ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS AUDITORÍA DEL SISTEMA INFORMÁTICO DEL MINISTERIO DE TRANSPORTE Y OBRAS PÚBLICAS PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN AUTOR: MARÍA BELÉN MOREIRA CASTRO [email protected] Director: MSc. Ing. César Gustavo Samaniego Burbano [email protected] 2015 DECLARACIÓN Yo, María Belén Moreira Castro declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. La Escuela Politécnica Nacional puede hacer uso de los derechos correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. María Belén Moreira Castro CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por María Belén Moreira Castro, bajo mi supervisión. Ing. César Gustavo Samaniego Burbano DIRECTOR AGRADECIMIENTOS Primero a Dios que me ha permitido llegar aquí y me ha dado todo. A mis padres, mi hermana y mi sobrino por su apoyo incondicional en todo momento de mi vida, son importar la situación, sin importar el reto, siempre me han ayudado a cumplir mis metas y me han dado todo para seguir adelante. A Ricardo, por su apoyo, comprensión y motivación, no sólo para culminar mi tesis sino en este momento de mi vida. Ha sido una luz en mi camino. A mis abuelitas, tíos y familiares, por su ejemplo y su apoyo, en cada paso que damos en la vida llevamos a la familia. Supieron formar dos personas fantásticas que a su vez lo hacen conmigo. A mis amigos, por estar conmigo en los buenos y sobretodo en los malos momentos, me han acompañado en lo largo del camino y han dejado huella. A mis profesores, por sus enseñanzas, sobre todo al Ing. Gustavo Samaniego, que me ha ayudado y guiado en este camino. Este logro no es sólo mío, es también suyo. DEDICATORIA A Dios. A mis padres, todo lo que he alcanzado en mi vida es por ustedes, la persona que soy es gracias a ustedes. A mi hermana, ahora es mi turno, espero con ansia el tuyo. A mi sobrino, espero q mis logros te enorgullezcan y que cuando tu alcances los tuyos pueda estar siempre a tu lado. A mi tío Raúl, siempre preocupado por los demás, yo sé que desde el cielo nos cuida. Caminante, son tus huellas el camino y nada más; Caminante, no hay camino, se hace camino al andar. Al andar se hace el camino, y al volver la vista atrás se ve la senda que nunca se ha de volver a pisar. Caminante no hay camino sino estelas en la mar. - Antonio Machado CONTENIDO LISTA DE FIGURAS ……………………………...………………………………... i LISTA DE TABLAS …………………………….………..…..…………...………… ii LISTA DE ANEXOS …………………………….…….………………...………… iii RESUMEN …………………………….……………….…………………………… iv CAPÍTULO I: DESCRIPCIÓN DEL PROBLEMA....................................................................... 1 1.1 CARACTERIZACIÓN DEL MINISTERIO .............................................................. 1 1.1.1 Descripción del Ministerio ............................................................... 1 1.1.2 Misión............................................................................................... 1 1.1.3 Visión ................................................................................................ 2 1.1.4 Valores ............................................................................................. 2 1.1.5 Objetivo ............................................................................................ 2 1.1.6 Estructura Orgánica del Ministerio .................................................. 3 1.2 CARACTERIZACIÓN DE LA UNIDAD INFORMÁTICA ......................................... 5 1.2.1 Descripción de la Unidad Informática.............................................. 5 1.2.2 Estructura de la Unidad Informática ............................................... 6 1.2.3 Áreas y Funciones ............................................................................ 7 1.2.4 Planes de la Unidad Informática ...................................................... 9 1.3 ESTUDIO DE LA METODOLOGÍA.................................................................... 10 CAPÍTULO II: EJECUCIÓN DE LA AUDITORÍA .................................................................... 14 2.1 PLANIFICACIÓN ............................................................................................. 14 2.1.1 Normas de Control Interno para el MTOP ..................................... 14 2.1.2 Selección de los procesos de COBIT............................................... 19 2.2 REALIZACIÓN DE LA AUDITORÍA ................................................................... 22 2.2.0 Análisis de vulnerabilidades con la herramienta msat. ................. 24 2.2.1 EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno ........................................................................... 35 2.2.2 EDM03 Asegurar la optimización del riesgo .................................. 37 2.2.3 EDM04 Asegurar la optimización de recursos ............................... 39 2.2.4 APO01 Gestionar el marco de gestión de TI .................................. 42 2.2.5 APO02 Gestionar la estrategia ....................................................... 46 2.2.6 APO07 Gestionar los recursos humano ......................................... 56 2.2.7 AP012 Gestionar el riesgo .............................................................. 60 2.2.8 AP013 Gestionar la seguridad ........................................................ 62 2.2.9 BAI05 Gestionar la introducción del cambio organizativo ............ 65 2.2.10 BAI09 Gestionar los activos ......................................................... 69 2.2.11 DSS01 Gestionar operaciones ...................................................... 72 2.2.12 DSS04 Gestionar la continuidad................................................... 74 2.2.13 DSS05 Gestionar servicios de seguridad ...................................... 78 CAPÍTULO III: RESULTADOS DE LA AUDITORÍA ................................................................ 82 3.1 ANÁLISIS DE RESULTADOS ............................................................................ 82 3.2 INFORME PRELIMINAR ................................................................................. 85 3.3 INFORME TÉCNICO ....................................................................................... 86 3.4 INFORME EJECUTIVO. ................................................................................... 95 CAPÍTULO IV: CONCLUSIONES Y RECOMENDACIONES ................................................. 105 4.1 CONCLUSIONES ........................................................................................... 105 4.2 RECOMENDACIONES................................................................................... 106 BIBLIOGRAFÍA ................................................................................................................ 107 ANEXOS .......................................................................................................................... 108 i LISTA DE FIGURAS Figura 1 – Logo del Ministerio de Transporte y Obras Públicas .................................... 1 Figura 2 – Orgánico Funcional Actual del Ministerio de Transporte y Obras Públicas 3 Figura 3 – Orgánico Funcional aprobada por el Ministerio de Transporte y Obras Públicas............................................................................................................................. 4 Figura 4 – Estructura Orgánica Interna de la Unidad Informática ................................. 6 Figura 5 – Procesos de COBIT 5 .................................................................................. 13 Figura 6 – Distribución de defensa de los riesgos ........................................................ 24 Figura 7 – Distribución de defensa de los riesgos ........................................................ 25 Figura 8 – Leyenda para interpretar los ........................................................................ 25 Figura 9 – Resultados de Infraestructura ...................................................................... 26 Figura 10 – Resultados de Aplicaciones ...................................................................... 29 Figura 11 – Resultados de Operaciones ....................................................................... 31 Figura 12 – Resultados de Personal ............................................................................. 33 Figura 13 – Iniciativas de Seguridad ............................................................................ 34 ii LISTA DE TABLAS Tabla 1- Planes de la Unidad Informática del MTOP ..................................................... 9 Tabla 2- Selección de los Dominios y Procesos de COBIT 5 ....................................... 20 Tabla 3- Procesos seleccionados de COBIT 5 ............................................................... 21 Tabla 4- Modelo de Capacidad ...................................................................................... 22 Tabla 5- Estructura general de SELF ASSESMENT TEMPLATE .............................. 23 Tabla 6- Nivel de Capacidad Proceso EDM01: Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno...................................................... 37 Tabla 7- Nivel de Capacidad Proceso EDM03: Asegurar la optimización del riesgo .. 39 Tabla 8- Nivel de Capacidad Proceso EDM04: Asegurar la optimización de recursos 42 Tabla 9- Nivel de Capacidad Proceso APO01: Gestionar el marco de gestión de TI ... 46 Tabla 10- Análisis de diferencias .................................................................................. 54 Tabla 11- Nivel de Capacidad Proceso APO02 Gestionar la estrategia ........................ 56 Tabla 12- Nivel de Capacidad Proceso APO07 Gestionar los recursos humanos ......... 60 Tabla 13- Nivel de Capacidad Proceso AP012 Gestionar el riesgo .............................. 62 Tabla 14- Nivel de Capacidad Proceso AP013 Gestionar la seguridad......................... 65 Tabla 15- Nivel de Capacidad Proceso BAI05 Gestionar la introducción del cambio organizativo .................................................................................................................... 69 Tabla 16- Nivel de Capacidad Proceso BAI09 Gestionar los activos ........................... 72 Tabla 17- Nivel de Capacidad Proceso DSS01 Gestionar operaciones ......................... 74 Tabla 18- Nivel de Capacidad Proceso DSS04 Gestionar la continuidad ..................... 77 Tabla 19- Nivel de Capacidad Proceso DSS05 Gestionar servicios de seguridad ........ 81 iii LISTA DE ANEXOS ANEXO 1: ESTATUTO ORGANICO DE GESTION ORGANIZACIONAL POR PROCESOS ..................................................................................................................109 ANEXO 2: NORMAS DE CONTROL INTERNO ACUERDO 039 – NORMA 410.................................................................................................................................114 ANEXO 3: ANÁLISIS DE PROCESOS......................................................................126 ANEXO 4: VALORACIÓN DE PROCESOS.............................................................139 ANEXO 5: RESULTADOS DE MSAT …………………………………....………..147 iv RESUMEN El presente proyecto de titulación detalla los pasos realizados en la auditoría realizada al sistema informático del Ministerio de Transporte y Obras Públicas utilizando el marco de trabajo COBIT 5. En el Capítulo I se describe el Ministerio, y se caracteriza la Unidad Informática. Además se plantea la metodología en base al marco de trabajo COBIT 5, utilizando el modelo de capacidad y la herramienta Self-Assessment-Templates para COBIT 5. En el Capítulo II se hace una selección de los procesos que se utilizan para la auditoría, y se realiza la auditoría tomando en cuenta los niveles de capacidad de los procesos evaluados. En el Capítulo III se hace un análisis de los resultados obtenidos y se generan los informes. El primer informe que se genera es el informe preliminar, donde se exponen los niveles de capacidad obtenidos por cada proceso. Los otros dos informes son el informe técnico y el informe ejecutivo, los mismos que contienen las conclusiones y recomendaciones de cada proceso evaluado. En el Capítulo IV se establecen las conclusiones y recomendaciones referentes a este proyecto de titulación. 1 CAPÍTULO I: DESCRIPCIÓN DEL PROBLEMA 1.1 CARACTERIZACIÓN DEL MINISTERIO 1.1.1 DESCRIPCIÓN DEL MINISTERIO El Ministerio de Transporte y Obras Públicas (MTOP) es una empresa pública que se encarga de planificar, gestionar el desarrollo y realizar revisiones de obras de transporte e infraestructura, para impulsar el desarrollo del país. Además, debe establecer y aplicar políticas de Transporte y Obras Públicas, sobre todo para asegurar los niveles de seguridad y garantizar la satisfacción de los ciudadanos con respecto al sistema de transporte nacional y a las obras realizadas. En la Figura 1 se encuentra el logo del MTOP y a continuación se detalla información relevante del ministerio. Figura 1 – Logo del Ministerio de Transporte y Obras Públicas1 Nombre: Ministerio de Transporte y Obras Públicas (MTOP) Ubicación: Juan León Mera N26-220 y Av. Orellana. Quito - Ecuador Teléfono: 593-2 397-4600 Sitio Web: www.obraspublicas.gob.ec 1.1.2 MISIÓN “Como entidad rectora del Sistema Nacional del Transporte Multimodal formula, implementa y evalúa políticas, regulaciones, planes, programas y proyectos que garantizan una red de Transporte seguro y competitivo, minimizando el impacto ambiental y contribuyendo al desarrollo social y económico del País.” 2 1 2 Imagen tomada de la página web del Ministerio de Transporte y Obras Públicas www.obraspublicas.gob.ec Información tomada de la página web del Ministerio de Transporte y Obras Públicas http://www.obraspublicas.gob.ec/el-ministerio/ 2 1.1.3 VISIÓN “Ser el eje del desarrollo nacional y regional mediante la Gestión del Transporte Intermodal y Multimodal y su Infraestructura con estándares de eficiencia y Calidad.”3 1.1.4 VALORES El Ministerio de Transporte y Obras Públicas pone en práctica una serie de valores con el objetivo de dar un excelente servicio al país. Entre los valores más importantes se mencionan los siguientes: · Apertura · Calidad · Eficiencia · Eficacia · Honestidad · Lealtad · Mejora Continua · Responsabilidad 1.1.5 OBJETIVO “Contribuir al desarrollo del País a través de la formulación de políticas, regulaciones, planes, programas y proyectos, que garanticen un Sistema Nacional del Transporte Intermodal y Multimodal, sustentado en una red de Transporte con estándares internacionales de calidad, alineados con las directrices económicas, sociales, medioambientales y el plan nacional de desarrollo.”4 3 4 Información tomada de la página web del Ministerio de Transporte y Obras Públicas http://www.obraspublicas.gob.ec/el-ministerio/ Información tomada de la página web del Ministerio de Transporte y Obras Públicas http://www.obraspublicas.gob.ec/el-ministerio/ Dirección de Gestión SocioAmbiental Dirección de Conservación del Transporte Dirección Administrativa Dirección de Coordinación de Aeronáutica Civil Subsecretaría de Aeronáutica Civil Dirección de Transporte Marítimo y Fluvial Dirección de Puertos Subsecretaría de Transporte Marítimo y Fluvial 5 Dirección de Contratación Imagen tomada de la página web del Ministerio de Transporte y Obras Públicas www.obraspublicas.gob.ec Dirección Financiera Dirección de Administración de Delegaciones y Concesiones Dirección de Estudios de prefactibilidad y factibilidad de delegaciones y concesiones Subsecretaría de Delegaciones y Concesiones del Transporte Dirección de Gestión de Créditos y Cooperación Internacional Coordinación General Administrativa Financiera SUBSECRETARÍAS ZONALES Y DIRECCIONES PROVINCIALES Dirección de Transporte Ferroviario Dirección de Transporte Terrestre, Tránsito y Seguridad Vial Subsecretaría de Transporte Terrestre y Ferroviario Dirección de Administración de Recursos Humanos VICEMINISTERIO DE GESTIÓN DEL TRANSPORTE Dirección de Planteamiento de la Seguridad para el Desarrollo Nacional Figura 2 – Orgánico Funcional Actual del Ministerio de Transporte y Obras Públicas5 Dirección de Construcciones del Transporte Dirección de Estudios del Transporte Subsecretaría de la Infraestructura de Transporte Dirección de Planificación intersectorial de la Movilidad Dirección de Comunicación Social Coordinación General de Planificación Dirección de Información, Seguimiento y Evaluación VICEMINISTERIO DE INFRAESTRUCTURA DEL TRANSPORTE Dirección de Planificación e Inversión de la Infraestructura y Gestión del Transporte Dirección de Auditoría Interna DESPACHO MINISTERIAL Coordinación General de Asesoría Jurídica 1.1.6.1 Estructura Orgánica actual del Ministerio 1.1.6 ESTRUCTURA ORGÁNICA DEL MINISTERIO Dirección de Tecnologías de la Información y Comunicaciones 3 Dirección de Gestión SocioAmbiental Dirección de Conservación del Transporte Dirección de Coordinación de Aeronáutica Civil Subsecretaría de Aeronáutica Civil Dirección de Transporte Marítimo y Fluvial Dirección de Puertos Subsecretaría de Transporte Marítimo y Fluvial 6 Imagen tomada del Acuerdo 004 de la Coordinación General de la Planificación Estratégica. Quito, 2013 Dirección de Contratación Dirección de Gestión de Créditos y Cooperación Internacional Dirección de Administración de Delegaciones y Concesiones Dirección de Estudios de prefactibilidad y factibilidad de delegaciones y concesiones Subsecretaría de Delegaciones y Concesiones del Transporte Dirección Administrativa Coordinación General Administrativa Financiera SUBSECRETARÍAS ZONALES Y DIRECCIONES PROVINCIALES Dirección de Transporte Ferroviario Dirección de Transporte Terrestre, Tránsito y Seguridad Vial Dirección de Administración de Recursos Humanos VICEMINISTERIO DE GESTIÓN DEL TRANSPORTE Dirección de Gestión del Cambio de Cultura Organizacional Subsecretaría de Transporte Terrestre y Ferroviario Dirección de Tecnologías de la Información y Comunicaciones Dirección de Planteamiento de la Seguridad para el Desarrollo Nacional Figura 3 – Orgánico Funcional aprobada por el Ministerio de Transporte y Obras Públicas6 Dirección de Construcciones del Transporte Dirección de Estudios del Transporte Subsecretaría de la Infraestructura de Transporte VICEMINISTERIO DE INFRAESTRUCTURA DEL TRANSPORTE Dirección de Planificación intersectorial de la Movilidad COORDINACIÓN GENERAL DE GESTIÓN ESTRATÉGICA Dirección de Información, Seguimiento y Evaluación Dirección de Comunicación Social Coordinación General de Planificación Dirección de Administración de Procesos Dirección de Planificación e Inversión de la Infraestructura y Gestión del Transporte Dirección de Auditoría Interna DESPACHO MINISTERIAL Coordinación General de Asesoría Jurídica 1.1.6.2 Estructura Orgánica aprobada por el Ministerio Dirección Financiera 4 5 La figura 2 corresponde al Orgánico Funcional actual del MTOP y la figura 3 corresponde al Orgánico Funcional aprobado el 10 de enero del 2013 que debe ser instaurado. En el Orgánico Funcional actual la Unidad Informática llamada Dirección de la Tecnologías de la Información y Comunicación se halla ubicada debajo de la Coordinación General de la Administración Financiera. Según las mejores prácticas el nivel que la Unidad Informática debe ocupar es un nivel de Dirección de asesoría informática al Ministro, debe estar presente en la toma de decisiones, no como una herramienta de apoyo sino como un elemento fundamental, tal y como lo requieren las necesidades de la sociedad actual. El Orgánico Funcional Aprobado el año 2013 ubica a la Unidad de Informática en una posición mejor referente a la que tiene en la actualidad, bajo la Coordinación General de Gestión Estratégica, pero aun así no es el nivel de decisión ideal. 1.2 CARACTERIZACIÓN DE LA UNIDAD INFORMÁTICA 1.2.1 DESCRIPCIÓN DE LA UNIDAD INFORMÁTICA La Unidad Informática se encarga de realizar actividades relacionadas con el software, hardware y comunicaciones, tales como: · Identificación de necesidades. · Elaboración de informes técnicos para la adquisición. · Capacitación tecnológica a cada persona que forma parte del Recurso Humano del MTOP, conjuntamente con la Dirección de Administración de Recursos Humanos. · Monitoreo para asegurar su correcto funcionamiento. · Mantenimiento, reparación y soluciones. · Aprobar inventarios. · Proponer el Plan de Inversiones en la Unidad. 6 1.2.1.1 Misión “Administrar y proveer servicios informáticos y tecnologías de la información y comunicaciones para el procesamiento de datos y acceso a la información, garantizando la disponibilidad, seriedad, integridad y confiabilidad de la información.”7 1.2.1.2 Ubicación Ministerio de Transporte y Obras Públicas. 8vo piso Juan León Mera N26-220 y Av. Orellana. Quito - Ecuador 1.2.2 ESTRUCTURA DE LA UNIDAD INFORMÁTICA Dirección de Tecnologías de la Información y la Comunicación Planificación y Seguridad Informática Base de Datos Aplicaciones Informáticas Soporte Técnico Informático Figura 4 – Estructura Orgánica Interna de la Unidad Informática8 Tal como se muestra en la Figura 4 - Estructura Orgánica Interna de la Unidad Informática, la Unidad Informática en la actualidad se encuentra dividida en 4 áreas: 7 8 · Planificación y Seguridad Informática · Bases de Datos · Aplicaciones Informáticas · Soporte Técnico Informático Información tomada del Estatuto Orgánico de Gestión Organizacional por procesos. Quito, Gráfico realizado por el autor 7 Según se establece en el Acuerdo 004 - Coordinación General Estratégica, la Dirección de Tecnologías de la Información y la Comunicación pasará a dividirse en 6 áreas: · Planeación Estratégica, Operativa y Administración de Proyectos de TI · Desarrollo de Sistemas Informáticos · Infraestructura y Operaciones · Seguridad de la Información · Soporte Técnico · Interoperabilidad 1.2.3 ÁREAS Y FUNCIONES 1.2.3.1 Planificación y Seguridad Informática El área de Planificación y Seguridad Informática se encarga de establecer planes, informes y procedimientos de la Unidad Informática. Esta área se subdivide en Planificación y en Seguridad Informática. Para un mayor detalle ver Anexo 1 Los principales productos y servicios de Planificación son: · Plan Operativo Anual y sus respectivos informes semestrales. · Plan de Capacitación Informática e informes de evaluación trimestral. · Informes de gestión de aplicaciones y sistemas informáticos. · Proyecto de adquisición de software. · Informes de soporte y capacitación. Los principales productos y servicios de Seguridad Informática son: · Informes de seguridad y confidencialidad de usuarios y contraseñas · Informes de monitoreo y violaciones de seguridad · Informes de prueba y revisiones de software · Test de penetración al sistema operativo, redes y comunicaciones. · Informes de Antivirus 8 1.2.3.2 Base de Datos El área de Base de Datos se encarga de las operaciones que se realizan sobre las bases de datos tales como extracción, inserción, actualización y consulta de los datos. Los principales productos y servicios son: · Informe de cambio de información en la base y consultas. · Informe de implementación de herramientas de optimización. · Informe de implementación de controles y monitoreo sobre la base. · Informes de respaldos y auditorías 1.2.3.3 Aplicaciones Informáticas El área de Aplicaciones Informáticas se encarga de realizar actividades respecto al desarrollo de sistemas de información para el MTOP. Los principales productos y servicios son: · Plan Estratégico de la Unidad y Plan de Mantenimiento de Sistemas de Información · Informes de actividades y proyectos de desarrollo de sistemas de información y su ejecución. · Informe de mantenimiento, evaluación y monitoreo de sistemas de información. · Informes de asesoría que involucre el desarrollo de sistemas informáticos. · Propuestas de mejoras e innovaciones en los procesos, procedimientos y normatividad en la Unidad. 1.2.3.4 Soporte Técnico Informático El área de Soporte Técnico Informático se subdivide en dos: Mantenimiento, y Redes y Telecomunicaciones. Los principales productos y servicios de Mantenimiento son: · Inventario de hardware. 9 · Informes de mantenimiento de equipos informáticos y actualizaciones de sistemas operativos. · Informes de gestión de: licencias comerciales, correo electrónico, activos informáticos, servicio de Internet. · Informes de aplicación de políticas de seguridad informática. · Informes de actualización de antivirus y estadísticas de malware. Los principales productos y servicios de Redes y Telecomunicaciones son: · Informes sobre proyectos de infraestructura tecnológica. · Informes de administración de: red telefónica, red de datos, interconexión de locales. · Informes de la aplicación de políticas de seguridad en redes. · Informes de monitoreo de tráfico en canales de comunicación. · Propuestas de aplicación de tecnologías de comunicación a los procesos, como resultados de proyectos de investigación. 1.2.4 PLANES DE LA UNIDAD INFORMÁTICA Los planes con los que cuenta la Unidad Informática son: PLANES Sí Parcial No Plan de Implementación y desarrollo de sistemas informáticos Plan de Capacitación X Plan de Contingencia X Plan de Contratación X Plan de Control y Mantenimiento de Normas Plan Estratégico X Plan Operativo X Plan de respaldos X X X Tabla 1- Planes de la Unidad Informática del MTOP9 Tal como se muestra en la Tabla 1- Planes de la Unidad Informática del MTOP, no se cuenta con ningún plan implementado o en desarrollo. 9 Fuente: Autora 10 1.2.5 SISTEMA INFORMÁTICO El sistema Informático se considera: · Recurso Humano: El sistema informático está conformado por 25 personas. · Software: o Sistema Operativo Usuarios: Windows XP, Windows 7 y Windows 8 o Sistema Operativo: Servidores: Linux o Soluciones Ofimáticas: Microsoft Office, Free Office o Otros: Navegadores de Internet, Adobe Reader, Winrar, entre otros. · Hardware: o Pc´s de Escritorio: 433 o Laptops: 77 o Servidores: 28 o Impresoras: 57 o Teléfonos IP: 500 o Access Point: 30 o Entre otros. · Información: Se refiere a toda la información que se maneja en la Unidad Informática. 11 1.3 MÉTODO DE LA AUDITORÍA El método con el que se desarrolló la Auditoría se basa en la Norma 410, Tecnología de la Información, del Acuerdo 039 de las Normas de Control Interno emitidos por la Contraloría General, aplicando el marco de trabajo de COBIT 5. La norma completa se encuentra en el Anexo 2, sin embargo en la sección 2.1.1 Normas de Control Interno para el MTOP se la resume y posteriormente se seleccionan los procesos de COBIT que serán evaluados. COBIT es el acrónimo para Control Objectives for Information and related Technology, o en español Objetivos de Control para la Información y Tecnologías relacionadas. COBIT 5 es un modelo creado por ISACA que se adapta a las necesidades de las empresas sin importar su tamaño o naturaleza, ya sea privada o pública. Para la presente Auditoría se va a trabajar con los procesos de COBIT y el Modelo de Capacidad, para ello lo primero que se requiere es seleccionar los procesos con los que se va a trabajar. COBIT 5 tiene 37 procesos que se agrupan en 5 dominios. El primer dominio: EDM (Evaluar, Dirigir y Monitorear), pertenece al Gobierno de TI. El Gobierno de TI asegura que se evalúan las necesidades de las partes interesadas y establece las acciones necesarias para cumplir con los objetivos empresariales teniendo en cuenta la priorización y toma de decisiones. Los otros 4 dominios: APO (Alinear, Planear y Organizar), BAI (Construir, Adquirir e Implementar), DSS (Entregar, dar Servicio y Soporte) y MEA (Monitorear, Evaluar y Valorar) son dominios de gestión. La gestión se encarga de planificar, construir, ejecutar y monitorear las actividades establecidas por el gobierno para cumplir con los objetivos de la organización. 