6
A7
V2
1
1
1
3
2
6
A7
V3
1
1
1
3
2
6
PROMEDIO PROMEDIO GENERAL
5,73
5,50
5,50
5,50
3,00
3,00
5,50
9,50
209
A7
V4
1
1
1
3
1
3
A7
V5
3
3
3
9
2
18
A7
V6
3
3
3
9
2
18
A8
V1
1
1
1
3
2
6
A8
V2
1
1
1
3
2
6
A8
V3
1
1
1
3
2
6
A8
V4
1
1
1
3
1
3
A8
V5
3
3
3
9
2
18
A8
V6
3
3
3
9
2
18
A9
V1
1
1
1
3
2
6
A9
V2
1
1
1
3
2
6
A9
V3
3
3
3
9
3
27
A9
V4
1
1
1
3
1
3
A9
V5
1
1
1
3
2
6
9,50
11,00
A9
V6
3
3
3
9
2
18
A10
V1
1
1
1
3
1
3
A10
V2
1
1
1
3
1
3
A10
V3
1
1
1
3
1
3
A10
V4
1
1
1
3
1
3
A10
V5
1
1
1
3
1
3
A10
V6
1
1
1
3
1
3
A11
V1
1
1
1
3
1
3
A11
V2
1
1
1
3
1
3
A11
V3
1
1
1
3
1
3
A11
V4
1
1
1
3
1
3
A11
V5
1
1
1
3
1
3
A11
V6
1
1
1
3
1
3
A12
V1
1
1
1
3
1
3
A12
V2
1
1
1
3
1
3
A12
V3
1
1
1
3
1
3
A12
V4
1
1
1
3
1
3
A12
V5
1
1
1
3
1
3
A12
V6
1
1
1
3
1
3
A13
V1
1
1
1
3
2
6
A13
V2
1
1
1
3
2
6
A13
V3
1
1
1
3
2
6
A13
V4
1
1
1
3
1
3
A13
V5
1
1
1
3
2
6
A13
V6
3
3
3
9
2
18
3,00
3,00
3,00
7,50
210
NOMBRE DEL PROCESO
NIVEL DE RIESGO
REGULATORY MANAGEMENT
ALTA
A
V
I
C
D
IMPACTO
PROBABILIDAD
RIESGO
A1
V1
1
1
1
3
1
3
A1
V2
1
3
1
5
1
5
A1
V3
1
1
1
3
1
3
A1
V4
3
1
1
5
1
5
A1
V5
1
1
3
5
1
5
A1
V6
1
1
1
3
1
3
A2
V1
1
1
1
3
1
3
A2
V2
1
1
1
3
1
3
A2
V3
1
1
1
3
1
3
A2
V4
1
1
1
3
1
3
A2
V5
1
3
1
5
1
5
A2
V6
1
1
1
3
1
3
A3
V1
1
1
1
3
1
3
A3
V2
1
1
3
5
1
5
A3
V3
3
1
1
5
1
5
A3
V4
1
1
3
5
1
5
A3
V5
3
1
1
5
1
5
A3
V6
3
5
5
13
3
39
A4
V1
3
1
1
5
1
5
A4
V2
1
3
1
5
1
5
A4
V3
1
1
1
3
1
3
A4
V4
1
3
1
5
1
5
A4
V5
1
1
3
5
1
5
A4
V6
1
3
5
9
3
27
A5
V1
3
1
1
5
1
5
A5
V2
1
1
1
3
1
3
A5
V3
1
3
1
5
1
5
A5
V4
1
1
1
3
1
3
A5
V5
1
3
1
5
1
5
A5
V6
3
1
1
5
1
5
A6
V1
1
1
1
3
1
3
A6
V2
3
1
1
5
1
5
A6
V3
1
3
1
5
1
5
A6
V4
1
1
1
3
1
3
A6
V5
1
1
1
3
1
3
A6
V6
1
1
1
3
1
3
A7
V1
1
3
1
5
1
5
A7
V2
1
1
1
3
1
3
A7
V3
3
1
1
5
1
5
PROMEDIO PROMEDIO GENERAL
4,82
4,00
3,33
10,33
8,33
4,33
3,67
4,00
211
A7
V4
1
1
3
5
1
5
A7
V5
1
1
1
3
1
3
A7
V6
1
1
1
3
1
3
A8
V1
1
1
1
3
1
3
A8
V2
3
1
1
5
1
5
A8
V3
1
3
1
5
1
5
A8
V4
1
1
1
3
1
3
A8
V5
1
1
1
3
1
3
A8
V6
1
1
1
3
1
3
A9
V1
1
1
1
3
1
3
A9
V2
1
3
1
5
1
5
A9
V3
1
1
1
3
1
3
A9
V4
1
1
1
3
1
3
A9
V5
1
1
1
3
1
3
A9
V6
1
1
1
3
1
3
A10
V1
3
1
1
5
1
5
A10
V2
1
3
1
5
1
5
A10
V3
1
1
1
3
1
3
A10
V4
1
3
3
7
1
7
A10
V5
3
3
1
7
1
7
A10
V6
1
1
1
3
1
3
A11
V1
1
1
1
3
1
3
A11
V2
1
1
3
5
1
5
A11
V3
3
1
1
5
1
5
A11
V4
1
3
1
5
1
5
A11
V5
1
1
3
5
1
5
A11
V6
1
1
1
3
1
3
A12
V1
1
3
1
5
1
5
A12
V2
1
1
3
5
1
5
A12
V3
1
3
1
5
1
5
A12
V4
3
1
1
5
1
5
A12
V5
1
1
3
5
1
5
A12
V6
1
1
1
3
1
3
A13
V1
1
1
1
3
1
3
A13
V2
3
1
1
5
1
5
A13
V3
1
1
1
3
1
3
A13
V4
1
3
1
5
1
5
A13
V5
1
1
1
3
1
3
A13
V6
1
1
1
3
1
3
3,67
3,33
5,00
4,33
4,67
3,67
212
ANEXO G. [14]
213
214
215
Documentos relacionados
adenda al proyecto
adenda al proyecto
ANALISIS COMPARATIVO DE LA REPOSICION VOLEMICA CON
ANALISIS COMPARATIVO DE LA REPOSICION VOLEMICA CON
Información legal de su interés
Información legal de su interés
Requisitos de Calidad para los Proveedores de
Requisitos de Calidad para los Proveedores de
Descargar
Anuncio
Anuncio