1. Evaluar, Dirigir y Monitorear (EDM) · (EDM01) Asegurar que se fija el Marco de Gobierno · (EDM02) Asegurar la Entrega de Valor · (EDM03) Asegurar la Optimización de los Riesgos · (EDM04) Asegurar la Optimización de los Recursos 12 · (EDM05) Asegurar la Transparencia a las partes interesadas 2. Alinear, Planear y Organizar(APO) · (APO01) Administrar el Marco de la Administración de TI · (APO02) Administrar la Estrategia · (APO03) Administrar al Arquitectura Corporativa · (APO04) Administrar la Innovación · (APO05) Administrar el Portafolio · (APO06) Administrar el Presupuesto y los Costos · (APO07) Administrar el Recurso Humano · (APO08) Administrar las Relaciones · (APO09) Administrar los Contratos de Servicio · (AP010) Administrar los Proveedores · (AP011) Administrar la Calidad · (AP012) Administrar los Riesgos · (AP013) Administrar la Seguridad 3. Construir, Adquirir e Implementar(BAI) · (BAI01) Administrar Programas y Proyectos · (BAI02) Administrar la definición de Requerimientos · (BAI03) Administrar la Identificación y Construcción de Soluciones · (BAI04) Administrar la Disponibilidad y Capacidad · (BAI05) Administrar la Habilitación del Cambio · (BAI06) Administrar Cambios · (BAI07) Administrar la Aceptación de Cambios y Transiciones · (BAI08) Administrar el Conocimiento · (BAI09) Administrar los Activos · (BAI10) Administrar la Configuración 4. Entregar, dar Servicio y Soporte(DSS) · (DSS01) Administrar las Operaciones · (DSS02) Administrar las Solicitudes y los servicios incidentes · (DSS03) Administrar Problemas · (DSS04) Administrar la Continuidad · (DSS05) Administrar los Servicios de Seguridad 13 · (DSS06) Administrar los Controles en los Procesos de Negocio 5. Monitorear, Evaluar y Valorar (MEA) · (MEA01) Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento · (MEA02) Monitorear, Evaluar y Valorar el Sistema de Control Interno · (MEA03) Monitorear, Evaluar y Valorar el Cumplimiento con los Requisitos Externos En la figura 5 – Procesos de COBIT 5, se encuentran graficados todos los dominios y procesos: Figura 5 – Procesos de COBIT 510 Una vez seleccionados los procesos, se va a utilizar la herramienta SelfAssessment-Templates para COBIT 5 para evaluar el nivel de capacidad. Usando COBIT se va a definir el estado actual de la Unidad Informática y las actividades que deben realizarse para llegar a la situación deseada. 10 Imagen tomada del Framework de COBIT 5, versión en Español, página 13 14 CAPÍTULO II: EJECUCIÓN DE LA AUDITORÍA 2.1 PLANIFICACIÓN 2.1.1 NORMAS DE CONTROL INTERNO PARA EL MTOP La selección de los dominios y procesos de COBIT se hará tomando en cuenta las Normas de Control Interno (NCI) emitidas por la Contraloría General del Estado, Acuerdo 039, en el año 2009. Este documento es el que se encuentra vigente en la actualidad, se lo conoce como NORMAS DE CONTROL INTERNO PARA LAS ENTIDADES, ORGANISMOS DEL SECTOR PÚBLICO Y PERSONAS DE DERECHO PRIVADO QUE DISPONGAN DE RECURSOS PÚBLICOS. Para el presente estudio se va a utilizar la Norma 410 referente a TECNOLOGÍA DE LA INFORMACIÓN. A continuación se describe la norma, para más información la norma completa se encuentra en el Anexo 2 410 TECNOLOGÍA DE LA INFORMACIÓN 410-01. Organización Informática: Dentro de la norma se establece que la Unidad de Tecnologías de la Información debe: · · · Trabajar en base a un marco de trabajo que asegure transparencia, control e involucre la alta dirección. Estar posicionada en un nivel gerencial en la estructura organizacional y no depender de otras áreas. Establecer revisiones periódicas de la estructura organizacional para ajustar estrategias y cumplir objetivos 410-02. Segregación de funciones: Según la norma se establece que los roles del personal debe: · · Ser definidos claramente y formalmente comunicados, asegurándose de que exista suficiente autoridad y respaldo. Ser documentados teniendo en cuenta deberes, responsabilidades, habilidades y experiencia necesarios para cada posición. 15 410-03. Plan informático estratégico de tecnología: Según la norma se debe: · · · · Elaborar un plan informático estratégico alineado con el plan estratégico institucional que contenga e incluir análisis de la situación actual y propuestas de mejora. Elaborar planes operativos alineados al plan estratégico y a los objetivos estratégicos. Aprobar los planes por la máxima autoridad de la organización e incorporarlos al plan presupuesto anual del Ministerio. Monitorear y evaluar los planes trimestralmente para verificar el grado de ejecución y tomar medidas en caso de ser necesario. 410-04. Políticas y procedimiento Las políticas y procedimientos deben: · · · · · · Ser aprobados por la máxima autoridad del Ministerio. Permitir la asignación del personal calificado e infraestructura tecnológica necesaria. Ser definidos, documentados, difundidos y actualizados permanentemente e incluirán las tareas, los responsables de su ejecución, los procesos de excepción, el enfoque de cumplimiento y el control de los procesos que están normando, así como, las sanciones administrativas a que hubiere lugar si no se cumplieran. Considerar los siguientes temas como la calidad, seguridad, confidencialidad, controles internos, propiedad intelectual, firmas electrónicas y mensajería de datos, legalidad del software. Incorporar directrices, estándares tecnológicos, controles, sistemas de aseguramiento de la calidad y gestión de riesgos. Implementar planes para monitorear y medir el cumplimiento con indicadores de desempeño. 410-05. Modelo de información organizacional Según la norma el modelo de información organizacional debe: · · · Garantizar la disponibilidad, integridad, exactitud y seguridad de la información. Incluir reglas de validación, controles de integridad y consistencia de los datos Clasificar los datos para especificar y aplicar niveles de seguridad. 16 410-06. Administración de proyectos tecnológicos La unidad de tecnología de información debe: · · · · Documentar los proyectos tecnológicos. Realizar un cronograma de actividades que incluya responsables, recursos y contemple pruebas y capacitación. Monitorear avances del proyecto Incluir análisis de riesgos, control de cambios y un plan para el aseguramiento de la calidad. 410-07. Desarrollo y adquisición del software aplicativo: La unidad de tecnología de información se encargará de: · · · · Documentar los proyectos de desarrollo y adquisición de Software. Realizar un cronograma de actividades que incluya responsables, recursos y contemple pruebas y capacitación. Monitorear avances del proyecto Incluir análisis de riesgos, control de cambios y un plan para el aseguramiento de la calidad. 410-08. Adquisiciones de infraestructura tecnológica: La unidad de tecnologías de la información debe · · · Realizar un análisis documentado de la necesidad de adquisiciones tecnológicas Planificar el incremento de capacidad, evaluar riesgos tecnológicos, costos, vida útil considerando los requerimientos de la carga laboral. Detallar los contratos sobre características técnicas de los equipos adquiridos. 410-09. Mantenimiento y control de infraestructura tecnológica La unidad de tecnología de la Información se encarga de · · · · Definir procedimientos para el uso y mantenimiento adecuado de la infraestructura tecnológica. Definir procedimientos para mantenimiento, despliegue, corrección y mejoramiento de software y documentar los cambios. Controlar y registrar las versiones de software. Actualizar y difundir manuales técnicos y de usuario según los cambios. 17 · · Elaborar planes de mantenimiento preventivo y correctivo, y realizar revisiones periódicas, sobre todo de las aplicaciones críticas de la organización. Realizar inventario de bienes informáticos detallado. 410-10. Seguridad de tecnología de la información La unidad de tecnología de información debe establecer los siguientes mecanismos para asegurar la protección de los datos: · · · · · · · Establecer una ubicación adecuada con control de acceso físico a la unidad de tecnologías de la información, tener en cuenta mecanismos de control de incendios, temperatura y humedad adecuadas, entre otros. Respaldar la información periódicamente. Respaldar la información en medios físicos adecuados en caso de actualización. Almacenar los respaldos con información crítica en lugares externos a la organización Implementar seguridades para software y hardware, establecer monitoreos de seguridad, pruebas periódicas y acciones correctivas con las vulnerabilidades encontradas. Establecer sitios de procesamiento alternativos Implementar procedimientos de seguridad para el recurso humano. 410-11. Plan de contingencias La Unidad de tecnología de información debe: · · · · · Definir un plan de contingencias incluyendo los escenarios de contingencia, roles y responsabilidades. El plan de contingencias debe ser confidencial, una vez aprobado debe ser difundido entre el personal responsable de su ejecución. Establecer un plan de continuidad del negocio. En el plan se debe incluir el uso de un centro de cómputo alterno o un data center estatal compartido. Establecer un plan de recuperación de desastres que contemple las actividades, antes, durante y después de un desastre. Mantener los planes actualizados. Establecer un plan de respuesta a los riesgos contemplando roles críticos para administrar los riesgos de TI. 18 410-12. Administración de soporte de tecnologías de la información La unidad de tecnología de información se encargará de: · · · · · Establecer revisiones periódicas sobre la capacidad y desempeño de los recursos tecnológicos y su proyección futura. Establecer medidas de prevención, detección y corrección de software malicioso. Crear roles y perfiles de usuarios con una identificación única y estandarizada para cada usuario que actúa con la unidad de tecnología de información, ya sea interno, externo o temporal. Monitorear y revisar las cuentas de usuario y privilegios asociados. Mantener un repositorio con la documentación de hardware y software actualizado, asegurar la integridad y disponibilidad de la información. Crear respaldos 410-13. Monitoreo y evaluación de los procesos y servicios En el monitoreo y evaluación de procesos y servicios se debe: · · Monitorear la contribución e impacto del área en el ministerio. Establecer métricas e indicadores para indicar el nivel de satisfacción de clientes internos y externos 410-14. Sitio web, servicios de internet e intranet La unidad de tecnología de información debe elaborar políticas y procedimientos documentados sobre los servicios de Internet, intranet, correo electrónico y el sitio WEB del ministerio. 410-15. Capacitación informática La unidad de tecnología de información debe encargarse de identificar las necesidades de capacitación de todo el personal del Ministerio que usen los servicios de información, desarrollar un plan de capacitación y ejecutar la capacitación. 410-16. Comité informático La unidad informática es la encargada de crear un comité informático teniendo en cuenta el tamaño y complejidad del ministerio. 19 410-17. Firmas electrónicas La unidad informática debe incorporar el uso de firmas electrónicas de acuerdo a la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su Reglamento, para lo cual debe: · · · · · Verificar la autenticidad de firmas electrónicas. Conservar archivos electrónicos y mensajes con firmas electrónicas y asegurarse de conservar la integridad de los daros. Actualizar y renovar los certificados de firma electrónica. Asegurar la seguridad de los certificados y dispositivos portables. Capacitar al recurso humano en el uso de firmas electrónicas Una vez seleccionadas las necesidades actuales del ministerio se procede a seleccionar los procesos de COBIT relacionados, realizar el mapeo y realizar la auditoría. 2.1.2 SELECCIÓN DE LOS PROCESOS DE COBIT Para el proceso de selección se tomaron los 17 puntos de la Norma 410 de las NCI, Acuerdo 039, y conjuntamente con el Comité Informático del MTOP se seleccionaron los procesos idóneos para la realización de la Auditoría. Primero se hizo un análisis de la situación actual del MTOP y un análisis de la situación deseada. La situación deseada se refiere a un escenario en donde la Unidad Informática cumpla con todo lo expuesto en la norma 410 para que esté de acuerdo a la Contraloría y la normativa Ecuatoriana. Posteriormente se realizó una reunión con el Comité Informático, encabezado por el Director del Área Informática, con el fin de realizar la selección de los procesos y que el MTOP pueda beneficiarse al máximo del resultado de la Auditoría. Finalmente se realizó una tabla que resume todo el proceso en: Dominio de COBIT, Proceso de COBIT, Práctica Clave del Proceso de COBIT y Norma de la NCI 410 que puede ser evaluada con el respectivo Proceso de COBIT. 20 A continuación, en la Tabla 2 - Selección de los Dominios y Procesos de COBIT 5, tenemos un extracto de la tabla realizada para seleccionar los procesos. Los procesos seleccionados son los coloreados, los demás están en blanco. Para ver la tabla completa diríjase al ANEXO 3. PROCESO DESCRIPCIÓN Práctica (Gobierno/Gestión)Clave Descripción NCI ACUERDO Evaluar, Orientar y Supervisar (EMD ) Identificar y comprometerse continuamente con las partes interesadas de la empresa, documentar la EDM01.01 Evaluar el sistema comprensión de los requerimientos y realizar una de gobierno estimación del actual y futuro diseño del gobierno de TI de la empresa. Analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en EDM01 Asegurar el marcha y mantiene establecimiento y efectivas las estructuras, EDM01.02 Orientar el sistema de gobierno mantenimiento del procesos y prácticas marco de referencia facilitadores, con claridad de las de gobierno responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa. EDM01.03 Supervisar el sistema de gobierno Informar a los líderes y obtener su apoyo, su aceptación y su compromiso. Guiar las estructuras, procesos y prácticas para el gobierno de TI en línea con los principios,modelos para la toma de decisiones y niveles de autoridaddiseñados para el gobierno. Definir la información necesariapara una toma de decisiones informadas. 410-01 (410-03) 410-04 (410-09) 410-12 (410-13) 410-16 Supervisar la ejecución y la efectividad del gobierno deTI de la empresa. Analizar si el sistema de gobierno y losmecanismos implementados (incluyendo estructuras,principios y procesos) están operando de forma efectiva y proporcionan una supervisión apropiada de TI. Evaluar continuamente las inversiones, servicios y activos del portafolio de TI para determinar la probabilidad de alcanzar los objetivos de la EDM02.01 Evaluar la entrega empresa y aportar valor a un coste razonable. de valor Identificar y juzgar cualquier cambio en la dirección que necesita ser dada a la gestión para optimizar la creación de valor. Optimizar la contribución al valor del negocio desde los EDM02 Asegurar la procesos de negocio, de entrega de EDM02.02 Orientar la los servicios TI y activos beneficios optimización del valor de TI resultado de la inversión hecha por TI a unos costes aceptables EDM02.03 Supervisar la optimización del valor Orientar los principios y las prácticas de gestión de valor para posibilitar la realización del valor óptimo de las inversiones TI a lo largo de todo su ciclo de vida económico. Supervisar los indicadores clave y sus métricas para determinar el grado en que el negocio está generando el valor y los beneficios previstos de los servicios e inversiones TI. Identificar los problemas significativos y considerar las acciones correctivas. Tabla 2- Selección de los Dominios y Procesos de COBIT 511 11 Fuente: Tabla creada por la autora. N/A 21 En la Tabla 3 - Procesos seleccionados de COBIT 5, se listan los procesos que fueron seleccionados de COBIT 5 para la realización de la auditoría. DOMINIO PROCESO EDM01 Asegurar el establecimiento y mantenimiento Evaluar, Orientar y del marco de referencia de gobierno Supervisar (EMD ) EDM03 Asegurar la optimización del riesgo EDM04 Asegurar la optimización de recursos APO01 Gestionar el marco de gestión de TI APO02 Gestionar la estrategia Alinear, Planear y APO07 Gestionar los recursos humanos Organizar (APO) AP012 Gestionar el riesgo AP013 Gestionar la seguridad BAI05 Gestionar la introducción del cambio Construir, organizativo Adquirir e Implementar (BAI) BAI09 Gestionar los activos DSS01 Gestionar operaciones Entregar, dar Servicio y Soporte DSS04 Gestionar la continuidad (DSS) DSS05 Gestionar servicios de seguridad Tabla 3- Procesos seleccionados de COBIT 5 Como se puede apreciar en la tabla sólo se han seleccionado 4 de los 5 dominios: · Evaluar, Orientar y Supervisar (EMD) · Alinear, Planear y Organizar (APO) · Construir, Adquirir e Implementar (BAI) · Entregar, dar Servicio y Soporte (DSS) El dominio que Supervisar, Evaluar y Valorar (MEA) no ha sido tomado en cuenta dentro de la selección ya que no existen muchos controles todavía implementados por la Unidad Informática, así que se le da más importancia a los procesos que van a permitir establecer las bases para un Gobierno de TI estable dentro de la empresa. 22 2.2 REALIZACIÓN DE LA AUDITORÍA Para este análisis se trabaja con la herramienta Self-Assessment-Templates para COBIT 5 y el Modelo de Capacidad de los procesos de COBIT 5. A continuación, en la Tabla 4, se detalla el modelo de capacidad con sus 6 niveles, empezando del 0 hasta el 5, y además se da una pequeña descripción sobre el significado de cada nivel. Mediante la cuantificación de estos niveles se puede conocer el estado actual de la Unidad Informática y las metas que deben cumplirse para llegar a un nivel mayor. Nivel de capacidad Nivel 0 – Proceso incompleto Descripción El proceso no está implementado o en su defecto no alcanza su objetivo. No existe ninguna evidencia de ningún logro del proceso. Nivel 1 – Proceso ejecutado El proceso alcanza su propósito. (1 atributo) Nivel 2 – Proceso gestionado El proceso ya está implementado y gestionado (planificado, supervisado y ajustado). Los resultados están establecidos, controlados y mantenidos. (2 atributos) Nivel 3 – Proceso establecido El proceso gestionado está implementado usando un proceso definido que permite alcanzar sus resultados de proceso. (2 atributos) Nivel 4 – Proceso predecible El proceso establecido antes se ejecuta dentro de los límites definidos y permite alcanzar los resultados de proceso. (2 atributos) Nivel 5 – Proceso optimizado El proceso predecible es mejorado continuamente para cumplir con las metas empresariales. (2 atributos) Tabla 4- Modelo de Capacidad Los niveles de logro de los procesos son: · · · · No alcanzado: (0-15%) Parcialmente alcanzado: (15% -50%) Ampliamente alcanzado (50% - 85%) Completamente alcanzado (85-100%) 23 Como para esta Auditoría se usará la herramienta Self-Assessment-Templates para COBIT 5, en la Tabla 5 - Estructura general de SELF ASSESMENT TEMPLATE se muestra la estructura de las tablas: Nivel de Capacidad Nivel de capacidad Cum Observaciones p% Atributo o Resultados que deben ser Valor Observación atributos con alcanzados para el nivel prom los que debe edio cumplir el Resultado 1 Valor proceso 1 Resultado 2 Valor 2 … … Resultado n Valor n Tabla 5- Estructura general de SELF ASSESMENT TEMPLATE12 Atributo Criterio El objetivo de la Tabla 5- Estructura general de SELF ASSESMENT TEMPLATE es ilustrar la forma en la que se muestra la información, esta tabla está basada en la hoja de cálculo de la herramienta, sin embargo ha sido alterada para el presente documento. En la primera columna se encuentra el nivel de capacidad del proceso, en la segunda el atributo, o los atributos que se evalúan en la herramienta. En la tercera columna se encuentra el resultado con el que debe cumplir el proceso, si es que lo hace. En la cuarta está el porcentaje de cumplimiento del proceso para el resultado, para el porcentaje de cumplimiento de un nivel se promedia esos valores. Finalmente, la última columna es para las observaciones en caso de que existiera alguna. Para mayor detalle sobre los valores que están presentes en Porcentaje de Cumplimiento, ir al Anexo 4 12 Fuente: Autora 24 2.2.0 ANÁLISIS DE VULNERABILIDADES CON LA HERRAMIENTA MSAT. Previo al análisis usando COBIT se presentan los resultados obtenidos utilizando la herramienta MSAT para encontrar las vulnerabilidades del área de TI del MTOP, para mayor información sobre los resultados obtenidos y mejores prácticas consulte el Anexo 5. Esta herramienta nos permite evaluar la Distribución de Defensa de Riesgos, a continuación se muestran los resultados obtenidos en la Figura 6. Figura 6 – Distribución de defensa de los riesgos13 En la figura podemos observar los resultados obtenidos para el Perfil de Riesgos del Negocio (BRP) y el Índice de Defensa a Profundidad (DiDI) para las siguientes áreas: · Personal · Operaciones · Aplicaciones · Infraestructura. El BRP es un índice que se califica de 0 a 100, una mayor calificación significa mayor riesgo y una puntuación de 0 es imposible. 13 Fuente: Informe de la herramienta MSAT 25 El DiDI también se califica de 0 a 100, una mayor calificación significa que se han tomado medidas de defensa de seguridad. En la figura 7, tenemos la Distribución de defensa de los riesgos y madurez de la seguridad. Figura 7 – Distribución de defensa de los riesgos y madurez de la seguridad14 En este gráfico podemos apreciar un resumen de las fortalezas y carencias del MTOP en las cuatro áreas evaluadas. Las áreas de Operación y Aplicaciones requieren más atención en este momento, tanto en distribución de defensa de riesgos y madurez de la seguridad. A continuación se especifica detalla los puntos en los que se necesita mejorar y en los que se deben mantener las prácticas realizadas. Para la interpretación de los resultados obtenidos con la herramienta vamos a utilizar la leyenda de la Figura 8: Figura 8 – Leyenda para interpretar los resultados obtenidos con MSAT15 14 15 Fuente: Informe de la herramienta MSAT Fuente: Informe de la herramienta MSAT 26 Infraestructura: El área de Infraestructura tiene carencias severas, en la figura 9 podemos observar la puntuación de cada uno de los aspectos evaluados dentro del área. Figura 9 – Resultados de Infraestructura 16 A continuación se detallan los resultados obtenidos con la herramienta: · Defensa del perímetro o Reglas y filtros de cortafuegos: § 16 Se han instalado cortafuegos Fuente: Informe de la herramienta MSAT 27 § No se ha creado un segmento DMZ para proteger recursos corporativos del acceso a Internet por dispositivos internos de la empresa § No se monitorea el funcionamiento del cortafuegos o Antivirus: § Se utiliza antivirus o Antivirus - Equipos de escritorio: § Se utiliza antivirus en los equipos de escritorio o Antivirus - Servidores: § Se utilizan antivirus en los servidores o Acceso remoto: § No se utiliza VPN para la conexión remota de empleados y usuarios o Segmentación: § La red presenta más de un segmento o Sistema de detección de intrusiones: § No se utiliza ningún hardware ni software de detección de intrusiones o Inalámbrico: · § Existe conexión inalámbrica a la red § Se ha modificado el SSID en el punto de acceso § Existe cifrado WPA § Se utiliza restricción por MAC Autenticación o Usuarios administrativos: § Se utilizan inicios de sesión distintos para la administración de seguridad de los sistemas y dispositivos del entorno. § Los usuarios no tienen habilitados accesos administrativos en sus dispositivos finales o Usuarios internos: § Los usuarios utilizan contraseñas para sus dispositivos finales y acceso a la red o Usuarios de acceso remoto: 28 § Empleados, contratistas y usuarios pueden conectarse de forma remota o Directivas de contraseña: § No existen controles formales para la administración de contraseñas · Gestión y Control o Informes sobre incidentes y respuesta: § Se crean informes sobre incidentes y respuesta. o Creación segura: § Se han instalado cortafuegos. § Los procesos de creación de dispositivos están documentados. § Se utiliza algún software de control/gestión remota en el entorno. o Seguridad física: § Existen controles de seguridad física para proteger los activos de la empresa. § No se ha instalado ningún sistema de alarma para detectar ni informar de intrusiones § Está implementado: tarjetas de identificación para empleados y visitantes, acompañantes de visitantes, registros de visitantes y controles de entrada § Los equipos de la red se hallan en una habitación cerrada con acceso restringido. § Las estaciones de trabajo y portátiles no están protegidas con cables de seguridad. § Los documentos confidenciales impresos no se guardan bajo llave. 29 Aplicaciones El área de Aplicaciones tiene carencias severas, en la figura 10 podemos observar la puntuación de cada uno de los aspectos evaluados dentro del área. Figura 10 – Resultados de Aplicaciones 17 A continuación se detallan los resultados obtenidos con la herramienta: · Implementación y uso o Equilibrio de carga : § No se utilizan equilibradores de carga en el entorno o Clústeres § No se utiliza la agrupación de clústeres en el entorno o Aplicación y recuperación de datos 17 Fuente: Informe de la herramienta MSAT 30 § No se realizan periódicamente pruebas de la recuperación de aplicaciones y datos. o Fabricante de software independiente (ISV): § Otros fabricantes han desarrollado una o más de las aplicaciones principales del entorno. o Desarrollado internamente: § No se usan macros personalizadas en las aplicaciones ofimáticas. o Vulnerabilidades: § · Actualmente no se conocen vulnerabilidades del entorno Diseño de aplicaciones o Autenticación: § Se utilizan medios de autenticación o Directivas de contraseñas : § Se usan controles de contraseña en las aplicaciones principales o Autorización y control de acceso : § Se limita el acceso a datos y funciones confidenciales según los privilegios de la cuenta. o Registro: § Hay varios eventos registrados por las aplicaciones del entorno: intentos fallidos de autenticación, intentos de autenticación correctos, errores de las aplicaciones, accesos denegados a los recursos, accesos correctos a los recursos o Validación de datos de entrada: § No se usan mecanismos para validar los datos de entrada en las aplicaciones del entorno. · Almacenamiento y comunicaciones de datos o Cifrado: § Las aplicaciones no cifran los datos cuando están almacenados o se están transmitiendo. 31 Operaciones El área de Operaciones tiene carencias severas, en la figura 11 podemos observar la puntuación de cada uno de los aspectos evaluados dentro del área. Figura 11 – Resultados de Operaciones18 A continuación se detallan los resultados obtenidos con la herramienta: · Directiva de seguridad o Clasificación de datos § 18 Los datos no se clasifican Fuente: Informe de la herramienta MSAT 32 o Eliminación de datos § No se tienen políticas para la correcta eliminación de los datos o Gestión de cuentas de usuarios: § · Se gestionan las cuentas de usuario Gestión de actualizaciones y revisiones o Documentación de la red: § No existe documentación de la red o Flujo de datos de la aplicación § No se analiza el flujo de datos de la aplicación o Gestión de actualizaciones § No se realizan actualizaciones fuera de las del Sistema Operativo o Gestión de cambios y configuración § · No se gestionan los camb ios. Copias de seguridad y recuperación o Archivos de registro: § Se tienen archivos de registro. o Planificación de recuperación ante desastres y reanudación de negocio: § No se tiene un plan de recuperación de desastres ni un plan de reanudación del negocio o Copias de seguridad § No se generan ni administran copias de seguridad 33 Personal El área de Personal tiene carencias severas, en la figura 12 podemos observar la puntuación de cada uno de los aspectos evaluados dentro del área. Figura 12 – Resultados de Personal19 A continuación se detallan los resultados obtenidos con la herramienta: · Requisitos y evaluaciones o Requisitos de seguridad: § El MTOP tiene un modelo para la asignación de niveles de gravedad a cada componente del entorno informático. § Existen equipos comerciales y de seguridad que trabajan definiendo requisitos de seguridad. o Evaluaciones de seguridad: § · No se realizan evaluaciones de seguridad Directiva y procedimientos o Comprobaciones del historial personal : § Se comprueba el historial personal de todos los empleados. o Directiva de recursos humanos: § No existe ninguna directiva formal para los empleados que dejan la empresa. 19 Fuente: Informe de la herramienta MSAT 34 o Relaciones con terceros: § Los sistemas se configuran por parte de personal interno. § El Ministerio gestiona el entorno informático. § No existe ninguna directiva para las relaciones con terceros. · Formación y conocimiento o Conocimiento de seguridad: § Se ha creado y asignado al personal encargado de la seguridad para definir requisitos tanto para la tecnología nueva como existente. § No existe ningún programa de divulgación de las medidas de seguridad en la empresa. o Formación sobre seguridad: § La empresa no ofrece actualmente a los empleados formación específica por temas. Iniciativas de Seguridad Según el análisis realizado con la herramienta MSAT, las áreas que se detallan en la figura 13 no cumplen con las mejores prácticas y deben ser trabajadas con prioridad alta, intermedia y baja. Figura 13 – Iniciativas de Seguridad 20 Fuente: Informe de la herramienta MSAT 20 35 A continuación se detallan los procesos analizados y los resultados encontrados: 2.2.1 EDM01 ASEGURAR EL ESTABLECIMIENTO Y MANTENIMIENTO DEL MARCO DE REFERENCIA DE GOBIERNO Descripción del Proceso: “Analiza y articula los requerimientos para el gobierno de TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadores, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.”21 Práctica: EDM01.01 Evaluar el sistema de gobierno Descripción: “Identificar y comprometerse continuamente con las partes interesadas de la empresa, documentar la comprensión de los requerimientos y realizar una estimación del actual y futuro diseño del gobierno de TI de la empresa.”22 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se tienen reconocidas las obligaciones legales, contractuales y regulatorias para la Unidad Informática que influyen sobre el diseño del gobierno, las normas que deben aplicarse para la UI del MTOP están definidas, entre ellos tenemos el acuerdo 166, la norma 410 para TI del acuerdo 039 NCI y el Estatuto Orgánico de Gestión Organizacional por procesos · La relevancia de la Unidad de TI en el MTOP es menor a lo recomendado, es un proceso de apoyo en lugar de ser un proceso principal · Las regulaciones externas se encuentran analizadas, pero aún no han sido implementadas, se implementarán desde el año 2015 21 22 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 31 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 32. 36 · En las normas vienen determinados los controles que se deben aplicar para el área de TI Práctica: EDM01.02 Orientar el sistema de gobierno Descripción: “Informar a los líderes y obtener su apoyo, su aceptación y su compromiso. Guiar las estructuras, procesos y prácticas para el gobierno de TI en línea con los principios, modelos para la toma de decisiones y niveles de autoridad diseñados para el gobierno. Definir la información necesaria para una toma de decisiones informadas.”23 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se ha conformado un comité para establecer un sistema de gobierno de la información, con responsables y roles bien definidos, sin embargo las reuniones son escasas, 4 veces en el último año. · No se tienen buenos sistemas de comunicación para la obtención y socialización de la información relevante. Práctica: EDM01.03 Supervisar el sistema de gobierno Descripción: “Supervisar la ejecución y la efectividad del gobierno de TI de la empresa. Analizar si el sistema de gobierno y los mecanismos implementados (incluyendo estructuras, principios y procesos) están operando de forma efectiva y proporcionan una supervisión apropiada de TI.”24 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Sólo se encuentra definido el comité pero aún no se ha implementado un sistema de gobierno de TI. 23 24 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 32. Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 33. 37 En la Tabla 6- Nivel de Capacidad Proceso EDM01: Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno, se realiza un análisis del nivel de capacidad del proceso. PROCESO EJECUTADO 1 0 PROCESO INCOMPLETO Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Cum p% 0 Se alcanzan los siguientes resultados: El modelo de toma de decisiones estratégicas para TI es efectivo y está alineado con el ambiente interno y externo de la empresa, y los requerimientos de los skateholders. El sistema de gobierno de TI está embebido en la empresa Se tiene la seguridad de que el sistema de gobierno de TI opera efectivamente. Observaciones Existe la necesidad de establecer un sistema de gobierno que esté integrado y alineado al MTOP sin embargo no está implementado. 0 0 0 0 Tabla 6- Nivel de Capacidad Proceso EDM01: Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno25 2.2.2 EDM03 ASEGURAR LA OPTIMIZACIÓN DEL RIESGO Descripción del Proceso: “Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y 26 gestionado.” Práctica: EDM03.01 Evaluar la gestión de riesgos Descripción: “Examinar y evaluar continuamente el efecto del riesgo sobre el uso actual y futuro de las TI en la empresa. Considerar si el apetito de riesgo 25 26 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 39. 38 de la empresa es apropiado y el riesgo sobre el valor de la empresa relacionado con el uso de TI es identificado y gestionado.”27 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El MTOP reconoce la necesidad de identificar los riesgos, sin embargo no se tiene un análisis de riesgo, tampoco se conoce el apetito del riesgo y no se gestionan los riesgos en ninguna forma. Práctica: EDM03.02 Orientar la gestión de riesgos Descripción: “Orientar el establecimiento de prácticas de gestión de riesgos para proporcionar una seguridad razonable de que son apropiadas para asegurar que riesgo TI actual no excede el apetito de riesgo del Consejo.”28 Del análisis de esta práctica se obtuvieron los siguientes resultados: · En el MTOP no se gestionan los riesgos. Práctica: EDM03.03 Supervisar la gestión de riesgos Descripción: “Supervisar los objetivos y las métricas clave de los procesos de gestión de riesgo y establecer cómo las desviaciones o los problemas serán identificados, seguidos e informados para su resolución.” 29 Del análisis de esta práctica se obtuvieron los siguientes resultados: · En el MTOP no se gestionan los riesgos por lo tanto no se supervisa la gestión de riesgos. 27 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 40. Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 40. 29 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 41. 28 39 En la Tabla 7- Nivel de Capacidad Proceso EDM03: Asegurar la optimización del riesgo, se realiza el análisis del nivel de capacidad del proceso. PROCESO EJECUTADO 1 0 PROCESO INCOMPLETO Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Se alcanzan los siguientes resultados: Los umbrales de riesgo están definidos y son comunicados. Los riesgos relativos a TI son conocidos. La empresa maneja el riesgo crítico relacionado a las TI de manera efectiva y eficiente. El riesgo empresarial relacionado a las TI no excede el apetito de riesgo y el impacto del riesgo de TI es identificado y gestionado. Cum p% 0 Observaciones El MTOP no ha realizado ningún análisis de riesgo, sin embargo conoce de la necesidad del análisis de riesgo. A implementarse desde el 2015 0 0 0 0 Tabla 7- Nivel de Capacidad Proceso EDM03: Asegurar la optimización del riesgo 30 2.2.3 EDM04 ASEGURAR LA OPTIMIZACIÓN DE RECURSOS Descripción del Proceso: “Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.”31 Práctica: EDM04.01 Evaluar la gestión de recursos Descripción: “Examinar y evaluar continuamente la necesidad actual y futura de los recursos relacionados con TI, las opciones para la asignación de recursos (incluyendo estrategias de aprovisionamiento) y los principios de 30 31 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 43. 40 asignación y gestión para cumplir de manera óptima con las necesidades de la empresa.”32 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se realiza inventarios, proyecciones y análisis de crecimiento de capacidad a futuro, teniendo en cuenta el presupuesto. · Se evalúa y analiza la capacidad actual y futura de la empresa en conjunto con talento humano y el área administrativa Práctica: EDM04.02 Orientar la gestión de recursos Descripción: “Asegurar la adopción de principios de gestión de recursos para permitir un uso óptimo de los recursos de TI a lo largo de su completo ciclo de vida económica”33 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se comunica e impulsa la adopción de estrategias de gestión de recursos. · No se tienen objetivos de desempeño, sin embargo se realiza inventario periódicamente, se han definido responsables para los activos y los inventarios. · No se tienen principios ni políticas para la protección de recursos. Práctica: EDM04.03 Supervisar la gestión de recursos Descripción: “Supervisar los objetivos y métricas clave de los procesos de gestión de recursos y establecer cómo serán identificados, seguidos e informados para su resolución las desviaciones o los problemas.”34 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Cada año se hace un análisis de la necesidad de recursos, pero no se tienen objetivos ni métricas para la gestión de recursos establecidos. 32 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 44. Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 44. 34 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 44. 33 41 En la Tabla 8- Nivel de Capacidad Proceso EDM03: Asegurar la optimización de recursos, se realiza el análisis del nivel de capacidad del proceso. PROCESO INCOMPLETO PROCESO EJECUTADO 1 0 Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. 2 PROCESO GESTIONADO Gestión de rendimiento: Una medida del grado en el que se gestiona el rendimiento del proceso Se alcanzan los siguientes resultados: Las necesidades empresariales de recursos son reconocidas con capacidades óptimas. Los recursos son asignados para cumplir las prioridades empresariales dentro de las limitaciones presupuestarias. Se logra un óptimo uso de los recursos a lo largo de su ciclo de vida. Como resultado del completo alcance de este atributo: a) Se identifican los objetivos para el rendimiento del proceso b) El rendimiento del proceso es planeado y monitoreado c) El rendimiento de los procesos se ajusta para cumplir con los planes d) Las responsabilidades y autoridades para el rendimiento del proceso son definidos, asignados y comunicados e) Los recursos y la información necesarios para el rendimiento del proceso son identificados, disponibilizados, localizados y usados f) Las interfaces entre las partes envueltas se gestionan para Cum p% 100 Observaciones Se realiza inventarios, proyecciones, análisis de crecimiento de capacidad a futuro, presupuesto, en conjunto con Talento Humano y el área Administrativa 70 50 80 80 Se realiza inventarios, proyecciones, análisis de crecimiento de capacidad a futuro, presupuesto El análisis de inventarios se realiza en conjunto con Talento Humano, y también con el área administrativa Se utilizan los equipos hasta cumplir con su ciclo de vida 13 0 0 0 50 25 0 No se tienen objetivos de desempeño, sin embargo se realiza inventario periódicamente, se han definido responsables para los activos y los inventarios. 42 Gestión de producto de trabajo: Una medida del grado en que los productos de trabajo producidos por el proceso se gestionan correctament e. Los productos de trabajo se definen y controlan asegurar comunicación efectiva y una clara asignación de responsabilidad. Como resultado del completo alcance de este atributo: a) Los requerimientos para los productos de trabajo del proceso son definidos. b) Los requerimientos para documentación y control de los productos de trabajo son definidos. c) Los productos de trabajo son apropiadamente identificados, documentados y controlados. d) Los productos de trabajo son revisados de acuerdo a los arreglos planeados y ajustados de acuerdo a la necesidad para cumplir con requerimientos. 0 0 Los inventarios no están apropiadamente identificados, documentados y controlados. 0 0 0 Tabla 8- Nivel de Capacidad Proceso EDM04: Asegurar la optimización de recursos35 2.2.4 APO01 GESTIONAR EL MARCO DE GESTIÓN DE TI Descripción del Proceso: “Aclarar y mantener el gobierno de la misión y la visión corporativa de TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de TI en la empresa para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.”36 Práctica: APO01.01 Definir la estructura organizativo Descripción: “Establecer una estructura organizativo interna y extensa que refleje las necesidades del negocio y las prioridades de TI. Implementar las 35 36 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 51 43 estructuras de gestión requeridas (p. ej., comités) para permitir que la toma de decisiones se lleve a cabo de la forma más eficaz y eficiente posible.” 37 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El MTOP nota la necesidad de definir el alcance, roles, capacidades y funciones, tanto internas como externas, pero aún no se ha definido aspectos de la arquitectura, se tiene un comité de tecnologías de la información pero falta definir la estructura Práctica: APO01.02 Establecer roles y responsabilidades Descripción: “Establecer, acordar y comunicar roles y responsabilidades del personal de TI, así como de otras partes interesadas con responsabilidades en las TI corporativas, que reflejen claramente las necesidades generales del negocio y los objetivos de TI, así como la autoridad, las responsabilidades y la rendición de cuentas del personal relevante.”38 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se establece, acuerda y comunica roles y responsabilidades relativos a TI para todo el personal de la empresa. · No se tiene en cuenta la continuidad del servicio de TI. · Se tienen roles y responsabilidades definidos pero aún no están adheridos a las políticas. Práctica: APO01.03 Mantener los elementos catalizadores del sistema de gestión Descripción: “Mantener los elementos catalizadores del sistema de gestión y del entorno de control de la TI de la empresa y garantizar que están integrados y alineados con la filosofía y el estilo operativo de gobierno y de gestión de la empresa. Estos elementos catalizadores incluyen una comunicación clara de expectativas/requisitos. El sistema de gestión debería fomentar la cooperación 37 38 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 52 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 53 44 interdepartamental y el trabajo en equipo, promover el cumplimiento y la mejora continua y tratar las desviaciones en el proceso (incluidos los fallos).”39 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Las TI se alinean con estándares y códigos, aunque no se hallan implementados. · No se comprende la visión, dirección y estrategias corporativas, cultura empresarial o filosofía de gestión. Práctica: APO01.04 Comunicar los objetivos y la dirección de gestión Descripción: “Comunicar la sensibilización y la comprensión de los objetivos y la dirección de TI a las partes interesadas y usuarios pertinentes a lo largo de toda la empresa.”40 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Los objetivos se comunican mediante correos, no existen otros medios de comunicación para todos los usuarios. Práctica: APO01.05 Optimizar la ubicación de la función de TI Descripción: “Posicionar la capacidad de TI en la estructura organizativo global para reflejar en el modelo de empresa la importancia de TI en la organización, especialmente su criticidad para la estrategia empresarial y el nivel de dependencia de TI. La línea de reporte del CIO debe ser proporcional a la importancia de las TI en la empresa.”41 Del análisis de esta práctica se obtuvieron los siguientes resultados: · LA UI no se encuentra en un lugar óptimo, es un proceso de apoyo en lugar de ser un proceso principal 39 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 54 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 54 41 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 55 40 45 Práctica: APO01.06 Definir la propiedad de la información (datos) y del sistema Descripción: “Definir y mantener las responsabilidades de la propiedad de la información (datos) y los sistemas de información. Asegurar que los propietarios toman decisiones sobre la clasificación de la información y los sistemas y su protección de acuerdo con esta clasificación.”42 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tienen políticas para la clasificación de la información, no se tienen inventarios de la información ni se garantiza la seguridad Práctica: APO01.07 Gestionar la mejora continua de los procesos Descripción: “Evaluar, planificar y ejecutar la mejora continua de procesos y su madurez para asegurar que son capaces de entregarse conforme a los objetivos de la empresa, de gobierno, de gestión y de control. Considerar las directrices de la implementación de procesos de COBIT, estándares emergentes, requerimientos de cumplimiento, oportunidades de automatización y la realimentación de los usuarios de los procesos, el equipo del proceso y otras partes interesadas. Actualizar los procesos y considerar el impacto en los catalizadores del proceso.”43 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se realizan mejoras continuas. Práctica: APO01.08 Mantener el cumplimiento con las políticas y procedimientos Descripción: “Poner en marcha procedimientos para mantener el cumplimiento y medición del funcionamiento de las políticas y otros catalizadores del marco de referencia; hacer cumplir 42 43 las consecuencias del no cumplimiento o del Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 55 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 55 46 desempeño inadecuado. Seguir las tendencias y el rendimiento y considerarlos en el diseño futuro y la mejora del marco de control.”44 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Aún no se implementa o monitorea políticas y procedimientos. En la Tabla 9- Nivel de Capacidad Proceso APO01: Gestionar el marco de gestión de TI , se realiza el análisis del nivel de capacidad del proceso. PROCESO INCOMPLETO PROCESO EJECUTADO 1 0 Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. El proceso implementado cumple con su propósito Se alcanzan los siguientes resultados: Un conjunto efectivo de políticas ha sido definido y mantenido. Todos están al tanto de las políticas y como deberían ser implementadas. Cum p% 100 Observaciones El MTOP reconoce la necesidad de estructuras organizacionales, roles y responsabilidades, actividades confiables y repetibles, y habilidades y competencias. Sin embargo aún no se tienen implementadas las actividades de este proceso. 25 50 0 Las políticas han sido definidas, sin embargo aún no se han implementado No se han implementado ni comunicado. Tabla 9- Nivel de Capacidad Proceso APO01: Gestionar el marco de gestión de TI45 2.2.5 APO02 GESTIONAR LA ESTRATEGIA Descripción del Proceso: “Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.”46 44 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 56 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template 46 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 57 45 47 Práctica: APO02.01 Comprender la dirección de la empresa Descripción: “Considerar el entorno actual y los procesos de negocio de la empresa, así como la estrategia y los objetivos futuros de la compañía. Tomar también en cuenta el entorno externo a ella (motivadores de la industria, reglamentos relevantes, bases para la competencia)”47 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El MTOP entiende la necesidad de establecer un entendimiento del entorno interno y externo de la empresa, partes interesadas y necesidad de cambio, y se plantea la necesidad de cambio aunque no se tiene documentada más que en los reglamentos. Práctica: APO02.02 Evaluar el entorno, y rendimiento actuales Descripción: “Evaluar el rendimiento del negocio interno actual y las capacidades de TI y los servicios externos de TI para desarrollar un entendimiento de la arquitectura empresarial en relación con TI. Identificarlos problemas que se están experimentando y generar recomendaciones en las áreas que pueden beneficiarse de estas mejoras. Considerar los aspectos diferenciadores y las opciones de proveedores de servicios y el impacto financiero, los costes y los beneficios potenciales de utilizar servicios externos.”48 Del análisis de esta práctica se obtuvieron los siguientes resultados: · La UI no establece controles para los servicios externos de TI y las revisiones internas se realizan raramente. No se identifican los riesgos del servicio. Práctica: APO02.03 Definir el objetivo de las capacidades de TI Descripción: “Definir el objetivo del negocio, las capacidades de TI y los servicios de TI necesarios. Esto debería estar basado en el entendimiento del 47 48 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 58 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 59 48 entorno empresarial y sus necesidades; la evaluación de los actuales procesos de negocio, el entorno de TI y los problemas presentados; considerando los estándares de referencia, las mejores prácticas y las tecnologías emergentes o propuestas de innovación.”49 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Aún se deben realizar análisis sobre el objetivo del negocio y como la UI puede ayudar al MTOP a cumplirlo, además se necesita una mejor comprensión sobre la importancia del uso de los servicios de TI. No se considera la aprobación de tecnologías emergentes. Tampoco se tienen análisis sobre tecnologías actuales. Práctica: APO02.04 Realizar un análisis de diferencias Descripción: “Identificar las diferencias entre el entorno actual y el deseado y considerar la alineación de activos (las capacidades que soportan los servicios) con los resultados de negocio para optimizar la inversión y la utilización de la base de activos internos y externos. Considerar los factores críticos de éxito que apoyan la ejecución de la estrategia.”50 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El análisis de diferencias ayuda a mejorar el entendimiento de la situación actual y la situación deseada. A continuación se indica un ejemplo de un análisis de diferencias teniendo en cuenta la Norma 410 del Acuerdo 039 – Normas de Control Interno: 49 50 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 60 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 60 Aún no se tiene elaborado el plan ni algún otro plan. Las políticas son documentadas a nivel ministerial, no de unidad. Los procedimientos no son documentados. Ser definidos, documentados, difundidos y actualizados permanentemente e incluirán las tareas, los responsables de su ejecución, los procesos de excepción, el enfoque de cumplimiento y el control de los procesos que están normando, así como, las sanciones administrativas a que Políticas y procedimiento Los roles son definidos informalmente, sin la documentación adecuada. Aún no se aplica Elaborar un plan informático estratégico alineado con el plan estratégico institucional que contenga e incluir análisis de la situación actual y propuestas de mejora. Ser documentados teniendo en cuenta deberes, responsabilidades, habilidades y experiencia necesarios para cada posición. Ser definidos claramente y formalmente comunicados, asegurándose de que exista suficiente autoridad y respaldo. Establecer revisiones periódicas de la estructura organizacional para ajustar estrategias y cumplir objetivos Estar posicionada en un nivel gerencial en la estructura organizacional y no depender de otras áreas. Trabajar en base a un marco de trabajo que asegure transparencia, control e involucre la alta dirección. Entorno Actual Plan informático estratégico de tecnología Segregación de funciones Organización Informática Entorno deseado 49 Desarrollo y adquisición del software aplicativo Administración de proyectos tecnológicos Modelo de información organizacional Realizar un cronograma de actividades que incluya responsables, recursos y contemple pruebas y Documentar los proyectos de desarrollo y adquisición de Software. Incluir análisis de riesgos, control de cambios y un plan para el aseguramiento de la calidad. Monitorear avances del proyecto Realizar un cronograma de actividades que incluya responsables, recursos y contemple pruebas y capacitación. Documentar los proyectos tecnológicos. Clasificar los datos para especificar y aplicar niveles de seguridad. Incluir reglas de validación, controles de integridad y consistencia de los datos Garantizar la disponibilidad, integridad, exactitud y seguridad de la información. Implementar planes para monitorear y medir el cumplimiento con indicadores de desempeño. hubiere lugar si no se cumplieran. No se tiene documentación sobre administración de proyectos tecnológicos, los avances se verifican informalmente y por correo. No se tiene documentación sobre administración de proyectos tecnológicos, los avances se verifican informalmente y por correo. No se tienen controles para la información. No se tienen planes para monitorear y medir el cumplimiento de indicadores de desempeño. 50 Mantenimiento y control de infraestructura tecnológica Adquisiciones de infraestructura tecnológica Actualizar y difundir manuales técnicos y de usuario según Controlar y registrar las versiones de software. Definir procedimientos para mantenimiento, despliegue, corrección y mejoramiento de software y documentar los cambios. Definir procedimientos para el uso y mantenimiento adecuado de la infraestructura tecnológica. Detallar los contratos sobre características técnicas de los equipos adquiridos. Planificar el incremento de capacidad, evaluar riesgos tecnológicos, costos, vida útil considerando los requerimientos de la carga laboral. Realizar un análisis documentado de la necesidad de adquisiciones tecnológicas Iniciar etapas del proyecto con aprobaciones formales de los interesados. Incluir análisis de riesgos, control de cambios y un plan para el aseguramiento de la calidad. Monitorear avances del proyecto capacitación. No se tienen procedimientos documentados, manuales técnicos, planes de mantenimiento. Se tienen procedimientos no documentados para el mantenimiento de la infraestructura tecnológica. Las actividades son del día al día. La UI del MTOP realiza inventarios de los equipos y además realizan un análisis de adquisiciones tecnológicas conjuntamente con el área administrativa. No se realiza análisis de riesgo o planes para el aseguramiento de la calidad. 51 Seguridad de tecnología de la información Implementar procedimientos de seguridad para el recurso humano. Establecer sitios de procesamiento alternativos Implementar seguridades para software y hardware, establecer monitoreos de seguridad, pruebas periódicas y acciones correctivas con las vulnerabilidades encontradas. Almacenar los respaldos con información crítica en lugares externos a la organización Respaldar la información en medios físicos adecuados en caso de actualización. Respaldar la información periódicamente. Establecer una ubicación adecuada con control de acceso físico a la unidad de tecnologías de la información, tener en cuenta mecanismos de control de incendios, temperatura y humedad adecuadas, entre otros. Realizar inventario de bienes informático detallado. Elaborar planes de mantenimiento preventivo y correctivo, y realizar revisiones periódicas, sobre todo de las aplicaciones críticas de la organización. los cambios. Se tienen implementadas seguridades para software y hardware, no hay monitoreos de seguridad, pruebas periódicas ni análisis de vulnerabilidades. No existen políticas de respaldo de la información, ni replicación de servidores. Se tienen mecanismos de acceso, control de incendio, seguridad física y lógica, no documentados. Se tienen inventarios. 52 No se tienen documentadas políticas ni procedimientos. No se tiene un plan de capacitación. Se debe establecer un plan para capacitar a los Capacitación No se realizan monitoreos para verificar la contribución del área en el ministerio. La unidad de tecnología de información debe elaborar políticas y procedimientos documentados sobre los servicios de Internet, intranet, correo electrónico y el sitio WEB del ministerio. Establecer métricas e indicadores para indicar el nivel de satisfacción de clientes internos y externos Monitorear la contribución e impacto del área en el ministerio. Sitio web, servicios de internet e intranet Monitoreo y evaluación de los procesos y servicios Mantener un repositorio con la documentación de hardware y software actualizado, asegurar la integridad y disponibilidad de la información. Crear respaldos Se utiliza protección antivirus en cada computador. Establecer medidas de prevención, detección y corrección de software malicioso. Crear roles y perfiles de usuarios con una identificación única y estandarizada para cada usuario. Administración de soporte de tecnologías de la información Se tienen roles y perfiles de usuarios, sin políticas documentadas. No existe plan de contingencias, de continuidad del negocio ni de recuperación de desastres Definir un plan de contingencias incluyendo los escenarios de contingencia, roles y responsabilidades. Establecer un plan de continuidad del negocio. En el plan se debe incluir el uso de un centro de cómputo. Establecer un plan de recuperación de desastres que contemple las actividades, antes, durante y después de un desastre. Plan de contingencias 53 La unidad informática es la encargada de crear un comité informático teniendo en cuenta el tamaño y complejidad del ministerio. Comité informático Aunque se tiene un comité informático, se debe establecer tiempos para sus reuniones, asignar roles y responsabilidades. Existe comité informático pero no se reúnen con regularidad. Tabla 10- Análisis de diferencias La conformación y funciones del comité, su reglamentación, la creación de grupos de trabajo, la definición de las atribuciones y responsabilidades de los miembros del comité, entre otros aspectos. empleados. informática 54 55 En la Tabla 10- Análisis de diferencias, se realiza un contraste de la situación actual y de la situación deseada. Debe existir una transición de la primera a la segunda para poder cumplir con la normativa ecuatoriana, en las leyes se establece que todos los ministerios deben cumplir estas normas desde el 2013, desde entonces se ha analizado la viabilidad de aplicar estas normas. Práctica: APO02.05 Definir el plan estratégico y la hoja de ruta Descripción: “Crear un plan estratégico que defina, en cooperación con las partes interesadas más relevantes, cómo los objetivos de TI contribuirán a los objetivos estratégicos de la empresa. Incluyendo cómo TI apoyará el programa aprobado de inversiones, los procesos de negocio, servicios y activos de TI. Orientar las tecnologías para definir las iniciativas que se requieren para cerrar las diferencias, la estrategia de abastecimiento y las medidas que se utilizarán para supervisar el logro de los objetivos, para dar prioridad a las iniciativas y combinarlas en una hoja de ruta a alto nivel.”51 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene un plan estratégico ni hoja de ruta. Práctica: APO02.06 Comunicar la estrategia y la dirección de TI Descripción: “Crear conciencia y comprensión del negocio y de los objetivos y dirección de TI, como se encuentra reflejada en la estrategia de TI, a través de comunicaciones a las partes interesadas adecuadas y a los usuarios de toda la empresa.”52 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Los mensajes se transmiten básicamente por correo electrónico. No se tiene un plan de comunicaciones ni entrega. 51 52 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 61 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 61 56 En la Tabla 9- Nivel de Capacidad Proceso APO02 Gestionar la estrategia, se realiza el análisis del nivel de capacidad del proceso. Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Se alcanzan los siguientes resultados: Cum p% 100 Observaciones El MTOP reconoce la necesidad de una estrategia de TI orientada, sin embargo aún se encuentra en desarrollo y no implementada 22 50 La estrategia IT se está Todos los aspectos desarrollando y aún no de la estrategia de TI implementada están alineados con la estrategia empresarial. 0 No se han implementado ni La estrategia de TI es comunicado. costo-efectiva, apropiada, realista, alcanzable, orientada a la empresa y balanceada 25 Metas de corto plazo son claras y concretas, y trazadas a iniciativas de largo plazo específicas a ser implementadas en planes operativos. 15 TI tiene un valor fundamental para la empresa. Tabla 11- Nivel de Capacidad Proceso APO02 Gestionar la estrategia 53 PROCESO EJECUTADO 1 0 PROCESO INCOMPLETO Nivel de capacidad 2.2.6 APO07 GESTIONAR LOS RECURSOS HUMANO Descripción del Proceso: “Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo 53 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template 57 personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.”54 Práctica: APO07.01 Mantener la dotación de personal suficiente y adecuada Descripción: “Evaluar las necesidades de personal en forma regular o en cambios importantes en la empresa, operativos o en los entornos para asegurar que la empresa tiene suficientes recursos humanos para apoyar las metas y objetivos empresariales. El personal incluye recursos tanto internos como externos. ”55 Del análisis de esta práctica se obtuvieron los siguientes resultados: · La unidad informática no tiene suficiente autonomía para hacer contratación de personal, aunque reconocen la necesidad de aumentar el personal. No existen tampoco planes de capacitación para el nuevo personal contratado, las actividades se realizan sin procedimientos formales. · Si se verifican antecedentes en el proceso de contratación de TI para empleados, contratistas y proveedores. Práctica: APO07.02 Identificar personal clave de TI Descripción: “Identificar el personal clave de TI a la vez que se reduce al mínimo la dependencia de una sola persona en la realización de una función crítica de trabajo mediante la captura de conocimiento (documentación), el intercambio de conocimientos, la planificación de la sucesión y el respaldo (Backup) del personal.”56 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene seleccionado al personal clave, ni se documenta como se realizan las actividades que desempeña cada persona, las actividades 54 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 83 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 84 56 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 85 55 58 se hacen de acuerdo a las necesidades diarias. No se tienen planes de respaldo del personal. Práctica: APO07.03 Mantener las habilidades y competencias del personal Descripción: “Definir y gestionar las habilidades y competencias necesarias del personal. Verificar regularmente que el personal tenga las competencias necesarias para cumplir con sus funciones sobre la base de su educación, formación y/o experiencia y verificar que estas competencias se mantienen, con programas de capacitación y certificación en su caso. Proporcionar a los empleados aprendizaje permanente y oportunidades para mantener sus conocimientos, habilidades y competencias al nivel requerido para conseguir las metas empresariales.”57 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene manejo de habilidades y competencias del personal. No hay repositorios de conocimiento Práctica: APO07.04 Evaluar el desempeño laboral de los empleados Descripción: “Lleve a cabo oportunamente evaluaciones de rendimiento de manera regular respecto a los objetivos individuales derivados de los objetivos de la empresa, las normas establecidas, las responsabilidades específicas del trabajo y el marco de habilidades y competencias. Los empleados deberían recibir preparación sobre el desempeño y conducta siempre que sea apropiado.”58 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se realizan evaluaciones sobre el desempeño laboral de los empleados, no se tienen objetivos individuales. 57 58 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 85 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 86 59 Práctica: APO07.05 Planificar y realizar un seguimiento del uso de recursos humanos de TI y del negocio Descripción: “Comprender y realizar un seguimiento de la demanda actual y futura de recursos humanos para el negocio y TI con responsabilidades en TI corporativa. Identificar las carencias y proporcionar datos de entrada a los planes de aprovisionamiento, planes de abastecimiento de procesos de contratación del negocio y de TI y procesos de contratación del negocio y de TI.”59 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se realizan inventarios de recursos humanos, sin embargo no se cuenta con el completo apoyo de la gerencia ministerial para poder contratar al personal necesario. A pesar de entender la demanda actual y futura de recursos humanos es sumamente difícil contratar personal. Práctica: APO07.06 Gestionar el personal contratado Descripción: “Asegúrese de que los consultores y el personal contratado que apoyan a la empresa con capacidades de TI conocen y cumplen las políticas de la organización así como los requisitos contractuales previamente acordados.”60 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No existen políticas para gestión de consultores y proveedores. En la Tabla 12- Nivel de Capacidad Proceso APO07 Gestionar los recursos humanos, se realiza el análisis del nivel de capacidad del proceso. 59 60 PROCESO INCOMPLETO 0 Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 86 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 87 Cum p% 0 Observaciones El MTOP reconoce la necesidad de una estrategia de TI orientada, sin embargo aún se encuentra en desarrollo y no implementada 1 PROCESO EJECUTADO 60 El proceso implementado cumple con su propósito Se alcanzan los siguientes resultados: La estructura organizacional y las relaciones son flexibles y responsivas. 0 Los recursos humanos son gestionados afectiva y eficientemente. 0 0 A pesar de que el MTOP reconoce la necesidad de optimizar los recursos humanos no cuenta con el apoyo deseado para contratar gente en el área de TI No se tiene un proceso de capacitación para los nuevos empleados, se maneja como una actividad del día a día Tabla 12- Nivel de Capacidad Proceso APO07 Gestionar los recursos humanos 61 2.2.7 AP012 GESTIONAR EL RIESGO Descripción del Proceso: “Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.”62 Práctica: AP012.01 Recopilar datos Descripción: “Identificar y recopilar datos relevantes para catalizar una identificación, análisis y notificación efectiva de riesgos relacionados con TI.”63 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El MTOP no gestiona el riesgo, no mantiene un método de obtención de información ni clasificación de datos referente a los riesgos. No se tiene ningún análisis de riesgo. Práctica: AP012.02 Analizar el riesgo Descripción: “Desarrollar información útil para soportar las decisiones relacionadas con el riesgo que tomen en cuenta la relevancia para el negocio de los factores de riesgo.”64 Del análisis de esta práctica se obtuvieron los siguientes resultados: · 61 El MTOP no gestiona el riesgo, no se han realizado análisis de riesgo. Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 107 63 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 108 64 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 109 62 61 Práctica: AP012.03 Mantener un perfil de riesgo Descripción: “Mantener un inventario del riesgo conocido y atributos de riesgo (incluyendo frecuencia esperada, impacto potencial y respuestas) y de otros recursos, capacidades y actividades de control actuales relacionados.”65 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El MTOP no gestiona el riesgo, no se han realizado análisis de riesgo. Práctica: AP012.04 Expresar el riesgo Descripción: “Proporcionar información sobre el estado actual de exposiciones y oportunidades relacionadas con TI de una forma oportuna a todas las partes interesadas necesarias para una respuesta apropiada.”66 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El MTOP no gestiona el riesgo, no se han realizado análisis de riesgo. Práctica: AP012.05 Definir un portafolio de acciones para la gestión de riesgos Descripción: “Gestionar las oportunidades para reducir el riesgo a un nivel aceptable como un portafolio.”67 Del análisis de esta práctica se obtuvieron los siguientes resultados: · El MTOP no gestiona el riesgo, y tampoco se han analizado acciones de respuesta al riesgo. Práctica: AP012.06 Responder al riesgo Descripción: “Responder de una forma oportuna con medidas efectivas que limiten la magnitud de pérdida por eventos relacionados con TI.” 68 65 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 110 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 110 67 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 110 68 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 111 66 62 Del análisis de esta práctica se obtuvieron los siguientes resultados: El MTOP no gestiona el riesgo, no se tiene ningún plan ni · documentación alguna para responder al riesgo. En la Tabla 13- Nivel de Capacidad Proceso AP012 Gestionar el riesgo, se realiza el análisis del nivel de capacidad del proceso. PROCESO EJECUTADO 1 0 PROCESO INCOMPLETO Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Se alcanzan los siguientes resultados: El riesgo relativo a TI se ha identificado, analizado, gestionado y reportado. Existe un perfil de riesgo completo y actualizado Todas las acciones significantes de gestión de riesgos son administradas y están bajo control Las acciones de manejo de riesgos son implementadas efectivamente Cum p% 0 Observaciones El MTOP reconoce necesidad de gestionar riesgo, sin embargo no tiene elaborado un plan gestión de riesgo 0 0 No se ha analizado el riesgo de TI 0 No existe perfil de riesgo. 0 No se gestiona el riesgo. 0 No se gestiona el riesgo. Tabla 13- Nivel de Capacidad Proceso AP012 Gestionar el riesgo 69 2.2.8 AP013 GESTIONAR LA SEGURIDAD Descripción del Proceso: “Definir, operar y supervisar un sistema para la 70 gestión de la seguridad de la información.” Práctica: AP013.01 Establecer y mantener un SGSI Descripción: “Establecer y mantener un SGSI que proporcione un enfoque estándar, formal y continuo a la gestión de seguridad para la información, 69 70 la el se de Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 113 63 tecnología y procesos de negocio que estén alineados con los requerimientos de negocio y la gestión de seguridad en la empresa.”71 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene SGSI definido. · La Unidad Informática del MTOP sin embargo maneja los siguientes aspectos relacionados a la seguridad informática. SEGURIDAD FÍSICA En lo que refiere a seguridad física, existe un personal de guardia privada en la entrada del edificio, el mismo que verifica que no se ingrese material potencialmente inseguro, así como verificar quien ingresa y cuál es su propósito dentro de las instalaciones, en el octavo piso donde se encuentra la Unidad de Información existe otro guardia que cuida la entrada a la unidad de información. La seguridad de la unidad de información consiste en una puerta que solo se abre un una tarjeta magnética o identificarse con el guardia. La puerta siempre está cerrada. Dentro de las instalaciones existen extintores en caso de incendios y tienen planes de escape en una posible emergencia. En lo que se refiere a los servidores, el personal no interactúa directamente con ellos sino que lo hace desde conexiones remotas, los servidores se encuentran es salas frías, esta sala está a cargo del personal autorizado. SEGURIDAD LÓGICA Existen perfiles de usuario y contraseñas para el personal autorizado encargado de algún servidor. No existen políticas para el manejo de contraseñas. SEGURIDAD LEGAL Las licencias de software que manejan los ordenadores no son originales, sólo las de los sistemas operativos vienen instaladas de fábrica. 71 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 114 64 SEGURIDAD DE DATOS El MTOP no tiene planes de contingencia, respaldo sino que toda la información se almacena en los servidores localizados en este mismo edificio. Práctica: AP013.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la información Descripción: “Mantener un plan de seguridad de información que describa cómo se gestionan y alinean los riesgos de seguridad de información con la estrategia y la arquitectura de empresa. Asegurar que las recomendaciones para implementar las mejoras en seguridad se basan en casos de negocio aprobados, se implementan como parte integral del desarrollo de soluciones y servicios y se operan, después, como parte integral de las operaciones del negocio.”72 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tienen análisis de riesgo de la seguridad de la información. Práctica: AP013.03 Supervisar y revisar el SGSI Descripción: “Mantener y comunicar regularmente la necesidad y los beneficios de la mejora continua de la seguridad de información. Recolectar y analizar datos sobre el SGSI y la mejora de su efectividad. Corregir las no conformidades para prevenir recurrencias. Promover una cultura de seguridad y de mejora continua.”73 Del análisis de esta práctica se obtuvieron los siguientes resultados: · 72 73 No se tiene un SGSI establecido. Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 115 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 115 65 En la Tabla 14- Nivel de Capacidad Proceso AP013 Gestionar la seguridad, se realiza el análisis del nivel de capacidad del proceso. PROCESO INCOMPLETO PROCESO EJECUTADO 1 0 Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Cum p% 0 Se alcanzan los siguientes resultados: El riesgo relativo a TI se ha identificado, analizado, gestionado y reportado. Existe un perfil de riesgo completo y actualizado Todas las acciones significantes de gestión de riesgos son administradas y están bajo control Las acciones de manejo de riesgos son implementadas efectivamente Observaciones El MTOP reconoce la necesidad de gestionar la seguridad, aunque no hay plan de seguridad, pero se realizan procedimientos de seguridad del día a día. 0 0 No se ha analizado el riesgo de TI 0 No existe perfil de riesgo. 0 No se gestiona el riesgo. 0 No se gestiona el riesgo. Tabla 14- Nivel de Capacidad Proceso AP013 Gestionar la seguridad74 2.2.9 BAI05 GESTIONAR LA INTRODUCCIÓN DEL CAMBIO ORGANIZATIVO Descripción del Proceso: “Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de TI.”75 Práctica: BAI05.01 Establecer el deseo de cambiar Descripción: “Comprender el alcance e impacto del cambio divisado y la disposición/voluntad de cambiar de las partes interesadas. Identificar las acciones para motivar a las partes interesadas para aceptar y querer que el cambio sea exitoso.”76 74 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 145 76 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 146 75 66 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se tiene establecido el deseo de cambiar, aunque no se tiene documentado nada, no se han realizado análisis sobre los conflictos que podrían producirse. El cambio es una impulsado por necesidad legal. · El deseo de cambio ha sido entendido pero aún no se tiene todo el apoyo para producirse. Práctica: BAI05.02 Formar un equipo de implementación efectivo Descripción: “Establecer un equipo de implementación efectivo, con miembros adecuados, creando confianza y estableciendo metas comunes y medidas efectivas.”77 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se ha formulado un equipo competente, que por sus diversas actividades debido a la falta de personal están obligados a retrasar el cambio. Práctica: BAI05.03 Comunicar la visión deseada Descripción: “Comunicar la visión deseada para el cambio en el lenguaje de aquellos que se verán afectados. La comunicación debería ser realizada por la alta dirección e incluir la razón de ser y los beneficios del cambio, el impacto de no hacerlo y la visión, la hoja de ruta y la participación requerida de las diversas partes interesadas.”78 Del análisis de esta práctica se obtuvieron los siguientes resultados: · 77 78 La comunicación se hace básicamente por correos electrónicos. El cambio se produce por necesidad legales pero no se ha profundizado en comunicar las ventajas que tiene la implantación del cambio. Es necesario el cambio para cumplir con las leyes del país. Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 147 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 147 67 Práctica: BAI05.04 Facultar a los que juegan algún papel e identificar ganancias en el corto plazo Descripción: “Facultar a aquellos con roles en la implementación asegurando que se han asignado responsabilidades, se ha dado formación y se han alineado las estructuras organizativas y procesos de RRHH. Identificar y comunicar ganancias en el corto plazo que pueda ser realizadas y resulten importantes desde una perspectiva de posibilitar el cambio.”79 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Aún no están empoderados para ejercer el cambio. · No se ha planificado las necesidades de formación de personal para responder al cambio, no se ha hecho un análisis de cambio teniendo en cuenta al talento humano. Práctica: BAI05.05 Facilitar la operación y el uso Descripción: “Planificar e implementar todos los aspectos técnicos, operativos y de modo de uso de forma que todos aquellos involucrados en el entorno futuro puedan ejercer sus responsabilidades.”80 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se ha desarrollado un plan de operación y uso del cambio. Práctica: BAI05.06 Integrar nuevos enfoques Descripción: “Integrar nuevos enfoques mediante el seguimiento de los cambios implementados, asegurando la efectividad del plan de operación y uso y manteniendo un plan de concienciación mediante comunicaciones regulares. Aplicar las medidas correctoras que se estime apropiado y que podrían incluir el forzar el cumplimiento.”81 79 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 147 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 148 81 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 148 80 68 Del análisis de esta práctica se obtuvieron los siguientes resultados: No se ha realizado seguimiento de cambios implementados, ni se han · desarrollado planes que permitan facilitar y asegurar el cambio. Práctica: BAI05.07 Mantener los cambios Descripción: “Mantener los cambios mediante la formación eficaz del personal nuevo, campañas de comunicación periódicas, compromiso de la alta dirección, supervisión de la adopción de los cambios y divulgación a toda la empresa de las lecciones aprendidas.”82 Del análisis de esta práctica se obtuvieron los siguientes resultados: El cambio se da por disposiciones legales y debe ser mantenido, se · toma más como una imposición que como un compromiso. En la Tabla 15- Nivel de Capacidad Proceso BAI05 Gestionar la introducción del cambio organizativo, se realiza el análisis del nivel de capacidad del proceso. 82 PROCESO EJECUTADO 1 0 PROCESO INCOMPLETO Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Cum p% 100 Se alcanzan los siguientes resultados: El deseo de cambio ha sido entendido. 40 El equipo de implementación es competente y capaz de dirigir el cambio. 80 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 148 80 Observaciones El MTOP está en un proceso de cambio organizativo, se tiene clara la necesidad del cambio y se ha implementado un equipo para lograr la transición. El deseo de cambio ha sido entendido pero aún no se tiene todo el apoyo para producirse. Se ha formulado un equipo competente, que por sus diversas actividades debido a la falta de personal están obligados a retrasar el cambio. 69 El deseo de cambio ha sido entendido y aceptado por los skateholders. Los actores están empoderados para entregar el cambio. Los actores están habilitados para operar, usar y mantener el cambio El cambio es embebido y sostenido 50 Es necesario el cambio para cumplir con las leyes del país. 0 Aún no están empoderados para ejercer el cambio. 30 Los actores aún no están habilitados para operar el cambio. 0 Aún no se produce el cambio. Tabla 15- Nivel de Capacidad Proceso BAI05 Gestionar la introducción del cambio organizativo 83 2.2.10 BAI09 GESTIONAR LOS ACTIVOS Descripción del Proceso: “Gestionar los activos de TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento (acorde a los objetivos), que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia.”84 Práctica: BAI09.01 Identificar y registrar activos actuales Descripción: “Mantener un registro actualizado y exacto de todos los activos de TI necesarios para la prestación de servicios y garantizar su alineación con la gestión de la configuración y la administración financiera.”85 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se tienen inventarios de los activos. · Se controla periódicamente el inventario físico pero no el lógico. Se manejan perfiles y permisos que impiden que los usuarios no autorizados instalen software, pero no se tiene inventario de los programas instalados por equipo. 83 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 163 85 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 164 84 70 Práctica: BAI09.02 Gestionar activos críticos Descripción: “Identificar los activos que son críticos en la provisión de capacidad de servicio y dar los pasos para maximizar su fiabilidad y disponibilidad para apoyar las necesidades del negocio.”86 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene identificados los activos críticos, no se considera el riesgo de falla de los activos críticos ni medidas de reparación o reemplazo en caso de algún daño. · No se tienen planes de mantenimiento preventivo, en caso de que alguna daño ocurra se planifica aplicar la garantía que ofrecen los proveedores. Práctica: BAI09.03 Gestionar el ciclo de vida de los activos Descripción: “Gestionar los activos desde su adquisición hasta su eliminación para asegurar que se utilizan tan eficaz y eficientemente como sea posible y son contabilizados y protegidos físicamente.”87 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Todos los activos se obtienen teniendo en cuenta solicitudes probadas siguiendo los procesos propios de adquisición del MTOP. · Los activos son utilizados hasta el final de su vida útil, debido al presupuesto sobretodo, se reasignan los activos. · Los activos no se eliminan de forma segura, no se tienen procedimientos documentados de lo que debe hacerse al finalizar con el uso de los activos. 86 87 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 164 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 165 71 Práctica: BAI09.04 Optimizar el coste de los activos Descripción: “Revisar periódicamente la base global de activos para identificar maneras de optimizar los costes y mantener el alineamiento con las necesidades del negocio.”88 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tienen análisis de costes para optimizar el coste de los activos, una vez adquiridos son utilizados o reutilizados hasta que son obsoletos o se dañan. · No se hacen análisis de capacidad para identificar activos que no son utilizados al máximo de su capacidad. Práctica: BAI09.05 Administrar licencias Descripción: “Administrar las licencias de software de forma que se mantenga el número óptimo de licencias para soportarlos requerimientos de negocio y el número de licencias en propiedad sea suficiente para cubrir el software instalado y en uso.”89 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se adquieren licencias software, se utilizan las que vienen en los activos y se maneja software libre. El resto de licencias comerciales que se utilizan no son originales. En la Tabla 16- Nivel de Capacidad Proceso BAI09 Gestionar los activos, se realiza el análisis del nivel de capacidad del proceso. PROCESO INCOMPLETO Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso l proceso implementado En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. E S O EJ E CE 0 Nivel de capacidad 88 89 Se alcanzan los siguientes resultados: Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 165 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 166 Cum p% 100 25 Observaciones El MTOP tiene un manejo de activos sin documentación, clasificación o etiquetado apropiado. 72 cumple con su propósito Las licencias están alineadas a las necesidades del negocio Los bienes se mantienen en niveles óptimos. 0 Las licencias originales. no 50 Los bienes tienen responsables que se encargan de mantenerlos en buenas condiciones aunque no tienen políticas de uso y mantenimiento de bienes. Tabla 16- Nivel de Capacidad Proceso BAI09 Gestionar los activos 90 2.2.11 DSS01 GESTIONAR OPERACIONES Descripción del Proceso: “Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.”91 Práctica: DSS01.01 Ejecutar procedimientos operativos Descripción: “Mantener y ejecutar procedimientos y tareas operativas de forma confiable y consistente.”92 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Las actividades se realizan como actividades diarias, no están documentadas ni se tienen controles para asegurar su funcionamiento · No se tienen actividades operativas programadas. · No se generan copias de respaldo y no existen políticas tampoco. Práctica: DSS01.02 Gestionar servicios externalizados de TI Descripción: “Gestionar la operación de servicios externalizados de TI para mantener la protección de la información empresarial y la confiabilidad de la entrega del servicio.”93 Del análisis de esta práctica se obtuvieron los siguientes resultados: · 90 No se evalúa la operación de servicios externalizados de TI. Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 173 92 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 174 93 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 174 91 son 73 Práctica: DSS01.03 Supervisar la infraestructura de TI Descripción: “Supervisar la infraestructura TI y los eventos relacionados con ella. Almacenar la suficiente información cronológica en los registros de operaciones para permitir la reconstrucción, revisión y examen de las secuencias de tiempo de las operaciones y las actividades relacionadas con el soporte a esas operaciones.”94 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se almacena información sobre riesgo y rendimiento. · No se tiene listas de activos a ser monitorizados. · No se tienen reglas para violaciones de umbral y condiciones de servicio y permitan identificar falsos menores. Práctica: DSS01.04 Gestionar el entorno Descripción: “Mantener las medidas para la protección contra factores ambientales. Instalar equipamiento y dispositivos especializados para supervisar y controlar el entorno.”95 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se han identificado amenazas ambientales, riesgos, efectos. · No se han tomado medidas de respaldo, ni para minimizar y mitigar riesgos. Práctica: DSS01.05 Gestionar las instalaciones Descripción: “Gestionar las instalaciones, incluyendo equipos de electricidad y comunicaciones, en línea con las leyes y regulaciones, requerimientos técnicos y de negocio y directrices de salud y seguridad en el trabajo.”96 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Las instalaciones tienen varios controles como seguridad de acceso, señalización, extintores, no existen alfombras, existen salidas de seguridad, sistemas de alimentación ininterrumpida. 94 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 174 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 174 96 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 175 95 74 En la Tabla 17- Nivel de Capacidad Proceso DSS01 Gestionar operaciones, se realiza el análisis del nivel de capacidad del proceso. PROCESO INCOMPLETO PROCESO EJECUTADO 1 0 Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Se alcanzan los siguientes resultados: Las actividades operacionales se realizan al ser requeridas y calendarizadas Las operaciones son monitorizadas, medidas, reportadas y solucionadas. Cum p% 0 Observaciones Las actividades se realizan como actividades diarias, no están documentadas ni se tienen controles para asegurar su funcionamiento. 0 0 0 Tabla 17- Nivel de Capacidad Proceso DSS01 Gestionar operaciones 97 2.2.12 DSS04 GESTIONAR LA CONTINUIDAD Descripción del Proceso: “Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.”98 Práctica: DSS04.01 Definir la política de continuidad del negocio, objetivos y alcance Descripción: “Definir la política y alcance de continuidad de negocio alineada con los objetivos de negocio y de las partes interesadas.”99 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tienen definidos planes ni políticas de continuidad del negocio. El MTOP no reconoce aún la necesidad de tener políticas de continuidad del negocio. 97 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 185 99 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 185 98 75 Práctica: DSS04.02 Mantener una estrategia de continuidad Descripción: “Evaluar las opciones de gestión de la continuidad de negocio y escoger una estrategia de continuidad viable y efectiva en coste, que pueda asegurar la continuidad y recuperación de la empresa frente a un desastre u otro incidente mayor o disrupción.”100 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se han realizado análisis de riesgos, de impacto sobre el negocio, de continuidad frente a fallos o catástrofes, tiempo de recuperación del negocio, interrupción máxima soportable. · No se han analizado las amenazas que pueden causar pérdidas de continuidad de negocio, análisis de riesgo. Práctica: DSS04.03 Desarrollar e implementar una respuesta a la continuidad del negocio Descripción: “Desarrollar un plan de continuidad de negocio (BCP) basado en la estrategia que documente los procedimientos y la información lista para el uso en un incidente para facilitar que la empresa continúe con sus actividades críticas.”101 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene desarrollado un BCP, ni se han definido actividades que aseguren la continuidad. Práctica: DSS04.04 Ejercitar, probar y revisar el plan de continuidad Descripción: “Probar los acuerdos de continuidad regularmente para ejercitar los planes de recuperación respecto a unos resultados predeterminados, para permitir el desarrollo de soluciones innovadoras y para ayudar a verificar que el plan funcionará, en el tiempo, como se espera.”102 100 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 187 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 187 102 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 188 101 76 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene desarrollado un BCP, ni se han definido actividades que aseguren la continuidad. Práctica: DSS04.05 Revisar, mantener y mejorar el plan de continuidad Descripción: “Realizar una revisión por la Dirección de la capacidad de continuidad a intervalos regulares para asegurar su continua idoneidad, adecuación y efectividad. Gestionar los cambios en el plan de acuerdo al proceso de control de cambios para asegurar que el plan de continuidad se mantiene actualizado y refleja continuamente los requerimientos actuales del negocio.”103 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene desarrollado un BCP, ni se han definido actividades que aseguren la continuidad. Práctica: DSS04.06 Proporcionar formación en el plan de continuidad Descripción: “Proporcionar a todas las partes implicadas, internas y externas, de sesiones formativas regulares que contemplen los procedimientos y sus roles y responsabilidades en caso de disrupción.”104 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene desarrollado un BCP, ni se han definido actividades que aseguren la continuidad. Práctica: DSS04.07 Gestionar acuerdos de respaldo Descripción: “Mantener la disponibilidad de la información crítica del negocio.”105 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tienen respaldos de información, copias de seguridad del sistema, aplicaciones, datos o documentación ni dentro ni fuera de las instalaciones del MTOP. 103 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 188 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 188 105 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 189 104 77 Práctica: DSS04.08 Ejecutar revisiones post reanudación Descripción: “Evaluar la adecuación del Plan de Continuidad de Negocio (BCP) después de la reanudación exitosa de los procesos de negocio y servicios después de una disrupción.”106 Del análisis de esta práctica se obtuvieron los siguientes resultados: No se tiene desarrollado un BCP, ni se han definido actividades que · aseguren la continuidad. En la Tabla 18- Nivel de Capacidad Proceso DSS04 Gestionar la continuidad, se realiza el análisis del nivel de capacidad del proceso. PROCESO INCOMPLETO PROCESO EJECUTADO 1 0 Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Se alcanzan los siguientes resultados: La información crítica del negocio está disponible para el negocio en línea con los niveles mínimos de servicio requeridos. Hay suficiente elasticidad para los servicios críticos Las pruebas de continuidad de servicio han verificado la efectividad del plan. Existe un plan de continuidad actualizado que refleja los requerimientos actuales del negocio Las partes internas y externas han sido entrenadas para el plan de continuidad. Cum p% 100 Observaciones No se ha planificado continuidad del negocio. 0 0 0 0 0 0 Tabla 18- Nivel de Capacidad Proceso DSS04 Gestionar la continuidad107 106 107 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 189 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template la 78 2.2.13 DSS05 GESTIONAR SERVICIOS DE SEGURIDAD Descripción del Proceso: “Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.”108 Práctica: DSS05.01 Proteger contra software malicioso (malware) Descripción: “Implementar y mantener efectivas medidas, preventivas, de detección y correctivas (especialmente parches de seguridad actualizados y control de virus) a lo largo de la empresa para proteger los sistemas de información y tecnología del software malicioso (por ejemplo, virus, gusanos, software espía –spyware- y correo basura).”109 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se tienen instalados antivirus actualizados en cada terminal, usando una configuración centralizada, además se tienen controles para impedir el acceso a determinadas páginas. · No se realizan campañas de concienciación sobre el software malicioso, ni se comunica con el talento humano fuera del área de TI. · Se filtra el tráfico entrante. Práctica: DSS05.02 Gestionar la seguridad de la red y las conexiones Descripción: “Utilizar medidas de seguridad y procedimientos de gestión relacionados para proteger la información en todos los modos de conexión.”110 Del análisis de esta práctica se obtuvieron los siguientes resultados: · La red de la empresa se encuentra protegida por firewall y también se tienen restricciones de acceso, autentificación, documentadas de control de tráfico entrante y saliente. 108 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 191 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 192 110 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 193 109 políticas no 79 Práctica: DSS05.03 Gestionar la seguridad de los puestos de usuario final Descripción: “Asegurar que los puestos de usuario final (es decir, portátil, equipo sobremesa, servidor y otros dispositivos y software móviles y de red) están asegurados a un nivel que es igual o mayor al definido en los requerimientos de seguridad de la información procesada, almacenada o transmitida.”111 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Los puestos de usuario final están protegidos con antivirus y mecanismos de autentificación para el dispositivo y acceso a la red. · No existe una correcta forma de eliminación de activos. Práctica: DSS05.04 Gestionar la identidad del usuario y el acceso lógico Descripción: “Asegurar que todos los usuarios tengan derechos de acceso a la información de acuerdo con los requerimientos de negocio y coordinar con las unidades de negocio que gestionan sus propios derechos de acceso con los procesos de negocio.”112 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se manejan perfiles y roles de usuario, y de acuerdo a su clasificación tienen más permisos o restricciones. · No se tienen procedimientos para administrar los cambios de derecho de acceso, creación, modificación y eliminación, se hace de acuerdo a la necesidad. Práctica: DSS05.05 Gestionar el acceso físico a los activos de TI Descripción: “Definir e implementar procedimientos para conceder, limitar y revocar acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo emergencias. El acceso a locales, edificios y áreas debe estar justificado, autorizado, registrado y supervisado. Esto aplicará a todas las 111 112 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 193 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 194 80 personas que entren en los locales, incluyendo empleados, empleados temporales, clientes, vendedores, visitantes o cualquier otra tercera parte.”113 Del análisis de esta práctica se obtuvieron los siguientes resultados: · Se tienen seguridades de acceso para las instalaciones y se deben realizar peticiones o tener un rol apropiado para ingresar a los lugares restringidos, por ejemplo la sala de servidores. · No se actualizan los perfiles de acceso periódicamente sino bajo necesidad. · Se registran todos los puntos de entrada y accesos a las ubicaciones de TI. Todo el personal debe tener su identificación visible en todo momento. Práctica: DSS05.06 Gestionar documentos sensibles y dispositivos de salida Descripción: “Establecer salvaguardas físicas apropiadas, prácticas de contabilidad y gestión del inventario para activos de TI sensibles, tales como formularios especiales, títulos negociables, impresoras de propósito especial o credenciales (token) de seguridad.”114 Del análisis de esta práctica se obtuvieron los siguientes resultados: · No se tiene clasificación de documentos sensibles, etiquetado, medidas de seguridad para la divulgación o no divulgación de la información. No existen controles para dispositivos de salida. Práctica: DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la seguridad Descripción: “Usando herramientas de detección de intrusiones, supervisar la infraestructura para detectar accesos no autorizados y asegurar que cualquier evento esté integrado con la supervisión general de eventos y la gestión de incidentes.”115 113 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 194 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 195 115 Fuente: Tomado de COBIT 5 Enabling Spanish, pág. 195 114 81 Del análisis de esta práctica se obtuvieron los siguientes resultados: Se registran los eventos relacionados a seguridad, se tienen · herramientas para monitorizar la seguridad de la infraestructura. No se tienen procedimientos de recopilación de evidencias. · En la Tabla 19- Nivel de Capacidad Proceso DSS05 Gestionar servicios de seguridad, se realiza el análisis del nivel de capacidad del proceso. PROCESO INCOMPLETO PROCESO EJECUTADO 1 0 Nivel de capacidad Atributo Criterio El proceso no se ha implementado, o falla para alcanzar el objetivo del proceso El proceso implementado cumple con su propósito En este nivel, hay poca o no hay evidencia del alcance del propósito de este proceso. Se alcanzan los siguientes resultados: La seguridad de las redes y comunicaciones cumple con las necesidades del negocio. La información procesada, almacenada y transmitida por terminales está protegida. Todos los usuarios son identificados y tienen derecho de acceso de acuerdo con su rol de negocio. Se han tomado medidas físicas para proteger la información de acceso no autorizado, daño e interferencia al momento de procesar, almacenar o transmitir La información electrónica está asegurada apropiadamente al ser almacenada, transmitida o destruida Cum p% 100 Observaciones No se gestiona la seguridad sin embargo se tienen medidas de seguridad implementadas. 40 50 50 50 50 0 Tabla 19- Nivel de Capacidad Proceso DSS05 Gestionar servicios de seguridad116 116 Fuente: Tabla generada por la autora en base a la herramienta Self Assesment Template 82 CAPÍTULO III: RESULTADOS DE LA AUDITORÍA 3.1 ANÁLISIS DE RESULTADOS El primer paso para la realización de la Auditoría fue la selección de los procesos para analizar, esta decisión se tomó conjuntamente con el comité informático. Se trabajó con 13 procesos y 4 dominios, los mismos que se listan a continuación: EVALUAR, ORIENTAR Y SUPERVISAR (EMD) · EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno · EDM03 Asegurar la optimización del riesgo · EDM04 Asegurar la optimización de recursos ALINEAR, PLANEAR Y ORGANIZAR (APO) · APO01 Gestionar el marco de gestión de TI · APO02 Gestionar la estrategia · APO07 Gestionar los recursos humanos · AP012 Gestionar el riesgo · AP013 Gestionar la seguridad CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI): · BAI05 Gestionar la introducción del cambio organizativo · BAI09 Gestionar los activos ENTREGAR, DAR SERVICIO Y SOPORTE (DSS): · DSS01 Gestionar operaciones · DSS04 Gestionar la continuidad · DSS05 Gestionar servicios de seguridad El dominio que Supervisar, Evaluar y Valorar no ha sido tomado en cuenta dentro de la selección ya que todavía no existen muchos controles 83 implementados por la Unidad Informática, así que se le dio más importancia a los procesos que van a permitir establecer las bases para un Gobierno de TI estable dentro de la empresa. Una vez realizada la Auditoría se analizó el nivel de capacidad de los procesos seleccionados, se obtuvieron los siguientes resultados: PROCESO Nivel de Capacidad EDM01 Asegurar el establecimiento y mantenimiento del marco 0 de referencia de gobierno EDM03 Asegurar la optimización del riesgo 0 EDM04 Asegurar la optimización de recursos 2 APO01 Gestionar el marco de gestión de TI 1 APO02 Gestionar la estrategia 0 APO07 Gestionar los recursos humanos 0 AP012 Gestionar el riesgo 0 AP013 Gestionar la seguridad 0 BAI05 Gestionar la introducción del cambio organizativo 1 BAI09 Gestionar los activos 1 DSS01 Gestionar operaciones 0 DSS04 Gestionar la continuidad 0 DSS05 Gestionar servicios de seguridad 0 Tabla 17- Nivel de capacidad de los procesos en el MTOP117 Como se puede apreciar en la tabla 17 – Nivel de capacidad de los procesos en el MTOP, la mayor parte de los procesos están en un nivel 0, tres procesos tienen un nivel 1 y sólo un proceso tiene un nivel 2. Los procesos de nivel 0, Proceso incompleto, están incompletos, no están implementados o se tienen nociones básicas pero no se logra ningún objetivo. Los procesos de nivel 1, Proceso ejecutado, son procesos ya implementados que alcanzan su objetivo. Los procesos de nivel 2, Proceso Gestionado, son procesos que ya están implementados, alcanzan su objetivo y también están gestionados, existe una planificación, supervisión y ajuste, además los resultados son establecidos, controlados y mantenidos. 117 Fuente: tabla generada por la Autora 84 A continuación se detallan el Informe Preliminar, el Informe Técnico y el Informe Ejecutivo. El Informe Técnico y Ejecutivo están dirigidos al Ing. Dirney Escobar como director de Tecnologías de la Información del Ministerio de Transporte y Obras Públicas. Los informes comparten las conclusiones y recomendaciones de esta auditoría. 85 3.2 INFORME PRELIMINAR El objetivo del presente informe es detallar los pasos realizados en la Auditoría al Sistema Informático del Ministerio de Transporte y Obras Públicas. En el Capítulo I se realizó: · Planteamiento del Problema · Caracterización del Ministerio · Caracterización de la Unidad informática · Planteamiento de la metodología usando COBIT 5 En el capítulo II se realizó: · Planificación de la Auditoría · Selección de los procesos para la auditoría · Ejecución de la Auditoría En el Capítulo III se detallan: · Resultados de la Auditoría · Informe Técnico · Informe Ejecutivo El presente trabajo está a disposición de ejecutivos y el personal involucrado. 86 3.3 INFORME TÉCNICO Este informe contiene resultados obtenidos en la Auditoría del Sistema Informático del Ministerio de Transporte y Obras Públicas. Se utilizó el marco de trabajo COBIT 5, se seleccionaron 13 de los 37 procesos existentes para analizar en el MTOP, a continuación la lista de los procesos analizados: Evaluar, Dirigir y Monitorear (EDM) · EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno · EDM03 Asegurar la optimización del riesgo · EDM04 Asegurar la optimización de recursos Alinear, Planear y Organizar (APO) · APO01 Gestionar el marco de gestión de TI · APO02 Gestionar la estrategia · APO07 Gestionar los recursos humanos · AP012 Gestionar el riesgo · AP013 Gestionar la seguridad Construir, Adquirir e Implementar (BAI) · BAI05 Gestionar la introducción del cambio organizativo · BAI09 Gestionar los activos Entregar, dar Servicio y Soporte (DSS) · DSS01 Gestionar operaciones · DSS04 Gestionar la continuidad · DSS05 Gestionar servicios de seguridad 87 Los siguientes resultados fueron obtenidos mediante el análisis de los procesos: Nivel de Capacidad PROCESO EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno EDM03 Asegurar la optimización del riesgo EDM04 Asegurar la optimización de recursos APO01 Gestionar el marco de gestión de TI APO02 Gestionar la estrategia APO07 Gestionar los recursos humanos AP012 Gestionar el riesgo AP013 Gestionar la seguridad BAI05 Gestionar la introducción del cambio organizativo BAI09 Gestionar los activos DSS01 Gestionar operaciones DSS04 Gestionar la continuidad DSS05 Gestionar servicios de seguridad 0 0 2 1 0 0 0 0 1 1 0 0 0 Nivel de capacidad de los procesos seleccionados Los niveles de capacidad se evalúan de la siguiente forma: Nivel de capacidad Nivel 0 – Proceso incompleto Nivel 1 – Proceso ejecutado Nivel 2 – Proceso gestionado Nivel 3 – Proceso establecido Nivel 4 – Proceso predecible Nivel 5 – Proceso optimizado Descripción El proceso no está implementado o en su defecto no alcanza su objetivo. No existe ninguna evidencia de ningún logro del proceso. El proceso alcanza su propósito. (1 atributo) El proceso ya está implementado y gestionado (planificado, supervisado y ajustado). Los resultados están establecidos, controlados y mantenidos. (2 atributos) El proceso gestionado está implementado usando un proceso definido que permite alcanzar sus resultados de proceso. (2 atributos) El proceso establecido antes se ejecuta dentro de los límites definidos y permite alcanzar los resultados de proceso. (2 atributos) El proceso predecible es mejorado continuamente para cumplir con las metas empresariales. (2 atributos) 88 PROCESOS EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno Nivel: 0 Conclusiones: El sistema de gobierno de la Unidad Informática tiene que ser establecido, se tienen normas y obligaciones que deben ser establecidas, sin embargo, no se tiene el completo apoyo de parte de las autoridades. Recomendaciones: Se recomienda conversar con la alta gerencia para que entienda la importancia que debe tener la Unidad Informática en cada empresa. Empezar a alinear las necesidades de todo el ministerio con las de la Unidad Informática, de esta forma se pueden elaborar planes permitan que la Unidad Informática esté alineada con el negocio. EDM03 Asegurar la optimización del riesgo Nivel: 0 Conclusiones: El MTOP no tiene un análisis de riesgo y no se gestionan los riesgos de ninguna forma, se tienen actividades que se hacen para controlar y mitigar el riesgo pero no son formales ni están documentadas Recomendaciones: Es fundamental que se realice un Análisis de Riesgo que incluya la probabilidad de ocurrencia e impacto en caso de que ocurra. Se debe contemplar la situación actual y a futuro. Elaborar un plan de riesgos, además analizar el apetito de riesgo y analizar acciones que se pueden tomar para mitigar los riesgos teniendo en cuenta el presupuesto. 89 EDM04 Asegurar la optimización de recursos Nivel: 2 Conclusiones: Se realizan inventarios, proyecciones y análisis de crecimiento a futuro en conjunto con talento humano sin embargo no se tienen políticas para el cuidado de los equipos de los usuarios finales. Recomendaciones: Generar y comunicar políticas para que los usuarios tengan un buen manejo de sus equipos y éstos puedan funcionar correctamente optimizando su ciclo de vida. Capacitar a los usuarios finales en todo el ministerio del correcto uso de los recursos. Analizar las tendencias futuras para tomar decisiones informadas y teniendo en cuenta la asignación del presupuesto. APO01 Gestionar el marco de gestión de TI Nivel: 1 Conclusiones: Se ha creado un comité de 3 personas para generar el marco de gestión de TI, sin embargo sus reuniones son escasas debido a la gran cantidad de actividades que deben cumplir. Recomendaciones: Socializar a los empleados estos planes para obtener el apoyo del elemento humano, asignar roles y responsabilidades. APO02 Gestionar la estrategia Nivel: 0 Conclusiones: Se reconoce la necesidad de una estrategia de TI, sin embargo aún no se ha desarrollado o implementado una. 90 Recomendaciones: Trabajar en torno a las necesidades de la empresa para estar alineados a ella y satisfacer sus necesidades. Realizar un análisis de diferencias para entender mejor en donde estamos y a donde queremos llegar. APO07 Gestionar los recursos humanos Nivel: 0 Conclusiones: La Unidad Informática no tiene el apoyo deseado al momento de contratar personal y sienten que las actividades que realizan son muchas para el personal. No existe ningún procedimiento de capacitación para los nuevos empleados, se capacitan conforme a las actividades que van realizando. No existe tampoco documentación sobre las actividades que realizan los empleados y los procedimientos que siguen, por tanto se vuelven indispensables para el ministerio. Recomendaciones: Elaborar un plan de capacitación para los empleados. Documentar las actividades y procedimientos que realizan los empleados así nadie se vuelve indispensable. AP012 Gestionar el riesgo Nivel: 0 Conclusiones: El MTOP reconoce la necesidad de gestionar el riesgo, sin embargo no se tiene elaborado un plan de gestión de riesgo El MTOP no gestiona el riesgo, no mantiene un método de obtención de información ni clasificación de datos referente a los riesgos. No se tiene ningún análisis de riesgo. Recomendaciones: Realizar análisis de riesgo y establecer formas de obtener datos para procesarlos y obtener información útil. 91 Generar un plan de gestión de riesgos con información útil y actualizada, se debe incluir los atributos de riesgo, frecuencia, impacto, respuesta. En el plan además se deben detallar las medidas efectivas para responder a los riegos. AP013 Gestionar la seguridad El MTOP reconoce la necesidad de gestionar la seguridad, aunque no hay plan de seguridad, pero se realizan procedimientos de seguridad del día a día, por ejemplo: · Seguridad Física: En lo que refiere a seguridad física, existe un personal de guardia privada en la entrada del edificio, el mismo que verifica que no se ingrese material potencialmente inseguro, así como verificar quien ingresa y cuál es su propósito dentro de las instalaciones, en el octavo piso donde se encuentra la Unidad de Información existe otro guardia que cuida la entrada a la unidad de información. La seguridad de la unidad de información consiste en una puerta que solo se abre un una tarjeta magnética o identificarse con el guardia. La puerta siempre está cerrada. Dentro de las instalaciones existen extintores en caso de incendios y tienen planes de escape en una posible emergencia. En lo que se refiere a los servidores, el personal no interactúa directamente con ellos sino que lo hace desde conexiones remotas, los servidores se encuentran es salas frías, esta sala está a cargo del personal autorizado. · Seguridad lógica: Existen perfiles de usuario y contraseñas para el personal autorizado encargado de algún servidor. No existen políticas para el manejo de contraseñas. · Seguridad legal: Las licencias de software que manejan los ordenadores no son originales, sólo las de los sistemas operativos vienen instaladas de fábrica. · Seguridad de datos: El MTOP no tiene planes de contingencia, respaldo sino que toda la información se almacena en los servidores localizados en este mismo edificio. 92 Recomendaciones: Realizar un análisis de riesgo de la seguridad de la información. Crear un Sistema de Gestión de Seguridad de la Información, establecer controles y medidas para mitigar el riesgo. Comunicar el plan a todo el personal del ministerio. BAI05 Gestionar la introducción del cambio organizativo Nivel: 0 Conclusiones: El MTOP está en un proceso de cambio organizativo debido a las leyes y normas estatales que deben cumplirse, se tiene clara la necesidad del cambio y se ha conformado un equipo para lograr la transición, sin embargo el equipo tiene problemas para reunirse debido a la gran cantidad de actividades del personal. El deseo de cambio ha sido entendido pero aún no se tiene todo el apoyo para producirse, es necesario que el personal entienda el cambio. Recomendaciones: Comunicar al personal la necesidad del cambio, es necesario que sean partes activas para poder minimizar la resistencia al cambio, sobre todo buscar a los líderes para que ellos faciliten la transición. BAI09 Gestionar los activos Nivel: 1 Conclusiones: Se tiene un inventario de activos, se han asignado a responsables pero no se tienen políticas de mantenimiento de los activos para los usuarios finales, no se tienen mantenimientos preventivos. No se controla el inventario lógico. No se tienen licencias originales, exceptuando las de los sistemas operativos que vienen instaladas en los equipos comprados. Los servidores utilizan software libre. 93 Recomendaciones: Cambiar el software sin licencias originales a software libre. Generar un manual de mantenimiento de los activos para que los usuarios finales puedan utilizarlos de una mejor manera y de esta forma se optimice el ciclo de vida de los activos. Seleccionar los activos críticos. Analizar el porcentaje del uso de los activos, de esta forma se puede evitar que los activos sean subutilizados y tener en cuenta el costo de los activos para realizar compras informadas. DSS01 Gestionar operaciones Nivel: 1 Conclusiones: Las instalaciones tienen varios controles como seguridad de acceso, señalización, extintores, no existen alfombras, existen salidas de seguridad, sistemas de alimentación ininterrumpida. Las actividades se realizan como actividades diarias, no están documentadas ni se tienen controles para asegurar su funcionamiento, además no se tienen actividades operativas programadas. No se generan copias de respaldo y no existen políticas tampoco. No se tiene listas de activos a ser monitorizados, no se tienen reglas para violaciones de umbral y condiciones de servicio y permitan identificar falsos menores. Recomendaciones: Documentar los controles que se tienen, generar copiar y políticas de respaldo de la información y también establecer controles para mantener los respaldos actualizados, completos, íntegros y seguros, impidiendo que cualquier persona tenga acceso a información clasificada respaldada. Crear una lista de activos para ser monitorizados, establecer reglas para violaciones de umbrales lo que permita identificar falsos menores. 94 DSS04 Gestionar la continuidad Nivel: 0 Conclusiones: No se tiene un plan para gestionar la continuidad, ni se ha planteado alguna actividad para gestionar la continuidad. Recomendaciones: Crear un plan para gestionar la continuidad, por ejemplo un plan de continuidad del negocio, BCP, que incluya las prácticas para restaurar las actividades críticas frente a un desastre o una interrupción de las actividades. Analizar los posibles escenarios que pueden producirse que obliguen a interrumpir las actividades de la Unidad Informática y proponer una serie de actividades que permitan recuperar la funcionalidad en el menor tiempo posible. DSS05 Gestionar servicios de seguridad Nivel: 1 Conclusiones: Se toman medidas de seguridad como mantener antivirus actualizados en cada terminal, autentificación, filtrado de tráfico en la red, uso de firewall, manejo de roles y perfiles de acceso, además se gestiona el acceso tanto físico como lógico. No se documentan las medidas de seguridad que se toman, las actividades se realizan de acuerdo a la necesidad. No se tiene un correcto uso de la información fuera del sistema informático, por ejemplo la información sensible no se encuentra debidamente etiquetada ni tiene un correcto proceso de eliminación. Recomendaciones: Documentar las medidas de seguridad que se toman, establecer controles para monitorear las medidas de seguridad que se ejecutan en la Unidad Informática para determinar si son eficientes, en caso de que no lo sean buscar nuevas alternativas que ofrezcan mejores soluciones. 95 3.4 INFORME EJECUTIVO. OBJETIVO: Este informe pretende informar de los resultados obtenidos en la Auditoría del Sistema Informático del Ministerio de Transporte y Obras Públicas, usando una metodología basada en COBIT 5. Se utilizó el marco de trabajo COBIT 5, del cual se seleccionaron 13 de los 37 procesos existentes para analizar en el MTOP, a continuación la lista de los procesos analizados: Evaluar, Dirigir y Monitorear (EDM) · EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno · EDM03 Asegurar la optimización del riesgo · EDM04 Asegurar la optimización de recursos Alinear, Planear y Organizar (APO) · APO01 Gestionar el marco de gestión de TI · APO02 Gestionar la estrategia · APO07 Gestionar los recursos humanos · AP012 Gestionar el riesgo · AP013 Gestionar la seguridad Construir, Adquirir e Implementar (BAI) · BAI05 Gestionar la introducción del cambio organizativo · BAI09 Gestionar los activos Entregar, dar Servicio y Soporte (DSS) · DSS01 Gestionar operaciones · DSS04 Gestionar la continuidad · DSS05 Gestionar servicios de seguridad 96 Los resultados que se obtuvieron con la Auditoría se muestran a continuación: Nivel de Capacidad PROCESO EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno EDM03 Asegurar la optimización del riesgo EDM04 Asegurar la optimización de recursos APO01 Gestionar el marco de gestión de TI APO02 Gestionar la estrategia APO07 Gestionar los recursos humanos AP012 Gestionar el riesgo AP013 Gestionar la seguridad BAI05 Gestionar la introducción del cambio organizativo BAI09 Gestionar los activos DSS01 Gestionar operaciones DSS04 Gestionar la continuidad DSS05 Gestionar servicios de seguridad 0 0 2 1 0 0 0 0 1 1 0 0 0 Nivel de capacidad de los procesos Nivel de capacidad de los procesos 5 Nivel de capacidad 4 3 2 2 1 1 1 1 0 0 0 0 0 0 0 0 Proceso Nivel de capacidad de los procesos seleccionados 0 0 97 Los niveles de capacidad se evalúan de la siguiente forma: Nivel de capacidad Nivel 0 – Proceso incompleto Nivel 1 – Proceso ejecutado Nivel 2 – Proceso gestionado Nivel 3 – Proceso establecido Nivel 4 – Proceso predecible Nivel 5 – Proceso optimizado Descripción El proceso no está implementado o en su defecto no alcanza su objetivo. No existe ninguna evidencia de ningún logro del proceso. El proceso alcanza su propósito. (1 atributo) El proceso ya está implementado y gestionado (planificado, supervisado y ajustado). Los resultados están establecidos, controlados y mantenidos. (2 atributos) El proceso gestionado está implementado usando un proceso definido que permite alcanzar sus resultados de proceso. (2 atributos) El proceso establecido antes se ejecuta dentro de los límites definidos y permite alcanzar los resultados de proceso. (2 atributos) El proceso predecible es mejorado continuamente para cumplir con las metas empresariales. (2 atributos) CONCLUSIONES Y RECOMENDACIONES: Las conclusiones y recomendaciones son las mismas que las del informe técnico: EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno Nivel: 0 Conclusiones: El sistema de gobierno de la Unidad Informática tiene que ser establecido, se tienen normas y obligaciones que deben ser establecidas, sin embargo, no se tiene el completo apoyo de parte de las autoridades. Recomendaciones: Se recomienda conversar con la alta gerencia para que entienda la importancia que debe tener la Unidad Informática en cada empresa. Empezar a alinear las necesidades de todo el ministerio con las de la Unidad Informática, de esta forma se pueden elaborar planes permitan que la Unidad Informática esté alineada con el negocio. 98 EDM03 Asegurar la optimización del riesgo Nivel: 0 Conclusiones: El MTOP no tiene un análisis de riesgo y no se gestionan los riesgos de ninguna forma, se tienen actividades que se hacen para controlar y mitigar el riesgo pero no son formales ni están documentadas Recomendaciones: Es fundamental que se realice un Análisis de Riesgo que incluya la probabilidad de ocurrencia e impacto en caso de que ocurra. Se debe contemplar la situación actual y a futuro. Elaborar un plan de riesgos, además analizar el apetito de riesgo y analizar acciones que se pueden tomar para mitigar los riesgos teniendo en cuenta el presupuesto. EDM04 Asegurar la optimización de recursos Nivel: 2 Conclusiones: Se realizan inventarios, proyecciones y análisis de crecimiento a futuro en conjunto con talento humano sin embargo no se tienen políticas para el cuidado de los equipos de los usuarios finales. Recomendaciones: Generar y comunicar políticas para que los usuarios tengan un buen manejo de sus equipos y éstos puedan funcionar correctamente optimizando su ciclo de vida. Capacitar a los usuarios finales en todo el ministerio del correcto uso de los recursos. Analizar las tendencias futuras para tomar decisiones informadas y teniendo en cuenta la asignación del presupuesto. 99 APO01 Gestionar el marco de gestión de TI Nivel: 1 Conclusiones: Se ha creado un comité de 3 personas para generar el marco de gestión de TI, sin embargo sus reuniones son escasas debido a la gran cantidad de actividades que deben cumplir. Recomendaciones: Socializar a los empleados estos planes para obtener el apoyo del elemento humano, asignar roles y responsabilidades. APO02 Gestionar la estrategia Nivel: 0 Conclusiones: Se reconoce la necesidad de una estrategia de TI, sin embargo aún no se ha desarrollado o implementado una. Recomendaciones: Trabajar en torno a las necesidades de la empresa para estar alineados a ella y satisfacer sus necesidades. Realizar un análisis de diferencias para entender mejor en donde estamos y a donde queremos llegar. APO07 Gestionar los recursos humanos Nivel: 0 Conclusiones: La Unidad Informática no tiene el apoyo deseado al momento de contratar personal y sienten que las actividades que realizan son muchas para el personal. No existe ningún procedimiento de capacitación para los nuevos empleados, se capacitan conforme a las actividades que van realizando. No existe tampoco documentación sobre las actividades que realizan los empleados y los procedimientos que siguen, por tanto se vuelven indispensables para el ministerio. 100 Recomendaciones: Elaborar un plan de capacitación para los empleados. Documentar las actividades y procedimientos que realizan los empleados así nadie se vuelve indispensable. AP012 Gestionar el riesgo Nivel: 0 Conclusiones: El MTOP reconoce la necesidad de gestionar el riesgo, sin embargo no se tiene elaborado un plan de gestión de riesgo El MTOP no gestiona el riesgo, no mantiene un método de obtención de información ni clasificación de datos referente a los riesgos. No se tiene ningún análisis de riesgo. Recomendaciones: Realizar análisis de riesgo y establecer formas de obtener datos para procesarlos y obtener información útil. Generar un plan de gestión de riesgos con información útil y actualizada, se debe incluir los atributos de riesgo, frecuencia, impacto, respuesta. En el plan además se deben detallar las medidas efectivas para responder a los riegos. AP013 Gestionar la seguridad El MTOP reconoce la necesidad de gestionar la seguridad, aunque no hay plan de seguridad, pero se realizan procedimientos de seguridad del día a día, por ejemplo: · Seguridad Física: En lo que refiere a seguridad física, existe un personal de guardia privada en la entrada del edificio, el mismo que verifica que no se ingrese material potencialmente inseguro, así como verificar quien ingresa y cuál es su propósito dentro de las instalaciones, en el octavo piso donde se encuentra la Unidad de Información existe otro guardia que cuida la entrada a la unidad de información. La seguridad de la unidad de información consiste en una puerta que solo se abre un una tarjeta magnética o identificarse con el guardia. La puerta siempre está cerrada. Dentro de las instalaciones existen extintores en caso de 101 incendios y tienen planes de escape en una posible emergencia. En lo que se refiere a los servidores, el personal no interactúa directamente con ellos sino que lo hace desde conexiones remotas, los servidores se encuentran es salas frías, esta sala está a cargo del personal autorizado. · Seguridad lógica: Existen perfiles de usuario y contraseñas para el personal autorizado encargado de algún servidor. No existen políticas para el manejo de contraseñas. · Seguridad legal: Las licencias de software que manejan los ordenadores no son originales, sólo las de los sistemas operativos vienen instaladas de fábrica. · Seguridad de datos: El MTOP no tiene planes de contingencia, respaldo sino que toda la información se almacena en los servidores localizados en este mismo edificio. Recomendaciones: Realizar un análisis de riesgo de la seguridad de la información. Crear un Sistema de Gestión de Seguridad de la Información, establecer controles y medidas para mitigar el riesgo. Comunicar el plan a todo el personal del ministerio. BAI05 Gestionar la introducción del cambio organizativo Nivel: 0 Conclusiones: El MTOP está en un proceso de cambio organizativo debido a las leyes y normas estatales que deben cumplirse, se tiene clara la necesidad del cambio y se ha conformado un equipo para lograr la transición, sin embargo el equipo tiene problemas para reunirse debido a la gran cantidad de actividades del personal. El deseo de cambio ha sido entendido pero aún no se tiene todo el apoyo para producirse, es necesario que el personal entienda el cambio. 102 Recomendaciones: Comunicar al personal la necesidad del cambio, es necesario que sean partes activas para poder minimizar la resistencia al cambio, sobre todo buscar a los líderes para que ellos faciliten la transición. BAI09 Gestionar los activos Nivel: 1 Conclusiones: Se tiene un inventario de activos, se han asignado a responsables pero no se tienen políticas de mantenimiento de los activos para los usuarios finales, no se tienen mantenimientos preventivos. No se controla el inventario lógico. No se tienen licencias originales, exceptuando las de los sistemas operativos que vienen instaladas en los equipos comprados. Los servidores utilizan software libre. Recomendaciones: Cambiar el software sin licencias originales a software libre. Generar un manual de mantenimiento de los activos para que los usuarios finales puedan utilizarlos de una mejor manera y de esta forma se optimice el ciclo de vida de los activos. Seleccionar los activos críticos. Analizar el porcentaje del uso de los activos, de esta forma se puede evitar que los activos sean subutilizados y tener en cuenta el costo de los activos para realizar compras informadas. DSS01 Gestionar operaciones Nivel: 1 Conclusiones: Las instalaciones tienen varios controles como seguridad de acceso, señalización, extintores, no existen alfombras, existen salidas de seguridad, sistemas de alimentación ininterrumpida. 103 Las actividades se realizan como actividades diarias, no están documentadas ni se tienen controles para asegurar su funcionamiento, además no se tienen actividades operativas programadas. No se generan copias de respaldo y no existen políticas tampoco. No se tiene listas de activos a ser monitorizados, no se tienen reglas para violaciones de umbral y condiciones de servicio y permitan identificar falsos menores. Recomendaciones: Documentar los controles que se tienen, generar copiar y políticas de respaldo de la información y también establecer controles para mantener los respaldos actualizados, completos, íntegros y seguros, impidiendo que cualquier persona tenga acceso a información clasificada respaldada. Crear una lista de activos para ser monitorizados, establecer reglas para violaciones de umbrales lo que permita identificar falsos menores. DSS04 Gestionar la continuidad Nivel: 0 Conclusiones: No se tiene un plan para gestionar la continuidad, ni se ha planteado alguna actividad para gestionar la continuidad. Recomendaciones: Crear un plan para gestionar la continuidad, por ejemplo un plan de continuidad del negocio, BCP, que incluya las prácticas para restaurar las actividades críticas frente a un desastre o una interrupción de las actividades. Analizar los posibles escenarios que pueden producirse que obliguen a interrumpir las actividades de la Unidad Informática y proponer una serie de actividades que permitan recuperar la funcionalidad en el menor tiempo posible. 104 DSS05 Gestionar servicios de seguridad Nivel: 1 Conclusiones: Se toman medidas de seguridad como mantener antivirus actualizados en cada terminal, autentificación, filtrado de tráfico en la red, uso de firewall, manejo de roles y perfiles de acceso, además se gestiona el acceso tanto físico como lógico. No se documentan las medidas de seguridad que se toman, las actividades se realizan de acuerdo a la necesidad. No se tiene un correcto uso de la información fuera del sistema informático, por ejemplo la información sensible no se encuentra debidamente etiquetada ni tiene un correcto proceso de eliminación. Recomendaciones: Documentar las medidas de seguridad que se toman, establecer controles para monitorear las medidas de seguridad que se ejecutan en la Unidad Informática para determinar si son eficientes, en caso de que no lo sean buscar nuevas alternativas que ofrezcan mejores soluciones. 105 CAPÍTULO IV: CONCLUSIONES Y RECOMENDACIONES 4.1 CONCLUSIONES El nivel de decisión de la Unidad Informática es un nivel inadecuado, las autoridades aún necesitan entender la importancia que ésta tiene en la actualidad y los beneficios que puede aportar. La mayor parte de los procesos evaluados están en un nivel de capacidad 0, lo ideal sería implementar los procesos pero también gestionarlos para llegar a un nivel de capacidad 2. Se necesita el apoyo de la gerencia para poder llevar a cabo el cambio que las autoridades se han planteado, por lo tanto es fundamental que las autoridades entiendan la importancia que tiene la Unidad Informática en la actualidad y los beneficios de una buena gestión. No sólo tienen que cambiarse la forma en la que el Ministerio ve a la tecnología, sino la forma en la que se maneja la información y se administran los procesos, por ejemplo, aún sigue existiendo personal que es indispensable debido a que sus actividades y conocimientos no están documentados y son expertos en el tema. Las empresas públicas en el país tienen que apegarse a estas mismas normas, por lo tanto este análisis sobre el Sistema Informático del MTOP puede ser útil para otras empresas públicas que estén pasando por el mismo proceso. 106 4.2 RECOMENDACIONES Buscar oportunidades de diálogo con las personas que están encargadas de la dirección de la institución, en este caso con la Ministra. Para poder realizar un cambio efectivo es necesario el apoyo de la alta gerencia. Trabajar con los líderes de cada departamento o área para que no se resistan al cambio sino que puedan aportar, también deben recibir una charla para entender la importancia de la Unidad Informática en la actualidad. Capacitar a todo el personal del Ministerio y comunicar las políticas que deben ser implantadas, el cambio no sólo se da dentro del área informática, sino en todo el ministerio. Aunque el presupuesto sea limitado, existen varios controles que se pueden empezar a aplicar y es prioritario que se generen los diferentes planes que son fundamentales para el correcto funcionamiento de la Unidad Informática, por ejemplo: el plan de contingencia, plan de capacitación, plan operativo, plan de recuperación de desastres, entre otros. 107 BIBLIOGRAFÍA · ISACA. (05 de 10 de 2012). COBIT5-Enabling-Spanish de ISACA: www.isaca.org/COBIT/Documents/COBIT5-Enabling-Spanish.pdf · ISACA. (05 de 10 de 2012). COBIT5-Spanish. de ISACA: www.isaca.org/COBIT/Documents/COBIT5- Spanish.pdf · J.E.M.V Pablo Andrés Cilio Muñoz, EVALUACIÓN Y PLAN DE MEJORA CASABACA, Escuela Politécnica Nacional. Quito, 2012 · H. Enrique, Auditoria en Informática, 2da Edición, México: McGraw - Hill, 2001 · ECHENIQUE, García José Antonio. “Auditoría en Informática”, McGraw – Hill. España. 1990. 108 ANEXOS 109 ANEXO 1: ESTATUTO ORGANICO DE GESTION ORGANIZACIONAL POR PROCESOS 110 111 112 113 114 ANEXO 2: NORMAS DE CONTROL INTERNO ACUERDO 039 – NORMA 410 Energía, es el recurso que se encuentra asociado al movimiento, conjuntamente con la materia, forma el cosmos. La unidad de gestión ambiental, evaluará las manifestaciones de la energía, pues se la define únicamente en función de sus efectos, como la capacidad de efectuar un trabajo. En el ambiente interesa fundamentalmente la manera de cómo la luz se relaciona con el conjunto de seres vivos y de cómo la energía es transformada dentro de esos seres. 410 TECNOLOGÍA DE LA INFORMACIÓN 410-01 Organización informática Las entidades y organismos del sector público deben estar acopladas en un marco de trabajo para procesos de tecnología de información que aseguren la transparencia y el control, así como el involucramiento de la alta dirección, por lo que las actividades y procesos de tecnología de información de la organización deben estar bajo la responsabilidad de una unidad que se encargue de regular y estandarizar los temas tecnológicos a nivel institucional. La unidad de tecnología de información, estará posicionada dentro de la estructura organizacional de la entidad en un nivel que le permita efectuar las actividades de asesoría y apoyo a la alta dirección y unidades usuarias; así como participar en la toma de decisiones de la organización y generar cambios de mejora tecnológica. Además debe garantizar su independencia respecto de las áreas usuarias y asegurar la cobertura de servicios a todas las unidades de la entidad u organismo. Las entidades u organismos del sector público, establecerán una estructura organizacional de tecnología de información que refleje las necesidades institucionales, la cual debe ser revisada de forma periódica para ajustar las estrategias internas que permitan satisfacer los objetivos planteados y soporten los avances tecnológicos. Bajo este esquema se dispondrá como mínimo de áreas que cubran proyectos tecnológicos, infraestructura tecnológica y soporte interno y externo de ser el caso, considerando el tamaño de la entidad y de la unidad de tecnología. 410-02 Segregación de funciones Las funciones y responsabilidades del personal de tecnología de información y de los usuarios de los sistemas de información serán claramente definidas y formalmente comunicadas para permitir que los roles y responsabilidades asignados se ejerzan con suficiente autoridad y respaldo. La asignación de funciones y sus respectivas responsabilidades garantizarán una adecuada segregación, evitando funciones incompatibles. Se debe realizar dentro de la unidad de tecnología de información la supervisión de roles y funciones del personal dentro de cada unas de las áreas, para gestionar un adecuado rendimiento y evaluar las posibilidades de reubicación e incorporación de nuevo personal. La descripción documentada y aprobada de los puestos de trabajo que conforman la unidad de tecnología de información, contemplará los deberes y responsabilidades, así como las habilidades y experiencia necesarias en cada posición, a base de las cuales se realizará la evaluación del desempeño. Dicha descripción considerará procedimientos que eliminen la dependencia de personal clave. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 73 410–03 Plan informático estratégico de tecnología La unidad de tecnología de la información elaborará e implementará un plan informático estratégico para administrar y dirigir todos los recursos tecnológicos, el mismo que estará alineado con el plan estratégico institucional y éste con el Plan Nacional de Desarrollo y las políticas públicas de gobierno. El plan informático estratégico tendrá un nivel de detalle suficiente para permitir la definición de planes operativos de tecnología de Información y especificará como ésta contribuirá a los objetivos estratégicos de la organización; incluirá un análisis de la situación actual y las propuestas de mejora con la participación de todas las unidades de la organización, se considerará la estructura interna, procesos, infraestructura, comunicaciones, aplicaciones y servicios a brindar, así como la definición de estrategias, riesgos, cronogramas, presupuesto de la inversión y operativo, fuentes de financiamiento y los requerimientos legales y regulatorios de ser necesario. La unidad de tecnología de información elaborará planes operativos de tecnología de la información alineados con el plan estratégico informático y los objetivos estratégicos de la institución, estos planes incluirán los portafolios de proyectos y de servicios, la arquitectura y dirección tecnológicas, las estrategias de migración, los aspectos de contingencia de los componentes de la infraestructura y consideraciones relacionadas con la incorporación de nuevas tecnologías de información vigentes a fin de evitar la obsolescencia. Dichos planes asegurarán que se asignen los recursos apropiados de la función de servicios de tecnología de información a base de lo establecido en su plan estratégico. El plan estratégico y los planes operativos de tecnología de información, así como el presupuesto asociado a éstos serán analizados y aprobados por la máxima autoridad de la organización e incorporados al presupuesto anual de la organización; se actualizarán de manera permanente, además de ser monitoreados y evaluados en forma trimestral para determinar su grado de ejecución y tomar las medidas necesarias en caso de desviaciones. 410-04 Políticas y procedimientos La máxima autoridad de la entidad aprobará las políticas y procedimientos que permitan organizar apropiadamente el área de tecnología de información y asignar el talento humano calificado e infraestructura tecnológica necesaria. La unidad de tecnología de información definirá, documentará y difundirá las políticas, estándares y procedimientos que regulen las actividades relacionadas con tecnología de información y comunicaciones en la organización, estos se actualizarán permanentemente e incluirán las tareas, los responsables de su ejecución, los procesos de excepción, el enfoque de cumplimiento y el control de los procesos que están normando, así como, las sanciones administrativas a que hubiere lugar si no se cumplieran. Temas como la calidad, seguridad, confidencialidad, controles internos, propiedad intelectual, firmas electrónicas y mensajería de datos, legalidad del software, entre otros, serán considerados dentro de las políticas y procedimientos a definir, los cuales además, estarán alineados con las leyes conexas emitidas por los organismos competentes y estándares de tecnología de información. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 74 Será necesario establecer procedimientos de comunicación, difusión y coordinación entre las funciones de tecnología de información y las funciones propias de la organización. Se incorporarán controles, sistemas de aseguramiento de la calidad y de gestión de riesgos, al igual que directrices y estándares tecnológicos. Se implantarán procedimientos de supervisión de las funciones de tecnología de información, ayudados de la revisión de indicadores de desempeño y se medirá el cumplimiento de las regulaciones y estándares definidos. La unidad de tecnología de información deberá promover y establecer convenios con otras organizaciones o terceros a fin de promover y viabilizar el intercambio de información interinstitucional, así como de programas de aplicación desarrollados al interior de las instituciones o prestación de servicios relacionados con la tecnología de información. 410-05 Modelo de información organizacional La unidad de tecnología de información definirá el modelo de información de la organización a fin de que se facilite la creación, uso y compartición de la misma; y se garantice su disponibilidad, integridad, exactitud y seguridad sobre la base de la definición e implantación de los procesos y procedimientos correspondientes. El diseño del modelo de información que se defina deberá constar en un diccionario de datos corporativo que será actualizado y documentado de forma permanente, incluirá las reglas de validación y los controles de integridad y consistencia, con la identificación de los sistemas o módulos que lo conforman, sus relaciones y los objetivos estratégicos a los que apoyan a fin de facilitar la incorporación de las aplicaciones y procesos institucionales de manera transparente. Se deberá generar un proceso de clasificación de los datos para especificar y aplicar niveles de seguridad y propiedad. 410-06 Administración de proyectos tecnológicos La unidad de tecnología de información definirá mecanismos que faciliten la administración de todos los proyectos informáticos que ejecuten las diferentes áreas que conformen dicha unidad. Los aspectos a considerar son: 1. Descripción de la naturaleza, objetivos y alcance del proyecto, su relación con otros proyectos institucionales, sobre la base del compromiso, participación y aceptación de los usuarios interesados. 2. Cronograma de actividades que facilite la ejecución y monitoreo del proyecto que incluirá el talento humano (responsables), tecnológicos y financieros además de los planes de pruebas y de capacitación correspondientes. 3. La formulación de los proyectos considerará el Costo Total de Propiedad CTP; que incluya no sólo el costo de la compra, sino los costos directos e indirectos, los beneficios relacionados con la compra de equipos o programas informáticos, aspectos del uso y mantenimiento, formación para el personal de soporte y usuarios, así como el costo de operación y de los equipos o trabajos de consultoría necesarios. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 75 4. Para asegurar la ejecución del proyecto se definirá una estructura en la que se nombre un servidor responsable con capacidad de decisión y autoridad y administradores o líderes funcionales y tecnológicos con la descripción de sus funciones y responsabilidades. 5. Se cubrirá, como mínimo las etapas de: inicio, planeación, ejecución, control, monitoreo y cierre de proyectos, así como los entregables, aprobaciones y compromisos formales mediante el uso de actas o documentos electrónicos legalizados. 6. El inicio de las etapas importantes del proyecto será aprobado de manera formal y comunicado a todos los interesados. 7. Se incorporará el análisis de riesgos. Los riesgos identificados serán permanentemente evaluados para retroalimentar el desarrollo del proyecto, además de ser registrados y considerados para la planificación de proyectos futuros. 8. Se deberá monitorear y ejercer el control permanente de los avances del proyecto. 9. Se establecerá un plan de control de cambios y un plan de aseguramiento de calidad que será aprobado por las partes interesadas. 10. El proceso de cierre incluirá la aceptación formal y pruebas que certifiquen la calidad y el cumplimiento de los objetivos planteados junto con los beneficios obtenidos. 410-07 Desarrollo y adquisición de software aplicativo La unidad de tecnología de información regulará los procesos de desarrollo y adquisición de software aplicativo con lineamientos, metodologías y procedimientos. Los aspectos a considerar son: 1. La adquisición de software o soluciones tecnológicas se realizarán sobre la base del portafolio de proyectos y servicios priorizados en los planes estratégico y operativo previamente aprobados considerando las políticas públicas establecidas por el Estado, caso contrario serán autorizadas por la máxima autoridad previa justificación técnica documentada. 2. Adopción, mantenimiento y aplicación de políticas públicas y estándares internacionales para: codificación de software, nomenclaturas, interfaz de usuario, interoperabilidad, eficiencia de desempeño de sistemas, escalabilidad, validación contra requerimientos, planes de pruebas unitarias y de integración. 3. Identificación, priorización, especificación y acuerdos de los requerimientos funcionales y técnicos institucionales con la participación y aprobación formal de las unidades usuarias. Esto incluye, tipos de usuarios, requerimientos de: entrada, definición de interfaces, archivo, procesamiento, salida, control, seguridad, plan de pruebas y trazabilidad o pistas de auditoría de las transacciones en donde aplique. 4. Especificación de criterios de aceptación de los requerimientos que cubrirán la definición de las necesidades, su factibilidad tecnológica y económica, el análisis de riesgo y de costo-beneficio, la estrategia de desarrollo o compra del software de aplicación, así como el tratamiento que se dará a aquellos procesos de emergencia que pudieran presentarse. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 76 5. En los procesos de desarrollo, mantenimiento o adquisición de software aplicativo se considerarán: estándares de desarrollo, de documentación y de calidad, el diseño lógico y físico de las aplicaciones, la inclusión apropiada de controles de aplicación diseñados para prevenir, detectar y corregir errores e irregularidades de procesamiento, de modo que éste, sea exacto, completo, oportuno, aprobado y auditable. Se considerarán mecanismos de autorización, integridad de la información, control de acceso, respaldos, diseño e implementación de pistas de auditoría y requerimientos de seguridad. La especificación del diseño considerará las arquitecturas tecnológicas y de información definidas dentro de la organización. 6. En caso de adquisición de programas de computación (paquetes de software) se preverán tanto en el proceso de compra como en los contratos respectivos, mecanismos que aseguren el cumplimiento satisfactorio de los requerimientos de la entidad. Los contratos tendrán el suficiente nivel de detalle en los aspectos técnicos relacionados, garantizar la obtención de las licencias de uso y/o servicios, definir los procedimientos para la recepción de productos y documentación en general, además de puntualizar la garantía formal de soporte, mantenimiento y actualización ofrecida por el proveedor. 7. En los contratos realizados con terceros para desarrollo de software deberá constar que los derechos de autor será de la entidad contratante y el contratista entregará el código fuente. En la definición de los derechos de autor se aplicarán las disposiciones de la Ley de Propiedad Intelectual. Las excepciones serán técnicamente documentadas y aprobadas por la máxima autoridad o su delegado. 8. La implementación de software aplicativo adquirido incluirá los procedimientos de configuración, aceptación y prueba personalizados e implantados. Los aspectos a considerar incluyen la validación contra los términos contractuales, la arquitectura de información de la organización, las aplicaciones existentes, la interoperabilidad con las aplicaciones existentes y los sistemas de bases de datos, la eficiencia en el desempeño del sistema, la documentación y los manuales de usuario, integración y planes de prueba del sistema. 9. Los derechos de autor del software desarrollado a la medida pertenecerán a la entidad y serán registrados en el organismo competente. Para el caso de software adquirido se obtendrá las respectivas licencias de uso. 10. Formalización con actas de aceptación por parte de los usuarios, del paso de los sistemas probados y aprobados desde el ambiente de desarrollo/prueba al de producción y su revisión en la post-implantación. 11. Elaboración de manuales técnicos, de instalación y configuración; así como de usuario, los cuales serán difundidos, publicados y actualizados de forma permanente. 410-08 Adquisiciones de infraestructura tecnológica La unidad de tecnología de información definirá, justificará, implantará y actualizará la infraestructura tecnológica de la organización para lo cual se considerarán los siguientes aspectos: 1. Las adquisiciones tecnológicas estarán alineadas a los objetivos de la organización, principios de calidad de servicio, portafolios de proyectos y servicios, y constarán en el plan anual de contrataciones aprobado de la institución, caso contrario serán autorizadas por la máxima autoridad previa justificación técnica documentada. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 77 2. La unidad de tecnología de información planificará el incremento de capacidades, evaluará los riesgos tecnológicos, los costos y la vida útil de la inversión para futuras actualizaciones, considerando los requerimientos de carga de trabajo, de almacenamiento, contingencias y ciclos de vida de los recursos tecnológicos. Un análisis de costo beneficio para el uso compartido de Data Center con otras entidades del sector público, podrá ser considerado para optimizar los recursos invertidos. 3. En la adquisición de hardware, los contratos respectivos, tendrán el detalle suficiente que permita establecer las características técnicas de los principales componentes tales como: marca, modelo, número de serie, capacidades, unidades de entrada/salida, entre otros, y las garantías ofrecidas por el proveedor, a fin de determinar la correspondencia entre los equipos adquiridos y las especificaciones técnicas y requerimientos establecidos en las fases precontractual y contractual, lo que será confirmado en las respectivas actas de entrega/recepción. 4. Los contratos con proveedores de servicio incluirán las especificaciones formales sobre acuerdos de nivel de servicio, puntualizando explícitamente los aspectos relacionados con la seguridad y confidencialidad de la información, además de los requisitos legales que sean aplicables. Se aclarará expresamente que la propiedad de los datos corresponde a la organización contratante. 410-09 Mantenimiento y control de la infraestructura tecnológica La unidad de tecnología de información de cada organización definirá y regulará los procedimientos que garanticen el mantenimiento y uso adecuado de la infraestructura tecnológica de las entidades. Los temas a considerar son: 1. Definición de procedimientos para mantenimiento y liberación de software de aplicación por planeación, por cambios a las disposiciones legales y normativas, por corrección y mejoramiento de los mismos o por requerimientos de los usuarios. 2. Los cambios que se realicen en procedimientos, procesos, sistemas y acuerdos de servicios serán registrados, evaluados y autorizados de forma previa a su implantación a fin de disminuir los riesgos de integridad del ambiente de producción. El detalle e información de estas modificaciones serán registrados en su correspondiente bitácora e informados a todos los actores y usuarios finales relacionados, adjuntando las respectivas evidencias. 3. Control y registro de las versiones del software que ingresa a producción. 4. Actualización de los manuales técnicos y de usuario por cada cambio o mantenimiento que se realice, los mismos que estarán en constante difusión y publicación. 5. Se establecerán ambientes de desarrollo/pruebas y de producción independientes; se implementarán medidas y mecanismos lógicos y físicos de seguridad para proteger los recursos y garantizar su integridad y disponibilidad a fin de proporcionar una infraestructura de tecnología de información confiable y segura. 6. Se elaborará un plan de mantenimiento preventivo y/o correctivo de la infraestructura tecnológica sustentado en revisiones periódicas y monitoreo en función de las necesidades organizacionales (principalmente en las aplicaciones críticas de la organización), estrategias de actualización de hardware y software, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 78 7. Se mantendrá el control de los bienes informáticos a través de un inventario actualizado con el detalle de las características y responsables a cargo, conciliado con los registros contables. 8. El mantenimiento de los bienes que se encuentren en garantía será proporcionado por el proveedor, sin costo adicional para la entidad. 410-10 Seguridad de tecnología de información La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes medidas: 1. Ubicación adecuada y control de acceso físico a la unidad de tecnología de información y en especial a las áreas de: servidores, desarrollo y bibliotecas; 2. Definición de procedimientos de obtención periódica de respaldos en función a un cronograma definido y aprobado; 3. En los casos de actualización de tecnologías de soporte se migrará la información a los medios físicos adecuados y con estándares abiertos para garantizar la perpetuidad de los datos y su recuperación; 4. Almacenamiento de respaldos con externos a la organización; información crítica y/o sensible en lugares 5. Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados. 6. Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire contralado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros; 7. Consideración y disposición de sitios de procesamiento alternativos. 8. Definición de procedimientos de seguridad a observarse por parte del personal que trabaja en turnos por la noche o en fin de semana. 410-11 Plan de contingencias Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal relacionado. Los aspectos a considerar son: 1. Plan de respuesta a los riesgos que incluirá la definición y asignación de roles críticos para administrar los riesgos de tecnología de información, escenarios de contingencias, la responsabilidad específica de la seguridad de la información, la seguridad física y su cumplimiento. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 79 2. Definición y ejecución de procedimientos de control de cambios, para asegurar que el plan de continuidad de tecnología de información se mantenga actualizado y refleje de manera permanente los requerimientos actuales de la organización. 3. Plan de continuidad de las operaciones que contemplará la puesta en marcha de un centro de cómputo alterno propio o de uso compartido en un data Center Estatal, mientras dure la contingencia con el restablecimiento de las comunicaciones y recuperación de la información de los respaldos. 4. Plan de recuperación de desastres que comprenderá: Actividades previas al desastre (bitácora de operaciones) Actividades durante el desastre (plan de emergencias, entrenamiento) Actividades después del desastre. 5. Es indispensable designar un comité con roles específicos y nombre de los encargados de ejecutar las funciones de contingencia en caso de suscitarse una emergencia. 6. El plan de contingencias será un documento de carácter confidencial que describa los procedimientos a seguir en caso de una emergencia o fallo computacional que interrumpa la operatividad de los sistemas de información. La aplicación del plan permitirá recuperar la operación de los sistemas en un nivel aceptable, además de salvaguardar la integridad y seguridad de la información. 7. El plan de contingencias aprobado, será difundido entre el personal responsable de su ejecución y deberá ser sometido a pruebas, entrenamientos y evaluaciones periódicas, o cuando se haya efectuado algún cambio en la configuración de los equipos o el esquema de procesamiento. 410-12 Administración de soporte de tecnología de información La unidad de tecnología de información definirá, aprobará y difundirá procedimientos de operación que faciliten una adecuada administración del soporte tecnológico y garanticen la seguridad, integridad, confiabilidad y disponibilidad de los recursos y datos, tanto como la oportunidad de los servicios tecnológicos que se ofrecen. Los aspectos a considerar son: 1. Revisiones periódicas para determinar si la capacidad y desempeño actual y futura de los recursos tecnológicos son suficientes para cubrir los niveles de servicio acordados con los usuarios. 2. Seguridad de los sistemas bajo el otorgamiento de una identificación única a todos los usuarios internos, externos y temporales que interactúen con los sistemas y servicios de tecnología de información de la entidad. 3. Estandarización de la identificación, autenticación y autorización de los usuarios, así como la administración de sus cuentas. 4. Revisiones regulares de todas las cuentas de usuarios y los privilegios asociados a cargo de los dueños de los procesos y administradores de los sistemas de tecnología de información. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 80 5. Medidas de prevención, detección y corrección que protejan a los sistemas de información y a la tecnología de la organización de software malicioso y virus informáticos. 6. Definición y manejo de niveles de servicio y de operación para todos los procesos críticos de tecnología de información sobre la base de los requerimientos de los usuarios o clientes internos y externos de la entidad y a las capacidades tecnológicas. 7. Alineación de los servicios claves de tecnología de información con los requerimientos y las prioridades de la organización sustentados en la revisión, monitoreo y notificación de la efectividad y cumplimiento de dichos acuerdos. 8. Administración de los incidentes reportados, requerimientos de servicio y solicitudes de información y de cambios que demandan los usuarios, a través de mecanismos efectivos y oportunos como mesas de ayuda o de servicios, entre otros. 9. Mantenimiento de un repositorio de diagramas y configuraciones de hardware y software actualizado que garantice su integridad, disponibilidad y faciliten una rápida resolución de los problemas de producción. 10. Administración adecuada de la información, librerías de software, respaldos y recuperación de datos. 11. Incorporación de mecanismos de seguridad aplicables a la recepción, procesamiento, almacenamiento físico y entrega de información y de mensajes sensitivos, así como la protección y conservación de información utilizada para encriptación y autenticación. 410-13 Monitoreo y evaluación de los procesos y servicios Es necesario establecer un marco de trabajo de monitoreo y definir el alcance, la metodología y el proceso a seguir para monitorear la contribución y el impacto de tecnología de información en la entidad. La unidad de tecnología de información definirá sobre la base de las operaciones de la entidad, indicadores de desempeño y métricas del proceso para monitorear la gestión y tomar los correctivos que se requieran. La unidad de tecnología de información definirá y ejecutará procedimientos, mecanismos y la periodicidad para la medición, análisis y mejora del nivel de satisfacción de los clientes internos y externos por los servicios recibidos. La unidad de tecnología de información presentará informes periódicos de gestión a la alta dirección, para que ésta supervise el cumplimiento de los objetivos planteados y se identifiquen e implanten acciones correctivas y de mejoramiento del desempeño. 410-14 Sitio web, servicios de internet e intranet Es responsabilidad de la unidad de tecnología de información elaborar las normas, procedimientos e instructivos de instalación, configuración y utilización de los servicios de internet, intranet, correo electrónico y sitio WEB de la entidad, a base de las disposiciones legales y normativas y los requerimientos de los usuarios externos e internos. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 81 La unidad de tecnología de información considerará el desarrollo de aplicaciones web y/o móviles que automaticen los procesos o trámites orientados al uso de instituciones y ciudadanos en general. 410-15 Capacitación informática Las necesidades de capacitación serán identificadas tanto para el personal de tecnología de información como para los usuarios que utilizan los servicios de información, las cuales constarán en un plan de capacitación informático, formulado conjuntamente con la unidad de talento humano. El plan estará orientado a los puestos de trabajo y a las necesidades de conocimiento específicas determinadas en la evaluación de desempeño e institucionales. 410-16 Comité informático Para la creación de un comité informático institucional, se considerarán los siguientes aspectos: El tamaño y complejidad de la entidad y su interrelación con entidades adscritas. La definición clara de los objetivos que persigue la creación de un comité de informática, como un órgano de decisión, consultivo y de gestión que tiene como propósito fundamental definir, conducir y evaluar las políticas internas para el crecimiento ordenado y progresivo de la tecnología de la información y la calidad de los servicios informáticos, así como apoyar en esta materia a las unidades administrativas que conforman la entidad. La conformación y funciones del comité, su reglamentación, la creación de grupos de trabajo, la definición de las atribuciones y responsabilidades de los miembros del comité, entre otros aspectos. 410-17 Firmas electrónicas Las entidades, organismos y dependencias del sector público, así como las personas jurídicas que actúen en virtud de una potestad estatal, ajustarán sus procedimientos y operaciones e incorporarán los medios técnicos necesarios, para permitir el uso de la firma electrónica de conformidad con la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su Reglamento. El uso de la firma electrónica en la administración pública se sujetará a las garantías, reconocimiento, efectos y validez señalados en estas disposiciones legales y su normativa secundaria de aplicación. Las servidoras y servidores autorizados por las instituciones del sector público podrán utilizar la firma electrónica contenida en un mensaje de datos para el ejercicio y cumplimiento de las funciones inherentes al cargo público que ocupan. Los aplicativos que incluyan firma electrónica dispondrán de mecanismos y reportes que faciliten una auditoría de los mensajes de datos firmados electrónicamente. a) Verificación de autenticidad de la firma electrónica Es responsabilidad de las servidoras y servidores de las entidades o dependencias del sector público verificar mediante procesos automatizados de validación, que el certificado de la firma electrónica recibida sea emitido por una entidad de certificación de información acreditada y que el mismo se encuentre vigente. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 82 b) Coordinación interinstitucional de formatos para uso de la firma electrónica Con el propósito de que exista uniformidad y compatibilidad en el uso de la firma electrónica, las entidades del sector público sujetos a este ordenamiento coordinarán y definirán los formatos y tipos de archivo digitales que serán aplicables para facilitar su utilización. Las instituciones públicas adoptarán y aplicar los estándares tecnológicos para firmas electrónicas que las entidades oficiales promulguen, conforme a sus competencias y ámbitos de acción. c) Conservación de archivos electrónicos Los archivos electrónicos o mensajes de datos firmados electrónicamente se conservarán en su estado original en medios electrónicos seguros, bajo la responsabilidad del usuario y de la entidad que los generó. Para ello se establecerán políticas internas de manejo y archivo de información digital. d) Actualización de datos de los certificados de firmas electrónicas Las servidoras y servidores de las entidades, organismos y dependencias del sector público titulares de un certificado notificarán a la entidad de certificación de Información sobre cualquier cambio, modificación o variación de los datos que constan en la información proporcionada para la emisión del certificado. Cuando un servidor público deje de prestar sus servicios temporal o definitivamente y cuente con un certificado de firma electrónica en virtud de sus funciones, solicitará a la entidad de certificación de información, la revocación del mismo, además, el superior jerárquico ordenará su cancelación inmediata. El dispositivo portable seguro será considerado un bien de la entidad o dependencia pública y por tanto, a la cesación del servidor, será devuelto con la correspondiente acta de entrega recepción. e) Seguridad de los certificados y dispositivos portables seguros Los titulares de certificados de firma electrónica y dispositivos portables seguros serán responsables de su buen uso y protección. Las respectivas claves de acceso no serán divulgadas ni compartidas en ningún momento. El servidor solicitará la revocación de su certificado de firma electrónica cuando se presentare cualquier circunstancia que pueda comprometer su utilización. f) Renovación del certificado de firma electrónica El usuario solicitará la renovación del certificado de firma electrónica con la debida anticipación, para asegurar la vigencia y validez del certificado y de las actuaciones relacionadas con su uso. g) Capacitación en el uso de las firmas electrónicas La entidad de certificación capacitará, advertirá e informará a los solicitantes y usuarios de los servicios de certificación de información y servicios relacionados con la firma electrónica, respecto de las medidas de seguridad, condiciones, alcances, limitaciones y responsabilidades que deben observar en el uso de los servicios contratados. Esta capacitación facilitará la comprensión y utilización de las firmas electrónicas, en los términos que establecen las disposiciones legales vigentes. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 83 126 ANEXO 3: ANÁLISIS DE PROCESOS , ?*5>*;.5<2<=.6*-.08+2.;78 <.0>;*;:>.5*6.-2,2K7B5*.5*+8;*,2K7-.27/8;6.<.7 ,>*7=8*,87/8;62-*-B-.<.69.I8-.'-.5*.69;.<*<87 =;*7<9*;.7=.<,87*9;8+*,2K798;9*;=.-.5*<9*;=.< 27=.;.<*-*<-.5*<6.=*<5*<6F=;2,*<B5*<*,,287.< ,8;;.,=2?*<7.,.<*;2*< &>9.;?2<*;5*./2,*,2*-.5*,86>72,*,2K7,875*<9*;=.<27=.;.<*-*<?*5>*;58<6.,*72<68<9*;**<.0>;*;5* 9;.,2<2K75*/2*+252-*-B5*./2,*,2*B-.=.;627*;<2<..<=D7,>6952.7-858<;.:>2<2=8<-.58<-2/.;.7=.< 27=.;.<*-8< &>9.;?2<*;5*,86>72,*,2K7,875*<9*;=.< 27=.;.<*-*< #" <=*+5.,.;;85.<B;.<987<*+252-*-.< #" ./272;5*.<=;>,=>;*8;0*72C*=2?* <=*+5.,.;>7*.<=;>,=>;*8;0*72C*=2?*27=.;7*B.A=.7<*:>.;./5.3.5*<7.,.<2-*-.<-.57.08,28B5*< 9;28;2-*-.<-.'695.6.7=*;5*<.<=;>,=>;*<-.0.<=2K7;.:>.;2-*< 9.3,862=F<9*;*9.;62=2;:>.5*=86*-.-.,2<287.<<.55.?.*,*+8-.5*/8;6*6D<./2,*CB./2,2.7=. 98<2+5. <=*+5.,.;*,8;-*;B,86>72,*;;85.<B;.<987<*+252-*-.<-.59.;<87*5-.'*<G,868-.8=;*<9*;=.< 27=.;.<*-*<,87;.<987<*+252-*-.<.75*<',8;98;*=2?*<:>.;./5.3.7,5*;*6.7=.5*<7.,.<2-*-.<0.7.;*5.< -.57.08,28B58<8+3.=2?8<-.'*<G,8685**>=8;2-*-5*<;.<987<*+252-*-.<B5*;.7-2,2K7-.,>.7=*<-.5 9.;<87*5;.5.?*7=. !%!%*%!+% *;*7=2C*;.5.<=*+5.,262.7=8-.>7*,86>72,*,2K7B>7*.5*+8;*,2K7-.27/8;6.<./2,*,.<27,5>B.7-8 6.,*72<68<9*;**<.0>;*;5*,*52-*-B5*,8695.=2=>--.5*27/8;6*,2K7?2025*;5*.5*+8;*,2K78+520*=8;2*-. 27/8;6.<B,;.*;>7*.<=;*=.02*-.,86>72,*,2K7,875*<9*;=.<27=.;.<*-*< <.0>;*;5**-89,2K7-.9;27,2928<-.0.<=2K7-.;.,>;<8<9*;*9.;62=2;>7><8K9=268-.58<;.,>;<8<-.'* 585*;08-.<>,8695.=8,2,58-.?2-*.,87K62,* &>9.;?2<*;58<8+3.=2?8<B6F=;2,*<,5*?.-.58<9;8,.<8<-.0.<=2K7-.;.,>;<8<B.<=*+5.,.;,K68<.;D7 2-.7=2/2,*-8<<.0>2-8<.27/8;6*-8<9*;*<>;.<85>,2K75*<-.<?2*,287.<858<9;8+5.6*< A*627*;B3>C0*;,87=27>*6.7=.58<;.:>2<2=8<*,=>*5.<B/>=>;8<-.,86>72,*,2K7,875*<9*;=.<27=.;.<*-*< B-.5*.5*+8;*,2K7-.27/8;6.<27,5>B.7-8=*7=858<;.:>2<2=8<8+520*=8;28<9.3-.;.0>5*,2K7-. .5*+8;*,2K7-.27/8;6.<,8685*,86>72,*,2K7*8=;8<27=.;.<*-8<<=*+5.,.;58<9;27,2928<-.5* ,86>72,*,2K7 A*627*;B.?*5>*;,87=27>*6.7=.5*7.,.<2-*-*,=>*5B/>=>;*-.58<;.,>;<8<;.5*,287*-8<,87'5*< 89,287.<9*;*5**<207*,2K7-.;.,>;<8<27,5>B.7-8.<=;*=.02*<-.*9;8?2<287*62.7=8B58<9;27,2928<-. *<207*,2K7B0.<=2K79*;*,>6952;-.6*7.;*K9=26*,875*<7.,.<2-*-.<-.5*.69;.<* &>9.;?2<*;58<8+3.=2?8<B5*<6F=;2,*<,5*?.-.58<9;8,.<8<-.0.<=2K7-.;2.<08B.<=*+5.,.;,K685*< -.<?2*,287.<858<9;8+5.6*<<.;D72-.7=2/2,*-8<<.0>2-8<.27/8;6*-8<9*;*<>;.<85>,2K7 ";2.7=*;.5.<=*+5.,262.7=8-.9;D,=2,*<-.0.<=2K7-.;2.<08<9*;*9;898;,287*;>7*<.0>;2-*-;*C87*+5.-. :>.<87*9;892*-*<9*;**<.0>;*;:>.;2.<08'*,=>*578.A,.-..5*9.=2=8-.;2.<08-.587<.38 ";2.7=*;58<9;27,2928<B5*<9;D,=2,*<-.0.<=2K7-.?*58;9*;*98<2+252=*;5*;.*52C*,2K7-.5?*58;K9=268-.5*< 27?.;<287.<'*585*;08-.=8-8<>,2,58-.?2-*.,87K62,8 &>9.;?2<*;58<27-2,*-8;.<,5*?.B<><6F=;2,*<9*;*-.=.;627*;.50;*-8.7:>..57.08,28.<=D0.7.;*7-8.5 ?*58;B58<+.7./2,28<9;.?2<=8<-.58<<.;?2,28<. 27?.;<287.<'-.7=2/2,*;58<9;8+5.6*<<2072/2,*=2?8<B,87<2-.;*;5*<*,,287.<,8;;.,=2?*< A*627*;B.?*5>*;,87=27>*6.7=..5./.,=8-.5;2.<08<8+;..5><8*,=>*5B/>=>;8-.5*<'.75*.69;.<* 87<2-.;*;<2.5*9.=2=8-.;2.<08-.5*.69;.<*.<*9;892*-8B.5;2.<08<8+;..5?*58;-.5*.69;.<* ;.5*,287*-8,87.5><8-.'.<2-.7=2/2,*-8B0.<=287*-8 ?*5>*;,87=27>*6.7=.5*<27?.;<287.<<.;?2,28<B*,=2?8<-.598;=*/8528-.'9*;*-.=.;627*;5*9;8+*+252-*-.*5,*7C*;58<8+3.=2?8<-.5*.69;.<*B*98;=*;?*58;*>7,8<=.;*C87*+5.-.7=2/2,*;B3>C0*;,>*5:>2.; ,*6+28.75*-2;.,,2K7:>.7.,.<2=*<.;-*-**5*0.<=2K79*;*89=262C*;5*,;.*,2K7-.?*58; 7/8;6*;*58<5G-.;.<B8+=.7.;<>*98B8<>*,.9=*,2K7B<>,869;862<8>2*;5*<.<=;>,=>;*<9;8,.<8<B 9;D,=2,*<9*;*.508+2.;78-.'.75G7.*,8758<9;27,2928<68-.58<9*;*5*=86*-.-.,2<287.<B72?.5.<-. *>=8;2-*--2<.I*-8<9*;*.508+2.;78./272;5*27/8;6*,2K77.,.<*;2*9*;*>7*=86*-.-.,2<287.< 27/8;6*-*< &>9.;?2<*;5*.3.,>,2K7B5*./.,=2?2-*--.508+2.;78-.'-.5*.69;.<*7*52C*;<2.5<2<=.6*-.08+2.;78B 58<6.,*72<68<2695.6.7=*-8<27,5>B.7-8.<=;>,=>;*<9;27,2928<B9;8,.<8<.<=D789.;*7-8-./8;6* ./.,=2?*B9;898;,287*7>7*<>9.;?2<2K7*9;892*-*-.' ";2.7=*;5*,86>72,*,2K7,875*<9*;=.< 27=.;.<*-*<B5*.5*+8;*,2K7-.27/8;6.< ?*5>*;58<;.:>2<2=8<-..5*+8;*,2K7-. 27/8;6.<-.5*<9*;=.<27=.;.<*-*< &>9.;?2<*;5*0.<=2K7-.;.,>;<8< ?*5>*;5*0.<=2K7-.;.,>;<8< <.0>;*;:>.5*<*-.,>*-*<B<>/2,2.7=.<,*9*,2-*-.< ;.5*,287*-*<,875*<'9.;<87*<9;8,.<8<B=.,78580G*< .<=D7-2<9872+5.<9*;*<898;=*;./2,*C6.7=.58<8+3.=2?8<-.5* ";2.7=*;5*0.<=2K7-.;.,>;<8< .69;.<**>7,8<=.K9=268 &>9.;?2<*;5*0.<=2K7-.;2.<08< <.0>;*;:>..5*9.=2=8B5*=85.;*7,2**5;2.<08-.5*.69;.<* <87.7=.7-2-8<*;=2,>5*-8<B,86>72,*-8<B:>..5;2.<089*;* ";2.7=*;5*0.<=2K7-.;2.<08< .5?*58;-.5*.69;.<*;.5*,287*-8,87.5><8-.5*<'.< 2-.7=2/2,*-8B0.<=287*-8 ?*5>*;5*0.<=2K7-.;2.<08< &>9.;?2<*;5*89=262C*,2K7-.5?*58; "9=262C*;5*,87=;2+>,2K7*5?*58;-.57.08,28-.<-.58< 9;8,.<8<-.7.08,28-.58<<.;?2,28<'B*,=2?8<-.' ";2.7=*;5*89=262C*,2K7-.5?*58; ;.<>5=*-8-.5*27?.;<2K71.,1*98;'*>78<,8<=.<*,.9=*+5.< ,5*;*;B6*7=.7.;.508+2.;78-.5*62<2K7B5*?2<2K7 ,8;98;*=2?*-.'695.6.7=*;B6*7=.7.;6.,*72<68<B #" .<=287*;.56*;,8 *>=8;2-*-.<9*;*5*0.<=2K7-.5*27/8;6*,2K7B.5><8-.'.7 -.0.<=2K7-.' <.0>;*;5* =;*7<9*;.7,2*1*,2*5*< 9*;=.<27=.;.<*-*< <.0>;*;5* 89=262C*,2K7-.;.,>;<8< <.0>;*;5* 89=262C*,2K7-.5;2.<08 <.0>;*;5* .7=;.0*-.+.7./2,28< ?*5>*;5*.7=;.0*-.?*58; &>9.;?2<*;.5<2<=.6*-.08+2.;78 &%#0! -.7=2/2,*;B,869;86.=.;<.,87=27>*6.7=.,875*<9*;=.<27=.;.<*-*<-.5*.69;.<*-8,>6.7=*;5* ,869;.7<2K7-.58<;.:>.;262.7=8<B;.*52C*;>7*.<=26*,2K7-.5*,=>*5B/>=>;8-2<.I8-.508+2.;78-.'-. 5*.69;.<* )(%%!'%*(#%)&% %.'"%!"&'0!) 7*52C*B*;=2,>5*58<;.:>.;262.7=8<9*;*.508+2.;78-.'-. <.0>;*;.5 5*.69;.<*B987..76*;,1*B6*7=2.7../.,=2?*<5*< .<=*+5.,262.7=8B .<=;>,=>;*<9;8,.<8<B9;D,=2,*</*,252=*-8;.<,87,5*;2-*--. 6*7=.7262.7=8-.56*;,8 ";2.7=*;.5<2<=.6*-.08+2.;78 5*<;.<987<*+252-*-.<B5**>=8;2-*-9*;**5,*7C*;5*62<2K75*< -.;./.;.7,2*-.08+2.;78 6.=*<B8+3.=2?8<-.5*.69;.<* ! ! #8<2,287*;5*,*9*,2-*--.'.75*.<=;>,=>;*8;0*72C*=2?*058+*59*;*;./5.3*;.7.568-.58-..69;.<*5* 2698;=*7,2*-.'.75*8;0*72C*,2K7.<9.,2*56.7=.<>,;2=2,2-*-9*;*5*.<=;*=.02*.69;.<*;2*5B.572?.5-. -.9.7-.7,2*-.'*5G7.*-.;.98;=.-.5"-.+.<.;9;898;,287*5*5*2698;=*7,2*-.5*<'.75*.69;.<* 86>72,*;5*<.7<2+252C*,2K7B5*,869;.7<2K7-.58<8+3.=2?8<B5*-2;.,,2K7-.'*5*<9*;=.<27=.;.<*-*< B><>*;28<9.;=27.7=.<*585*;08-.=8-*5*.69;.<* *7=.7.;58<.5.6.7=8<,*=*52C*-8;.<-.5<2<=.6*-.0.<=2K7B-.5.7=8;78-.,87=;85-.5*'-.5*.69;.<*B 0*;*7=2C*;:>..<=D727=.0;*-8<B*527.*-8<,875*/258<8/G*B.5.<=25889.;*=2?8-.08+2.;78B-.0.<=2K7-.5* .69;.<*<=8<.5.6.7=8<,*=*52C*-8;.<27,5>B.7>7*,86>72,*,2K7,5*;*-..A9.,=*=2?*<;.:>2<2=8<5 <2<=.6*-.0.<=2K7-.+.;G*/86.7=*;5*,889.;*,2K727=.;-.9*;=*6.7=*5B.5=;*+*38.7.:>2989;868?.;.5 ,>695262.7=8B5*6.38;*,87=27>*B=;*=*;5*<-.<?2*,287.<.7.59;8,.<827,5>2-8<58</*558< <=*+5.,.;>7**;:>2=.,=>;*,86L7,869>.<=*98;58< 9;8,.<8<-.7.08,285*27/8;6*,2K758<-*=8<5*<*952,*,287.< B5*<,*9*<-.5**;:>2=.,=>;*=.,785K02,*-.6*7.;*./2,*CB #"./272;5**;:>2=.,=>;*-.;./.;.7,2* ./2,2.7=.9*;*5*;.*52C*,2K7-.5*<.<=;*=.02*<-.5*.69;.<*B -.'6.-2*7=.5*,;.*,2K7-.68-.58<,5*?.B9;D,=2,*<:>. -.<,;2+*75*<5G7.*<-.9*;=2-*B5*<*;:>2=.,=>;*<8+3.=2?8 ./272;58<;.:>2<2=8<9*;*5*=*A8786G*5*<78;6*<5*< -2;.,=;2,.<58<9;8,.-262.7=8<5*<95*7=255*<B5*<1.;;*62.7=*< B9;898;,287*;>7?G7,>589*;*.<=8<,86987.7=.< .38;*;5* *-.,>*,2K7*>6.7=*;5**0252-*-6.38;*;5*,*52-*--.5* 27/8;6*,2K7B0.7.;*;*18;;8<-.,8<=.<98=.7,2*5.<6.-2*7=. 272,2*=2?*<=*5.<,8685*;.>=252C*,2K7-.+58:>.<-. ,86987.7=.<9*;*58<9;8,.<8<-.,87<=;>,,2K7 #".<=287*;5* *;:>2=.,=>;*.69;.<*;2*5 #" .<*;;855*;5*?2<2K7-.5**;:>2=.,=>;*-. .69;.<* #"86>72,*;5*.<=;*=.02*B5*-2;.,,2K7-.' #"./272;.595*7.<=;*=F02,8B5*183*-.;>=* #"%.*52C*;>7*7D52<2<-.-2/.;.7,2*< #".<=287*;5* .<=;*=.02* #"./272;.58+3.=2?8-.5*<,*9*,2-*-.<-.' #;898;,287*;>7*?2<2K7185G<=2,*-.57.08,28*,=>*5B-.5 .7=8;78-.'5*-2;.,,2K7/>=>;*B5*<272,2*=2?*<7.,.<*;2*< 9*;*620;*;*5.7=8;78-.<.*-89;8?.,1*;58<+58:>.<B ,86987.7=.<-.5*.<=;>,=>;*.69;.<*;2*527,5>B.7-858< <.;?2,28<.A=.;7*52C*-8<B5*<,*9*,2-*-.<;.5*,287*-*<:>. 9.;62=*7>7*;.<9>.<=*D025,87/2*+5.B./2,2.7=.*58< 8+3.=2?8<.<=;*=F02,8< #"?*5>*;.5.7=8;78,*B;.7-262.7=8*,=>*5.< **;:>2=.,=>;*-.;./.;.7,2*-.<,;2+.5*<2=>*,2K7*,=>*5B.58+3.=2?8-.5**;:>2=.,=>;*9*;*58<-862728< 7.08,2827/8;6*,2K7-*=8<*952,*,287.<B=.,78580G* *?2<2K7-.5**;:>2=.,=>;*9;898;,287*>7*9;26.;*-.<,;29,2K7-.*5=872?.5-.5*<*;:>2=.,=>;*<-.9*;=2-*B 8+3.=2?8,>+;2.7-858<-862728<-.7.08,2827/8;6*,2K7-*=8<*952,*,287.<B=.,78580G**?2<2K7-.5* *;:>2=.,=>;*9;898;,287**59;868=8;5*1.;;*62.7=*,5*?.9*;*?.7-.;58<+.7./2,28<-.5*,*9*,2-*9;89>.<=**5*<9*;=.<27=.;.<*-*<-.5*.69;.<**?2<2K7-.5**;:>2=.,=>;*-.27/8;6*,2K7-.<,;2+.,868 7>.?*<,*9*,2-*-.<9.;62=2;D7*5,*7C*;5*<6.=*<-.5*.69;.<*B58<8+3.=2?8<.<=;*=F02,8<B,87<2-.;*5* 9;.8,>9*,287.<-.5*<9*;=.<27=.;.<*-*<.7<>2695.6.7=*,2K7 ./272;.58+3.=2?8-.57.08,285*<,*9*,2-*-.<-.'B58<<.;?2,28<-.'7.,.<*;28<<=8-.+.;G*.<=*;+*<*-8 .7.5.7=.7-262.7=8-.5.7=8;78.69;.<*;2*5B<><7.,.<2-*-.<5*.?*5>*,2K7-.58<*,=>*5.<9;8,.<8<-. 7.08,28.5.7=8;78-.'B58<9;8+5.6*<9;.<.7=*-8<,87<2-.;*7-858<.<=D7-*;.<-.;./.;.7,2*5*< 6.38;.<9;D,=2,*<B5*<=.,78580G*<.6.;0.7=.<89;89>.<=*<-. 2778?*,2K7 -.7=2/2,*;5*<-2/.;.7,2*<.7=;..5.7=8;78*,=>*5B.5-.<.*-8B,87<2-.;*;5**527.*,2K7-.*,=2?8<5*< ,*9*,2-*-.<:>.<898;=*758<<.;?2,28<,8758<;.<>5=*-8<-.7.08,289*;*89=262C*;5*27?.;<2K7B5* >=252C*,2K7-.5*+*<.-.*,=2?8<27=.;78<B.A=.;78<87<2-.;*;58</*,=8;.<,;G=2,8<-.FA2=8:>.*98B*75* .3.,>,2K7-.5*.<=;*=.02* ;.*;>795*7.<=;*=F02,8:>.-./27*.7,889.;*,2K7,875*<9*;=.<27=.;.<*-*<6D<;.5.?*7=.<,K68 58<8+3.=2?8<-.',87=;2+>2;D7*58<8+3.=2?8<.<=;*=F02,8<-.5*.69;.<*7,5>B.7-8,K68'*98B*;D.5 9;80;*6**9;8+*-8-.27?.;<287.<58<9;8,.<8<-.7.08,28<.;?2,28<B*,=2?8<-.'";2.7=*;5*<=.,78580G*< 9*;*-./272;5*<272,2*=2?*<:>.<.;.:>2.;.79*;*,.;;*;5*<-2/.;.7,2*<5*.<=;*=.02*-.*+*<=.,262.7=8B 5*<6.-2-*<:>.<.>=252C*;D79*;*<>9.;?2<*;.5580;8-.58<8+3.=2?8<9*;*-*;9;28;2-*-*5*<272,2*=2?*<B ,86+27*;5*<.7>7*183*-.;>=***5=872?.5 ;.*;,87,2.7,2*B,869;.7<2K7-.57.08,28B-.58<8+3.=2?8<B-2;.,,2K7-.',868<..7,>.7=;* ;./5.3*-*.75*.<=;*=.02*-.'*=;*?F<-.,86>72,*,287.<*5*<9*;=.<27=.;.<*-*<*-.,>*-*<B*58<><>*;28< -.=8-*5*.69;.<* ?*5>*;.5;.7-262.7=8-.57.08,2827=.;78*,=>*5B5*<,*9*,2-*-.<-.'B58<<.;?2,28<.A=.;78< -.'9*;*-.<*;;855*;>7.7=.7-262.7=8-.5**;:>2=.,=>;*.69;.<*;2*5.7;.5*,2K7,87'-.7=2/2,*;58< 9;8+5.6*<:>.<..<=D7.A9.;26.7=*7-8B0.7.;*;;.,86.7-*,287.<.75*<D;.*<:>.9>.-.7+.7./2,2*;<. -..<=*<6.38;*<87<2-.;*;58<*<9.,=8<-2/.;.7,2*-8;.<B5*<89,287.<-.9;8?..-8;.<-.<.;?2,28<B.5 269*,=8/27*7,2.;858<,8<=.<B58<+.7./2,28<98=.7,2*5.<-.>=252C*;<.;?2,28<.A=.;78< ./272;B6*7=.7.;5*<;.<987<*+252-*-.<-.5*9;892.-*--.5*27/8;6*,2K7-*=8<B58<<2<=.6*<-. #" ./272;5*9;892.-*--.5*27/8;6*,2K7-*=8< 27/8;6*,2K7<.0>;*;:>.58<9;892.=*;28<=86*7-.,2<287.<<8+;.5*,5*<2/2,*,2K7-.5*27/8;6*,2K7B58< B-.5<2<=.6* <2<=.6*<B<>9;8=.,,2K7-.*,>.;-8,87.<=*,5*<2/2,*,2K7 ?*5>*;95*72/2,*;B.3.,>=*;5*6.38;*,87=27>*-.9;8,.<8<B<>6*->;.C9*;**<.0>;*;:>.<87,*9*,.<-. .7=;.0*;<.,87/8;6.*58<8+3.=2?8<-.5*.69;.<*-.08+2.;78-.0.<=2K7B-.,87=;8587<2-.;*;5*< -2;.,=;2,.<-.5*2695.6.7=*,2K7-.9;8,.<8<-."'.<=D7-*;.<.6.;0.7=.<;.:>.;262.7=8<-. #" .<=287*;5*6.38;*,87=27>*-.58<9;8,.<8< ,>695262.7=8898;=>72-*-.<-.*>=86*=2C*,2K7B5*;.*526.7=*,2K7-.58<><>*;28<-.58<9;8,.<8<.5 .:>298-.59;8,.<8B8=;*<9*;=.<27=.;.<*-*<,=>*52C*;58<9;8,.<8<B,87<2-.;*;.5269*,=8.758< ,*=*52C*-8;.< -.59;8,.<8 #87.;.76*;,1*9;8,.-262.7=8<9*;*6*7=.7.;.5,>695262.7=8B6.-2,2K7-.5/>7,287*62.7=8-.5*< #" *7=.7.;.5,>695262.7=8,875*<985G=2,*<B 985G=2,*<B8=;8<,*=*52C*-8;.<-.56*;,8-.;./.;.7,2*1*,.;,>6952;5*<,87<.,>.7,2*<-.578,>695262.7=8 8-.5-.<.69.I827*-.,>*-8&.0>2;5*<=.7-.7,2*<B.5;.7-262.7=8B,87<2-.;*;58<.7.5-2<.I8/>=>;8B5* 9;8,.-262.7=8< 6.38;*-.56*;,8-.,87=;85 87<2-.;*;.5.7=8;78*,=>*5B58<9;8,.<8<-.7.08,28-.5*.69;.<**<G,8685*.<=;*=.02*B58<8+3.=2?8< #" 869;.7-.;5*-2;.,,2K7-.5*.69;.<* />=>;8<-.5*,869*IG*'86*;=*6+2F7.7,>.7=*.5.7=8;78.A=.;78*.55*68=2?*-8;.<-.5*27-><=;2* ;.05*6.7=8<;.5.?*7=.<+*<.<9*;*5*,869.=.7,2* #" 86>72,*;58<8+3.=2?8<B5*-2;.,,2K7-. ,5*;*;B6*7=.7.;.508+2.;78-.5*62<2K7B5*?2<2K7 0.<=2K7 ,8;98;*=2?*-.'695.6.7=*;B6*7=.7.;6.,*72<68<B #" .<=287*;.56*;,8 *>=8;2-*-.<9*;*5*0.<=2K7-.5*27/8;6*,2K7B.5><8-.'.7 -.0.<=2K7-.' 5*.69;.<*9*;**98B*;58<8+3.=2?8<-.08+2.;78.7 #" "9=262C*;5*>+2,*,2K7-.5*/>7,2K7-.' ,87<87*7,2*,875*<985G=2,*<B58<9;27,2928<;.,=8;.< #" *7=.7.;58<.5.6.7=8<,*=*52C*-8;.<-.5 <2<=.6*-.0.<=2K7 ! #"?*5>*;.598=.7,2*5-.5*<=.,78580G*< .6.;0.7=.<B5*<2-.*<2778?*-8;*< #"%.,86.7-*;272,2*=2?*<*9;892*-*<*-2,287*5.< #;.9*;*;>79;.<>9>.<=8:>.;./5.3.5*<9;28;2-*-.<-.27?.;<2K7:>.*98B.758<8+3.=2?8<.<=;*=F02,8< +*<*-8.75*,*;=.;*-.9;80;*6*<1*+252=*-8<98;'B<.;?2,28<-.' 695.6.7=*;>79;8,.<8-.=86*-.-.,2<287.<9*;*9;28;2C*;5**<207*,2K7-.;.,>;<8<B-./272;5*<;.05*< 9*;*5*<27?.;<287.<-2<,;.,287*5.<98;9*;=.-.>72-*-.<-.7.08,2827-2?2->*5.<7,5>2;.5><898=.7,2*5-. 9;8?..-8;.<-.<.;?2,28.A=.;78<B,87<2-.;*;5*<89,287.<-.,869;*-.<*;;8558B*5:>25.; #".<=287*;.5 9;.<>9>.<=8B58<,8<=8< 7*52C*;5*<=.,78580G*<.6.;0.7=.<2-.7=2/2,*-*<B>8=;*<<>0.;.7,2*<-.2778?*,2K7'';*+*3*;,875*< 9*;=.<27=.;.<*-*<9*;*?*52-*;5*<<>98<2,287.<<8+;..598=.7,2*5-.5*<7>.?*<=.,78580G*<B5*2778?*,2K7 #"&>9.;?2<*;B.A958;*;.5.7=8;78=.,785K02,8 .<=287*;5*<*,=2?2-*-.</27*7,2.;*<;.5*,287*-*<,875*<' =*7=8.7.57.08,28,868.75*</>7,287.<-.'*+*;,*7-8 #"#;28;2C*;5**<207*,2K7-.;.,>;<8< 9;.<>9>.<=8,8<=.B0.<=2K7-.5+.7./2,28B5*9;28;2C*,2K7-.5 0*<=86.-2*7=..5><8-.9;D,=2,*<9;.<>9>.<=*;2*</8;6*5.<B >7<2<=.6*3><=8B.:>2=*=2?8-.;.9*;=8-.,8<=.<*5* #";.*;B6*7=.7.;9;.<>9>.<=8< .69;.<*87<>5=*;*5*<9*;=.<27=.;.<*-*<9*;*2-.7=2/2,*;B ,87=;85*;58<,8<=.<=8=*5.<B58<+.7./2,28<.7.5,87=.A=8-. 58<95*7.<.<=;*=F02,8<B=D,=2,8<-.'.272,2*;*,,287.< ,8;;.,=2?*<,>*7-8<.*7.,.<*;28 %.*52C*;>7*<>9.;?2<2K7<2<=.6D=2,*B>7.<,*7.8-.5.7=8;78.A=.;78*5*.69;.<*9*;*2-.7=2/2,*; =.,78580G*<.6.;0.7=.<:>.=.70*7.598=.7,2*5-.,;.*;?*58;98;.3.6958;.*52C*7-85*.<=;*=.02* ,8;98;*=2?*89=262C*7-8,8<=.<.?2=*7-85*8+<85.<,.7,2*B,*=*52C*7-8-.>7*6.38;6*7.;*58<9;8,.<8< ,8;98;*=2?8<B-.'&>9.;?2<*;.56.;,*-85*,869.=.7,2*<.,=8;.<27-><=;2*5.<B=.7-.7,2*<5.0*5.<B ;.0>5*=8;2*<:>.9.;62=*7*7*52C*;=.,78580G*<.6.;0.7=.<82-.*<2778?*-8;*<.7.5,87=.A=8.69;.<*;2*5 ';*+*3*;3>7=8*5*<9*;=.<27=.;.<*-*<9*;*.7=.7-.;<><;.=8< *7=.7.;>7.7=.7-262.7=8*-.,>*-8-.5* #" *7=.7.;>7.7=.7-262.7=8-.5.7=8;78-.5* .<=;*=.02*,8;98;*=2?*B-.5.7=8;78,869.=2=2?8*<G,868-.8=;*<;.<=;2,,287.<-.68-8:>.5*< .69;.<* 898;=>72-*-.<1*+252=*-*<98;5*<7>.?*<=.,78580G*<9>.-*7<.;2-.7=2/2,*-*< ;.*;>7.7=8;78:>.<.*9;892,289*;*5*2778?*,2K7,87<2-.;*7-85*,>5=>;*5*0;*=2/2,*,2K75* ,85*+8;*,2K758</8;8<=.,785K02,8<B58<6.,*72<68<9*;*9;868?.;B,*9=*;2-.*<-.58<.695.*-8< #" ;.*;>7.7=8;78/*?8;*+5.9*;*5*2778?*,2K7 #".<=287*;.5 98;=*/8528 *7=.7.;>7,878,262.7=8-.5*=.,78580G*-.5*27/8;6*,2K7 B5*<=.7-.7,2*<;.5*,287*-*<,87.5<.;?2,282-.7=2/2,*;5*< 898;=>72-*-.<-.2778?*,2K7B95*72/2,*;5*6*7.;*-. +.7./2,2*;<.-.5*2778?*,2K7.7;.5*,2K7,875*<7.,.<2-*-.< -.57.08,287*52C*;,>D5.<<875*<898;=>72-*-.<9*;*5* 2778?*,2K7.69;.<*;2*58:>F6.38;*9>.-.,;.*;<.,875*< 7>.?*<=.,78580G*<<.;?2,28<82778?*,287.<.69;.<*;2*5.< /*,252=*-*<98;'*<G,868*=;*?F<-.5*<=.,78580G*<B* .A2<=.7=.<B98;5*2778?*,2K7.79;8,.<8<.69;.<*;2*5.<B-. '7/5>2;.75*95*72/2,*,2K7.<=;*=F02,*B.75*<-.,2<287.<-. 5**;:>2=.,=>;*-..69;.<* *9;8?2<2K7-.58<<.;?2,28<-.*;:>2=.,=>;*.69;.<*;2*527,5>B.5*<0>G*<B<>9.;?2<2K7-.58<9;8B.,=8<* 2695.6.7=*;5*/8;6*52C*,2K7-.5*<6*7.;*<-.=;*+*3*;6.-2*7=.58<,87=;*=8<-.*;:>2=.,=>;*5*6.-2,2K7 B,86>72,*,2K7-.58<?*58;.<*98;=*-8<98;5**;:>2=.,=>;*B5*<>9.;?2<2K7-.5,>695262.7=8 #"#;8?..;58<<.;?2,28<-.*;:>2=.,=>;* .69;.<*;2*5 ;.*;>795*7-.2695.6.7=*,2K7B-.620;*,2K7?2*+5.*,8;-.,875*,*;=.;*-.9;8B.,=8<B9;80;*6*< <.0>;*;<.:>..595*7.<=D,88;-27*-8-.,.;,*9*;**<.0>;*;:>.<.9;898;,287*.5?*58;B:>.<.-2<987.7 -.58<;.,>;<8<7.,.<*;28<9*;*/27*52C*;58<=;*+*38< %*,287*52C*;5*<-.<?2*,287.<.7=;.5*<*;:>2=.,=>;*<-.;./.;.7,2*B8+3.=2?8,87<2-.;*7-8=*7=85* 9.;<9.,=2?*=F,72,*,8685*-.57.08,28B*0;>9D7-858<**6+8<.79*:>.=.<-.=;*+*38-.59;8B.,=8 7=.0;*;.59;8B.,=8,87=8-8<58<9;80;*6*<-.27?.;<2K7;.5*,287*-8<,87'9*;**<.0>;*;:>.5*<272,2*=2?*< ;.5*,287*-*<,875**;:>2=.,=>;*.<=F7*527.*-*<B:>..<=*<272,2*=2?*<<.*79*;=.-.5,*6+280.7.;*5.75* .69;.<**,.;-..558>7.</>.;C8.7,85*+8;*,2K7,875*<9*;=.<27=.;.<*-*<,5*?.-.5*.69;.<*B.7' 9*;*.?*5>*;.50;*-8-.9;.9*;*,2K7-.5*.69;.<*9*;*<>=;*7</8;6*,2K7.2-.7=2/2,*;5*<898;=>72-*-.< <85>,287.<B=8-*<5*<;.<=;2,,287.<-.5*2695.6.7=*,2K7 ?*5>*;B<>9.;?2<*;58<;.<>5=*-8<-.5*<9;>.+*<-.,87,.9=8B<2<87/*?8;*+5.<0.7.;*;;.,86.7-*,287.< 9*;*6D<272,2*=2?*<B8+=.7.;.5<898;=.-.5*<9*;=.<27=.;.<*-*< &>9.;?2<*;5*2695.6.7=*,2K7B.5><8-.5*<=.,78580G*<.6.;0.7=.<->;*7=.5*27=.0;*,2K7*-89,2K7B #"&>9.;?2<*;5*2695.6.7=*,2K7B.5><8-.5* ->;*7=.=8-8.5,2,58-.?2-*.,87K62,89*;*0*;*7=2C*;:>.<.9;8->,.758<+.7./2,28<9;86.=2-8<B9*;* 2778?*,2K7 2-.7=2/2,*;5*<5.,,287.<*9;.7-2-*< %.?2<*;B0*;*7=2C*;5*,5*;2-*--.5*<.<=;*=.02*<B<.;?2,28<*,=>*5.<,8;98;*=2?8<B-.'./272;>7* 3.,>=*;.5,873>7=8-.-2;.,,287.<.<=;*=F02,*<9*;*5* *-.,>*-*6.C,5*-.27?.;<2K7+*<*-*.758<,8<=.<5**527.*,2K7,875*.<=;*=.02*B6.-2-*</27*7,2.;*< 27?.;<2K7*527.*-*,875*?2<2K7-.5**;:>2=.,=>;*.69;.<*;2*5 #" <=*+5.,.;5*6.C,5*-.58+3.=2?8-.27?.;<2K7 =*5.<,868,8<=.;.=8;78-.27?.;<2K7.<9.;*-8*585*;08-.=8-8.5,2,58-.?2-*.,87K62,80;*-8-.;2.<08 5*<,*;*,=.;G<=2,*<-.<.*-*<-.27?.;<2K758<98;=*/8528<-. B=298-.+.7./2,289*;*58<9;80;*6*<-.598;=*/85283><=*;5*<.<=;*=.02*<,8;98;*=2?*<B-.',>*7-8<.* <.;?2,28<;.5*,287*-8<,87<2-.;*;5*<-2/.;.7=.<,*=.08;G*<-. 7.,.<*;28 27?.;<2K7B;.,>;<8<B5*<;.<=;2,,287.<-./27*7,2*,2K7?*5>*; #".=.;627*;5*-2<9872+252-*-B5*</>.7=.<-. .=.;627*;5*</>.7=.<98=.7,2*5.<-./87-8<-2/.;.7=.<89,287.<-./27*7,2*,2K7B5*<26952,*,287.<-.5*< 9;28;2C*;B.:>252+;*;9;80;*6*<B<.;?2,28<0.<=287*;5* /87-8< />.7=.<-./27*7,2*,2K7<8+;.5*<.A9.,=*=2?*<-.5;.=8;78-.27?.;<2K7 -.6*7-*,8758<;.,>;<8<B;.<=;2,,287.<-./87-8<+*<*-8< .7<>*527.*62.7=8,8758<8+3.=2?8<.<=;*=F02,8<*<G,868.7 *<*-8.758<;.:>2<2=8<-.5*6.C,5*0.7.;*5-.598;=*/8528-.27?.;<2K7.?*5>*;B9;28;2C*;,*<8<-.7.08,28 #"?*5>*;B<.5.,,287*;58<9;80;*6*<*/27*7,2*; <>?*58;B;2.<08,8;98;*=2?8 8?.;58<9;80;*6*< -.9;80;*6*<B-.,2-2;<8+;.5*<9;89>.<=*<-.27?.;<2K7.-2,*;/87-8<.272,2*;58<9;80;*6*< <.5.,,287*-8<*598;=*/8528-.<.;?2,28<*,=2?8<52<=8<9*;*<.; #"&>9.;?2<*;89=262C*;.27/8;6*;<8+;..5 %.0>5*;6.7=.<>9.;?2<*;B89=262C*;.5;.7-262.7=8-.598;=*/8528-.27?.;<287.<B-.58<9;80;*6*< .3.,>=*-8<&>9.;?2<*;.5;.7-262.7=8058+*5-.598;=*/8528-. ;.7-262.7=8-.598;=*/8528-.27?.;<287.< 27-2?2->*5.<*585*;08-.=8-8.5,2,58-.?2-*-.27?.;<2K7 <.;?2,28<B9;80;*6*<9;89872.7-8*3><=.<<2/>.<.7 #" *7=.7.;58<98;=*/8528< *7=.7.;58<98;=*/8528<-.9;80;*6*<B9;8B.,=8<-.27?.;<2K7<.;?2,28<-.'B*,=2?8<-.' 7.,.<*;28<.7;.<9>.<=**5;.7-262.7=8-.9;80;*6*<B &>9.;?2<*;58<+.7./2,28<-.9;898;,287*;B6*7=.7.;<.;?2,28<B,*9*,2-*-.<'*9;892*-*<+*<*-*<.7.5 <.;?2,28<8*5,*6+28.75*<9;28;2-*-.<,8;98;*=2?*< #".<=287*;5*,87<.,>,2K7-.+.7./2,28< ,*<8-.7.08,28*,8;-*-8*,=>*5 <=*+5.,.;B6*7=.7.;>76F=8-8-.,87=*+252C*,2K79*;*=8-8<58<,8<=.<27?.;<287.<B-.9;.,2*,287.< ;.5*,287*-*<,875*<',8689*;=.27=.0;*5-.58<<2<=.6*</27*7,2.;8<.69;.<*;2*5.<B.595*7-.,>.7=*< #" .<=287*;5*</27*7C*<B5*,87=*+252-*9*;**-6272<=;*;5*<27?.;<287.<B58<,8<=.<-.'*9=>;*;B*<207*;58<,8<=.<;.*5.<*7*52C*;5*< -.<?2*,287.<.7=;.5*<9;.?2<287.<B58<,8<=.<;.*5.<.27/8;6*;><*7-858<<2<=.6*<.69;.<*;2*5.<-. 6.-2,2K7/27*7,2.;* #".<=287*;5* 778?*,2K7 #".<=287*;5* *;:>2=.,=>;*.69;.<*;2*5 <=*+5.,.;>7**;:>2=.,=>;*,86L7,869>.<=*98;58< 9;8,.<8<-.7.08,285*27/8;6*,2K758<-*=8<5*<*952,*,287.< B5*<,*9*<-.5**;:>2=.,=>;*=.,785K02,*-.6*7.;*./2,*CB ./2,2.7=.9*;*5*;.*52C*,2K7-.5*<.<=;*=.02*<-.5*.69;.<*B -.'6.-2*7=.5*,;.*,2K7-.68-.58<,5*?.B9;D,=2,*<:>. -.<,;2+*75*<5G7.*<-.9*;=2-*B5*<*;:>2=.,=>;*<8+3.=2?8 ./272;58<;.:>2<2=8<9*;*5*=*A8786G*5*<78;6*<5*< -2;.,=;2,.<58<9;8,.-262.7=8<5*<95*7=255*<B5*<1.;;*62.7=*< #"&.5.,,287*;5*<898;=>72-*-.<B5*<<85>,287.< B9;898;,287*;>7?G7,>589*;*.<=8<,86987.7=.< .38;*;5* *-.,>*,2K7*>6.7=*;5**0252-*-6.38;*;5*,*52-*--.5* 27/8;6*,2K7B0.7.;*;*18;;8<-.,8<=.<98=.7,2*5.<6.-2*7=. 272,2*=2?*<=*5.<,8685*;.>=252C*,2K7-.+58:>.<-. ,86987.7=.<9*;*58<9;8,.<8<-.,87<=;>,,2K7 #"./272;5*2695*7=*,2K7-.5**;:>2=.,=>;* ! ! ! #" .<=287*;58< 9;8?..-8;.< #".<=287*;58< *,>.;-8<-.<.;?2,28 #".<=287*;5*< ;.5*,287.< #".<=287*;58< ;.,>;<8<1>6*78< #".<=287*;.5 9;.<>9>.<=8B58<,8<=8< 695.6.7=*;>79;8,.<8-.0.<=2K7-.,8<=.<,869*;*7-858<,8<=.<;.*5.<,8758<9;.<>9>.<=8<8<,8<=.< -.+.7<.;<>9.;?2<*-8<B,86>72,*-8<B.7.5,*<8-.-.<?2*,287.<2-.7=2/2,*-8<898;=>7*6.7=.*<G,868 .?*5>*-8<>269*,=8.758<9;8,.<8<B<.;?2,28<.69;.<*;2*5.< <=*+5.,.;B>=252C*;>768-.58-.,8<=.<-.'+*<*-8.75*-./272,2K7-.5<.;?2,28*<.0>;*7-8:>.5* *<207*,2K7-.,8<=.<-.58<<.;?2,28<.<2-.7=2/2,*+5.6.-2+5.B9;.-.,2+5.9*;*/86.7=*;.5><8;.<987<*+5. -.58<;.,>;<8<27,5>B.7-8*:>.558<9;898;,287*-8<98;9;8?..-8;.<-.<.;?2,28%.?2<*;;.0>5*;6.7=.B ,869*;*;5*2-87.2-*--.568-.58-.,8<=.<9;8;;*=.8-.,8<=.<9*;*6*7=.7.;<>9.;=27.7,2*B*-.,>*,2K7 *57.08,28.7.?85>,2K7B5*<*,=2?2-*-.<-.':>.5.-*7<898;=. -.7=2/2,*;.59.;<87*5,5*?.-.'*5*?.C:>.<.;.->,.*56G72685*-.9.7-.7,2*-.>7*<85*9.;<87*.75* ;.*52C*,2K7-.>7*/>7,2K7,;G=2,*-.=;*+*386.-2*7=.5*,*9=>;*-.,878,262.7=8-8,>6.7=*,2K7.5 27=.;,*6+28-.,878,262.7=8<5*95*72/2,*,2K7-.5*<>,.<2K7B.5;.<9*5-8+*,4>9-.59.;<87*5 869;.7-.;B;.*52C*;>7<.0>262.7=8-.5*-.6*7-**,=>*5B/>=>;*-.;.,>;<8<1>6*78<9*;*.57.08,28B #"#5*72/2,*;B;.*52C*;>7<.0>262.7=8-.5><8-. ',87;.<987<*+252-*-.<.7',8;98;*=2?*-.7=2/2,*;5*<,*;.7,2*<B9;898;,287*;-*=8<-..7=;*-**58< ;.,>;<8<1>6*78<-.'B-.57.08,28 95*7.<-.*9;8?2<287*62.7=895*7.<-.*+*<=.,262.7=8-.9;8,.<8<-.,87=;*=*,2K7-.57.08,28B-.'B 9;8,.<8<-.,87=;*=*,2K7-.57.08,28B-.' <.0L;.<.-.:>.58<,87<>5=8;.<B.59.;<87*5,87=;*=*-8:>.*98B*7*5*.69;.<*,87,*9*,2-*-.<-.' #".<=287*;.59.;<87*5,87=;*=*-8 ,878,.7B,>695.75*<985G=2,*<-.5*8;0*72C*,2K7*<G,86858<;.:>2<2=8<,87=;*,=>*5.<9;.?2*6.7=. *,8;-*-8< 7=.7-.;.5.7/8:>.B.A9.,=*=2?*<*,=>*5.<-.57.08,289*;*'<.0>;*;:>.58<;.:>2<2=8<<87.7=.7-2-8< #" 7=.7-.;5*<.A9.,=*=2?*<-.57.08,28 .<=287*;5*<;.5*,287.<.7=;..57.08,28B'-.68-8/8;6*5B 0.<=287*-8<B,86>72,*-8<B<>.<=*-8*,8;-*-8B*9;8+*-8 =;*7<9*;.7=..7/8,D7-85*<1*,2*.58+3.=2?8,86L7-. #"-.7=2/2,*;898;=>72-*-.<;2.<08<B -.7=2/2,*;898;=>72-*-.<98=.7,2*5.<9*;*:>.5*'<.*,*=*52C*-8;*-.5*6.38;*-.5;.7-262.7=8 8+=.7.;;.<>5=*-8<.69;.<*;2*5.<.A2=8<8<*98B*7-858< 5262=*,287.<-.'9*;*6.38;*;.57.08,28 .69;.<*;2*5 8+3.=2?8<.<=;*=F02,8<B-.7=;8-.5*<;.<=;2,,287.<-.5 .<=287*;5*;.5*,2K7,8758<,52.7=.<;.9;.<.7=*7=.<-.57.08,28<.0>;*;:>.58<;85.<B;.<987<*+252-*-.< #".<=287*;5*<;.5*,287.<,87.57.08,28 9;.<>9>.<=8B58<;2.<08<=85.;*+5.<*<*;5*;.5*,2K7.75* -.5*;.5*,2K7.<=D7-./272-8<*<207*-8<B<./*,252=*5*,86>72,*,2K7 ,87/2*7C*6>=>*><*7-8=F;6278<.7=.7-2+5.<5.70>*3. ';*+*3*;,875*<9*;=.<27=.;.<*-*<B,88;-27*;-..A=;.68*.A=;.685*.7=;.0*-.58<<.;?2,28<'B5*< #"88;-27*;B,86>72,*; ,86L7B?85>7=*--.*<>62;5*9;892.-*-B;.<987<*+252-*-.7 <85>,287.<9;898;,287*-*<*57.08,28 5*<-.,2<287.<,5*?.< #"#;8?..;-*=8<-..7=;*-*9*;*5*6.38;* .38;*;B.?85>,287*;,87=27>*6.7=.58<<.;?2,28<+*<*-8<.7'B5*.7=;.0*-.5<.;?2,28*5*.69;.<*9*;* ,87=27>*-.58<<.;?2,28< *527.*;58<,87>78<,*6+2*7=.<;.:>2<2=8<-..69;.<*B=.,785K02,8< 7*52C*;58<;.:>2<2=8<-.57.08,28B.568-8.7:>.58<<.;?2,28<'B58<72?.5.<-.<.;?2,28<898;=*758< 9;8,.<8<-.7.08,282<,>=2;B*,8;-*;<.;?2,28<98=.7,2*5.<B72?.5.<-.<.;?2,28,87.57.08,28B #" -.7=2/2,*;<.;?2,28<' ,869*;*;58<,875*,*;=.;**,=>*59*;*2-.7=2/2,*;<.;?2,28<7>.?8<868-2/2,*-8<>89,287.<-.72?.5-. 527.*;58<<.;?2,28<+*<*-8<.7'B58<72?.5.<-.<.;?2,28,87 <.;?2,28 5*<7.,.<2-*-.<B.A9.,=*=2?*<-.5*.69;.<*27,5>B.7-8 ./272;B6*7=.7.;>7886D<,*=D5808<-.<.;?2,28<9*;*0;>98<-.,52.7=.<8+3.=2?8;.5.?*7=.<#>+52,*;B #"*=*580*;<.;?2,28<+*<*-8<.7' 2-.7=2/2,*,2K7.<9.,2/2,*,2K7-2<.I89>+52,*,2K7*,>.;-8B 6*7=.7.;58<<.;?2,28<'*,=2?8<.758<,*=D5808< <>9.;?2<2K7-.58<<.;?2,28<'72?.5.<-.<.;?2,28.27-2,*-8;.< ./272;B9;.9*;*;58<*,>.;-8<-.<.;?2,28+*<D7-8<..75*<89,287.<-.58<,*=D5808<-.<.;?2,287,5>2; #"./272;B9;.9*;*;*,>.;-8<-.<.;?2,28 -.;.7-262.7=8 *,>.;-8<-.72?.5-.89.;*,287.<27=.;78 &>9.;?2<*;58<72?.5.<-.<.;?2,2827/8;6*;-.5*<6.38;*<.2-.7=2/2,*;=.7-.7,2*<#;898;,287*;27/8;6*,2K7 #"&>9.;?2<*;.27/8;6*;-.58<72?.5.<-.<.;?2,28 -.0.<=2K7*-.,>*-*9*;**B>-*;*5*0.<=2K7-.5;.7-262.7=8 #"%.?2<*;*,>.;-8<-.<.;?2,28B,87=;*=8< 5.?*;*,*+8;.?2<287.<9.;2K-2,*<-.58<*,>.;-8<-.<.;?2,28B;.?2<*;58<,>*7-8<.*7.,.<*;28 -.7=2/2,*;9;8?..-8;.<B,87=;*=8<*<8,2*-8<B,*=.08;2C*;58<98;=298;.5.?*7,2*B,;2=2,2-*-<=*+5.,.;>7 #" -.7=2/2,*;B.?*5>*;5*<;.5*,287.<B,87=;*=8< ,;2=.;28-..?*5>*,2K7-.,87=;*=8<B9;8?..-8;.<B.?*5>*;5*,*;=.;*0.7.;*5-.9;8?..-8;.<B,87=;*=8< ,879;8?..-8;.< *,=>*5.<B*5=.;7*=2?8< &.5.,,287*;9;8?..-8;.<-.*,>.;-8*9;D,=2,*<3><=*<B/8;6*5.<:>.*<.0>;.75*<.5.,,2K7-.5:>.6.38;<. -6272<=;*;=8-8<58<<.;?2,28<-.'9;.<=*-8<98;=8-8=298 #" &.5.,,287*;9;8?..-8;.< *-*9=.*58<;.:>2<2=8<8<;.:>2<2=8<-.+.;G*7.<=*;89=262C*-8<,875*<*98;=*,287.<-.7>.?8< -.9;8?..-8;.<9*;*<*=2</*,.;5*<7.,.<2-*-.<-.57.08,28 9;8?..-8;.<98=.7,2*5.< 27,5>B.7-85*<.5.,,2K7-.58<9;8?..-8;.<5*0.<=2K7-.5*< ;.5*,287.<5*0.<=2K7-.58<,87=;*=8<B5*;.?2<2K7B <>9.;?2<2K7-.5-.<.69.I89*;*>7*./2,*,2*B,>695262.7=8 *-.,>*-8< ./272;B0.<=287*;5*<1*+252-*-.<B,869.=.7,2*<7.,.<*;2*<-.59.;<87*5).;2/2,*;;.0>5*;6.7=.:>..5 9.;<87*5=.70*5*<,869.=.7,2*<7.,.<*;2*<9*;*,>6952;,87<></>7,287.<<8+;.5*+*<.-.<>.->,*,2K7 #;898;,287*;>7.7/8:>..<=;>,=>;*-89*;*0*;*7=2C*;>7* #" *7=.7.;5*<1*+252-*-.<B,869.=.7,2*<-.5 /8;6*,2K7B8.A9.;2.7,2*B?.;2/2,*;:>..<=*<,869.=.7,2*<<.6*7=2.7.7,879;80;*6*<-.,*9*,2=*,2K7B K9=26*.<=;>,=>;*,2K7>+2,*,2K7,*9*,2-*-.<-.-.,2<2K7B 9.;<87*5 ,.;=2/2,*,2K7.7<>,*<8#;898;,287*;*58<.695.*-8<*9;.7-2C*3.9.;6*7.7=.B898;=>72-*-.<9*;* 1*+252-*-.<-.58<;.,>;<8<1>6*78<<=827,5>B.5* 6*7=.7.;<><,878,262.7=8<1*+252-*-.<B,869.=.7,2*<*572?.5;.:>.;2-89*;*,87<.0>2;5*<6.=*< ,86>72,*,2K7-.5*</>7,287.<B;.<987<*+252-*-.<-./272-*<5* .69;.<*;2*5.< /8;6*,2K7B95*7.<-.-.<*;;85589.;<87*5B5*<.A9.,=*=2?*<-. 5.?.*,*+8898;=>7*6.7=..?*5>*,287.<-.;.7-262.7=8-.6*7.;*;.0>5*;;.<9.,=8*58<8+3.=2?8< -.<.69.I8,87.5*98B8-.0.7=.,869.=.7=.B68=2?*-* #"?*5>*;.5-.<.69.I85*+8;*5-.58< 27-2?2->*5.<-.;2?*-8<-.58<8+3.=2?8<-.5*.69;.<*5*<78;6*<.<=*+5.,2-*<5*<;.<987<*+252-*-.< .695.*-8< .<9.,G/2,*<-.5=;*+*38B.56*;,8-.1*+252-*-.<B,869.=.7,2*<8<.695.*-8<-.+.;G*7;.,2+2;9;.9*;*,2K7 <8+;..5-.<.69.I8B,87->,=*<2.69;.:>.<.**9;892*-8 #"-.7=2/2,*;9.;<87*5,5*?.-.' ?*5>*;5*<7.,.<2-*-.<-.9.;<87*5.7/8;6*;.0>5*;8.7,*6+28<2698;=*7=.<.75*.69;.<*89.;*=2?8<8 #" *7=.7.;5*-8=*,2K7-.9.;<87*5<>/2,2.7=.B .758<.7=8;78<9*;**<.0>;*;:>.5*.69;.<*=2.7.<>/2,2.7=.<;.,>;<8<1>6*78<9*;**98B*;5*<6.=*<B *-.,>*-* 8+3.=2?8<.69;.<*;2*5.<59.;<87*527,5>B.;.,>;<8<=*7=827=.;78<,868.A=.;78< #".<=287*;,8<=.< .<=287*;5*<*,=2?2-*-.</27*7,2.;*<;.5*,287*-*<,875*<' =*7=8.7.57.08,28,868.75*</>7,287.<-.'*+*;,*7-8 9;.<>9>.<=8,8<=.B0.<=2K7-.5+.7./2,28B5*9;28;2C*,2K7-.5 0*<=86.-2*7=..5><8-.9;D,=2,*<9;.<>9>.<=*;2*</8;6*5.<B >7<2<=.6*3><=8B.:>2=*=2?8-.;.9*;=8-.,8<=.<*5* .69;.<*87<>5=*;*5*<9*;=.<27=.;.<*-*<9*;*2-.7=2/2,*;B ,87=;85*;58<,8<=.<=8=*5.<B58<+.7./2,28<.7.5,87=.A=8-. 58<95*7.<.<=;*=F02,8<B=D,=2,8<-.'.272,2*;*,,287.< ,8;;.,=2?*<,>*7-8<.*7.,.<*;28 #" 8-.5*;B*<207*;,8<=.< ! ! ! ! #" .<=287*;5* <.0>;2-*- ./272;89.;*;B<>9.;?2<*;>7<2<=.6*9*;*5*0.<=2K7-.5* <.0>;2-*--.5*27/8;6*,2K7 -.7=2/2,*;.?*5>*;B;.->,2;58<;2.<08<;.5*,287*-8<,87'-. #" .<=287*;.5;2.<08 /8;6*,87=27>*-.7=;8-.72?.5.<-.=85.;*7,2*.<=*+5.,2-8< 98;5*-2;.,,2K7.3.,>=2?*-.5*.69;.<* ./272;B,86>72,*;58<;.:>2<2=8<-.,*52-*-.7=8-8<58< 9;8,.<8<9;8,.-262.7=8<B;.<>5=*-8<;.5*,287*-8<-.5* #" .<=287*;5*,*52-*- 8;0*72C*,2K727,5>B.7-8,87=;85.<?2025*7,2*,87<=*7=.B.5 ><8-.9;D,=2,*<9;8+*-*<B.<=D7-*;.<-.6.38;*,87=27>*B .</>.;C8<-../2,2.7,2* #" .<=287*;58< 9;8?..-8;.< 8;6*52C*;B0.<=287*;5*<;.5*,287.<,87,*-*9;8?..-8;.<=287*;6*7=.7.;B<>9.;?2<*;58<,87=;*=8<B5* .7=;.0*-.<.;?2,28<<.0>;*;:>.58<7>.?8<,87=;*=8<858<,*6+28<<87,87/8;6.<*5*<78;6*<-.5* .69;.<*5*<5.B.<B5*<;.0>5*,287.<.<=287*;58<,87/52,=8<,87=;*,=>*5.< -.7=2/2,*;B0.<=287*;58<;2.<08<;.5*,287*-8<,875*,*9*,2-*--.58<9;8?..-8;.<-.9;898;,287*;-. 6*7.;*,87=27>*>7*.7=;.0*-.5<.;?2,28<.0>;*./2,*CB./2,2.7=. %.?2<*;9.;2K-2,*6.7=..5;.7-262.7=80.7.;*5-.58<9;8?..-8;.<.5,>695262.7=8,8758<;.:>2<2=8< ,87=;*,=>*5.<B.5?*58;-.589*0*-8B=;*=*;5*<27,2-.7,2*<2-.7=2/2,*-*< #;898;,287*;27/8;6*,2K7<8+;..5.<=*-8*,=>*5-..A98<2,287.<B898;=>72-*-.<;.5*,287*-*<,87'-.>7* /8;6*898;=>7**=8-*<5*<9*;=.<27=.;.<*-*<7.,.<*;2*<9*;*>7*;.<9>.<=**9;892*-* .<=287*;5*<898;=>72-*-.<9*;*;.->,2;.5;2.<08*>772?.5*,.9=*+5.,868>798;=*/8528 #" A9;.<*;.5;2.<08 #" ./272;>798;=*/8528-.*,,287.<9*;*5* 0.<=2K7-.;2.<08< *7=.7.;B,86>72,*;;.0>5*;6.7=.5*7.,.<2-*-B58<+.7./2,28<-.5*6.38;*,87=27>*-.5*<.0>;2-*--. 27/8;6*,2K7%.,85.,=*;B*7*52C*;-*=8<<8+;..5&&B5*6.38;*-.<>./.,=2?2-*-8;;.02;5*<78 ,87/8;62-*-.<9*;*9;.?.72;;.,>;;.7,2*<#;868?.;>7*,>5=>;*-.<.0>;2-*-B-.6.38;*,87=27>* *7=.7.;>7.7/8:>..<=D7-*;9*;*5*0.<=2K7-.9;80;*6*<B9;8B.,=8<:>.98<2+252=.;.?2<287.<B=86*<-. *7=.7.;>7.7/8:>..<=D7-*;9*;*5*0.<=2K7 -.,2<2K7-.08+2.;78B-.0.<=2K7B*,=2?2-*-.<-.0.<=2K7-.5*.7=;.0*.7/8,*-*<.75*,87<.,>,2K7-.?*58; -.9;80;*6*<B9;8B.,=8< B-.8+3.=2?8<;.:>2<2=8<;2.<08<,8<=.<,;8780;*6*B,*52-*-9*;*.57.08,28-.>7*/8;6*,87<2<=.7=. "!&'%(%$(%% # !'% #" &>9.;?2<*;B;.?2<*;.5&& #" %.<987-.;*5;2.<08 %.<987-.;-.>7*/8;6*898;=>7*,876.-2-*<./.,=2?*<:>.5262=.75*6*072=>--.9F;-2-*98;.?.7=8< ;.5*,287*-8<,87' <=*+5.,.;B6*7=.7.;>7&&:>.9;898;,287.>7.7/8:>..<=D7-*;/8;6*5B,87=27>8*5*0.<=2K7-. #" <=*+5.,.;B6*7=.7.;>7&& <.0>;2-*-9*;*5*27/8;6*,2K7=.,78580G*B9;8,.<8<-.7.08,28:>..<=F*527.*-8<,8758<;.:>.;262.7=8<-. 7.08,28B5*0.<=2K7-.<.0>;2-*-.75*.69;.<* *7=.7.;>795*7-.<.0>;2-*--.27/8;6*,2K7:>.-.<,;2+*,K68<.0.<=287*7B*527.*758<;2.<08<-. <.0>;2-*--.27/8;6*,2K7,875*.<=;*=.02*B5**;:>2=.,=>;*-..69;.<*<.0>;*;:>.5*<;.,86.7-*,287.< #" ./272;B0.<=287*;>795*7-.=;*=*62.7=8-.5 9*;*2695.6.7=*;5*<6.38;*<.7<.0>;2-*-<.+*<*7.7,*<8<-.7.08,28*9;8+*-8<<.2695.6.7=*7,868 ;2.<08-.5*<.0>;2-*--.5*27/8;6*,2K7 9*;=.27=.0;*5-.5-.<*;;8558-.<85>,287.<B<.;?2,28<B<.89.;*7-.<9>F<,8689*;=.27=.0;*5-.5*< 89.;*,287.<-.57.08,28 *7=.7.;>727?.7=*;28-.5;2.<08,878,2-8B*=;2+>=8<-.;2.<0827,5>B.7-8/;.,>.7,2*.<9.;*-*269*,=8 98=.7,2*5B;.<9>.<=*<B-.8=;8<;.,>;<8<,*9*,2-*-.<B*,=2?2-*-.<-.,87=;85*,=>*5.<;.5*,287*-8< *7=.7.;B,86>72,*;;.0>5*;6.7=.>795*7-.5*,*52-*-058+*5:>.9;86>.?*5*6.38;*,87=27>*<=8 -.+.;G*27,5>2;5*7.,.<2-*-B58<+.7./2,28<-.>7*6.38;*,87=27>*%.,80.;B*7*52C*;-*=8<<8+;..5&B 6.38;*;<>./2,*,2*8;;.02;5*<78,87/8;62-*-.<9*;*9;.?.72;5*;.,>;;.7,2*#;868?.;>7*,>5=>;*-. 6.38;*,87=27>*-.5*,*52-*- -.7=2/2,*;B;.,8925*;-*=8<;.5.?*7=.<9*;*,*=*52C*;>7*2-.7=2/2,*,2K7*7D52<2<B78=2/2,*,2K7./.,=2?*-. ;2.<08<;.5*,287*-8<,87' .<*;;855*;27/8;6*,2K7L=259*;*<898;=*;5*<-.,2<287.<;.5*,287*-*<,87.5;2.<08:>.=86.7.7,>.7=*5* ;.5.?*7,2*9*;*.57.08,28-.58</*,=8;.<-.;2.<08 #" *7=.7.;>79.;/25-.;2.<08 #" 7*52C*;.5;2.<08 #" %.,8925*;-*=8< #" *7=.7.;>7*6.38;*,87=27>* #" 7=.0;*;5*0.<=2K7-.5*,*52-*-.75* 7,8;98;*;5*<9;D,=2,*<9.;=27.7=.<-.0.<=2K7-.5*,*52-*-.75*-./272,2K7<>9.;?2<2K778=2/2,*,2K7B 2695.6.7=*,2K7-.<85>,287.<B5*.7=;.0*-.<.;?2,28< 0.<=2K7,87=27>*-.58<-.<*;;8558-.<85>,287.<B58<<.;?2,28<8/;.,2-8< -.7=2/2,*;B6*7=.7.;58<;.:>2<2=8<78;6*<9;8,.-262.7=8<B9;D,=2,*<-.58<9;8,.<8<,5*?.9*;*8;2.7=*;* #" ./272;B0.<=287*;58<.<=D7-*;.<9;8,.<8<B 5*8;0*72C*,2K7.7.5,>695262.7=8-.5&<=.-.+.;G*.<=*;.7,87<87*7,2*,8758<;.:>2<2=8<-.56*;,8-. 9;D,=2,*<-.,*52-*,87=;85'87<2-.;*;5*98<2+252-*--.,.;=2/2,*;58<9;8,.<8<5*<>72-*-.<-.5*8;0*72C*,2K758<9;8->,=8<8 58<<.;?2,28<,5*?. 7/8,*;5*0.<=2K7-.5*,*52-*-.758<,52.7=.<6.-2*7=.5*-.=.;627*,2K7-.<><7.,.<2-*-.<B*<.0>;*;.5 #" 7/8,*;5*0.<=2K7-.5*,*52-*-.758<,52.7=.< *527.*62.7=8,875*<9;D,=2,*<-.0.<=2K7-.,*52-*- &>9.;?2<*;5*,*52-*--.58<9;8,.<8<B<.;?2,28<-./8;6*9.;6*7.7=.,868<.-./27*.7.5&./272; #" &>9.;?2<*;B1*,.;,87=;85.<B;.?2<287.<-. 95*72/2,*;B*952,*;6.-2-*<9*;*<>9.;?2<*;5*<*=2</*,,2K7-.5,52.7=.,875*,*52-*-*<G,868.5?*58;:>. 9;898;,287*.5&*27/8;6*,2K7;.,802-*-.+.;G*<.;>=252C*-*98;58<9;892.=*;28<-.58<9;8,.<8<9*;* ,*52-*- 6.38;*;5*,*52-*- <=*+5.,.;B6*7=.7.;>7&:>.9;898;,287.>7**9;8A26*,2K7*5*0.<=2K7-.5*,*52-*-9*;*5* #" <=*+5.,.;>7<2<=.6*-.0.<=2K7-.5*,*52-*27/8;6*,2K75*=.,78580G*B58<9;8,.<8<-.7.08,28:>.<.*,87=27>*.<=*7-*;2C*-*/8;6*5B:>..<=F & *527.*-*,8758<;.:>.;262.7=8<-.57.08,28B,875*0.<=2K7-.5*,*52-*-*72?.5,8;98;*=2?8 #" &>9.;?2<*;.5,>695262.7=8B.5;.7-262.7=8 -.59;8?..-8; -6272<=;*;=8-8<58<<.;?2,28<-.'9;.<=*-8<98;=8-8=298 -.9;8?..-8;.<9*;*<*=2</*,.;5*<7.,.<2-*-.<-.57.08,28 27,5>B.7-85*<.5.,,2K7-.58<9;8?..-8;.<5*0.<=2K7-.5*< ;.5*,287.<5*0.<=2K7-.58<,87=;*=8<B5*;.?2<2K7B #" .<=287*;,87=;*=8<B;.5*,287.<,87 <>9.;?2<2K7-.5-.<.69.I89*;*>7*./2,*,2*B,>695262.7=8 9;8?..-8;.< *-.,>*-8< #" .<=287*;.5;2.<08.7.5<>6272<=;8 ! ! .<=287*;5* -./272,2K7-.;.:>2<2=8< .<=287*; 9;80;*6*<B9;8B.,=8< 8;6>5*;>79;80;*6*9*;*-./272;5*<+*<.<272,2*5.<B98<2,287*;589*;*>7*.3.,>,2K7.A2=8<*6.-2*7=.5* /8;6*52C*,2K7-.5*5,*7,.-.5=;*+*38*<.;./.,=>*-8.2-.7=2/2,*7-858<.7=;.0*+5.<:>.<*=2</*;D7<>< 8+3.=2?8<B5*.7=;.0*-.?*58; *7=.7.;B*,=>*52C*;.595*7-.59;80;*6*B.5,*<8-.7.08,28*585*;08-.5 ,2,58-.?2-*.,87K62,8,8695.=8-.59;80;*6**<.0>;*7-8.5*527.*62.7=8,8758<8+3.=2?8<.<=;*=F02,8<B ;./5.3*7-8.5.<=*-8*,=>*5B58<,878,262.7=8<8+=.72-8<1*<=*.5686.7=8 *7C*;B.3.,>=*;.59;80;*6*9*;**-:>2;2;B-2;202;58<;.,>;<8<7.,.<*;28<9*;*580;*;5*<6.=*<B+.7./2,28< -./272-8<.7.595*7-.59;80;*6*.*,>.;-8,8758<,;2=.;28<-.;.?2<2K7-.5*7C*62.7=88,*6+28-./*<. <=*0.0*=.9;.9*;*;58<,*6+28<-./*<.5*<;.?2<287.<-.5*<2=.;*,287.<8?.;<287.<9*;*27/8;6*;-.5 9;80;.<8-.59;80;*6*B<.;,*9*C-..<=*+5.,.;58</>7-*6.7=8<9*;*5*/27*7,2*,2K7-.5*<20>2.7=..=*9* -.<9>F<-.5*;.?2<2K7-.55*7C*62.7=88-.,*6+28-./*<.<=*0.0*=. .<=287*;.5,869;862<8-.5*<9*;=.< 27=.;.<*-*< .<*;;855*;B6*7=.7.;.595*7-.9;80;*6* *7C*;B.3.,>=*;.59;80;*6* .-2;.5-.<.69.I8-.59;8B.,=8?.;<><58<,;2=.;28<,5*?.-.;.7-262.7=8-.59;8B.,=8=*5.<,8685* 95*72/2,*,2K75*,*52-*-.5,8<=.B58<;2.<08<?*5>*;.5269*,=8-.5*<-.<?2*,287.<.7.59;8B.,=8B.5 9;80;*6*0.7.;*5.27/8;6*;58<;.<>5=*-8<*5*<9*;=.<27=.;.<*-*<,5*?. .<=287*;58<9*:>.=.<-.=;*+*386.-2*7=.;.:>.;262.7=8</8;6*5.<-.*>=8;2C*,2K7B*,.9=*,2K7-.58< 9*:>.=.<-.=;*+*38B*<207*7-8B,88;-27*-858<;.,>;<8<-.7.08,28B-.'*-.,>*-8< &852,2=*;*5*<9*;=.<27=.;.<*-*<-.59;8B.,=8*5/27*5-.,*-*9;8B.,=8?.;<2K782=.;*,2K7:>..?*5L.7<2.5 9;8B.,=85*?.;<2K785*2=.;*,2K7.7=;.0*;8758<;.<>5=*-8<B?*58;95*7.*-8<-.7=2/2,*;B,86>72,*; ,>*5:>2.;*,=2?2-*-9.7-2.7=.7.,.<*;2*9*;*580;*;58<;.<>5=*-8<-.59;8B.,=8B58<+.7./2,28<-.59;80;*6* 95*7.*-8<2-.7=2/2,*;B-8,>6.7=*;5*<5.,,287.<*9;.7-2-*<9*;*/>=>;8<9;8B.,=8<?.;<287.<2=.;*,287.<B 9;80;*6*< 52627*;.59;80;*6*-.598;=*/8528-.27?.;<287.<*,=2?*<,>*7-81*B**,>.;-8-.:>..5?*58;-.<.*-81* <2-8580;*-88,>*7-8.<=F,5*;8:>.78<.;D580;*-8,8758<,;2=.;28<-.?*58;.<=*+5.,2-8<9*;*.59;80;*6* &>9.;?2<*;B,87=;85*;9;8B.,=8< .<=287*;58<;.,>;<8<B58<9*:>.=.<-. =;*+*38-.59;8B.,=8 .;;*;>79;8B.,=882=.;*,2K7 .;;*;>79;80;*6* -.7=2/2,*;<85>,287.<B*7*52C*;;.:>.;262.7=8<*7=.<-.5* *-:>2<2,2K78,;.*,2K79*;**<.0>;*;:>..<=F7.75G7.*,8758< %.*52C*;>7.<=>-28-.?2*+252-*-B9;8987.; ;.:>.;262.7=8<.<=;*=F02,8<-.5*8;0*72C*,2K7B:>.,>+;.7 <85>,287.<*5=.;7*=2?*< 58<9;8,.<8<-.7.08,28<*952,*,287.<27/8;6*,2K7-*=8< 27/;*.<=;>,=>;*B<.;?2,28<88;-27*;,875*<9*;=.< 27=.;.<*-*<*/.,=*-*<5*;.?2<2K7-.5*<89,287.<?2*+5.< 27,5>B.7-8,8<=.<B+.7./2,28<;.5*,287*-8<*7D52<2<-.;2.<08 B*9;8+*,2K7-.58<;.:>.;262.7=8<B<85>,287.<9;89>.<=*< %.*52C*;>7.<=>-28-.?2*+252-*--.5*<98=.7,2*5.<<85>,287.<*5=.;7*=2?*<.?*5>*7-8<>?2*+252-*-B <.5.,,287*7-85*89,2K79;./.;2-*&2<.,87<2-.;*2695.6.7=*;5*89,2K7<.5.,,287*-*,868>79258=89*;* -.=.;627*;98<2+5.<6.38;*< *<D7-8<..7.5,*<8-.7.08,282-.7=2/2,*;9;28;2C*;.<9.,2/2,*;B*,8;-*;58<;.:>.;262.7=8<-. ./272;B6*7=.7.;58<;.:>.;262.7=8<=F,72,8< 27/8;6*,2K7-.7.08,28/>7,287*5.<=F,72,8<B-.,87=;85:>.,>+;*.5*5,*7,..7=.7-262.7=8-.=8-*<5*< B/>7,287*5.<-.7.08,28 272,2*=2?*<7.,.<*;2*<9*;**5,*7C*;58<;.<>5=*-8<.<9.;*-8<-.5*<85>,2K7-.7.08,28-.'9;89>.<=* 52627*;8627262C*;58<;2.<08<.<9.,G/2,8<*<8,2*-8<,8758<9;80;*6*<B9;8B.,=8<6.-2*7=.>79;8,.<8 <2<=.6D=2,8-.95*72/2,*,2K72-.7=2/2,*,2K7*7D52<2<;.<9>.<=*<>9.;?2<2K7B,87=;85-.5*<D;.*<8.?.7=8< :>.=2.7.7.598=.7,2*5-.,*><*;,*6+28<78-.<.*-8<8<;2.<08<.7/;.7=*-8<98;5**-6272<=;*,2K7-.5 9;80;*6*B58<9;8B.,=8<-.+.;G*7<.;.<=*+5.,2-8<B;.02<=;*-8<.7>7L72,89>7=8 .<=287*;.5;2.<08-.58<9;80;*6*<B 9;8B.,=8< .<=287*;5*,*52-*--.58<9;80;*6*<B 9;8B.,=8< #5*72/2,*;9;8B.,=8< &>9.;?2<*;B,87=;85*;.5;.7-262.7=8-.59;80;*6*.7=;.0*-.<85>,287.<B-.5*8;0*72C*,2K7 ?*58;;.<>5=*-8?.;<><.595*7->;*7=..5,2,58-.?2-*.,87K62,8,8695.=8-.5*27?.;<2K77/8;6*;-.5 ;.7-262.7=8*5,862=F.<=;*=F02,8-.59;80;*6*B*58<9*=;8,27*-8;.< ./272;B-8,>6.7=*;5*7*=>;*5.C*B*5,*7,.-.59;8B.,=89*;*,87/2;6*;B-.<*;;855*;.7=;.5*<9*;=.< 27=.;.<*-*<>7.7=.7-262.7=8,86L78.5*5,*7,.-.59;8B.,=8B,K68<.;.5*,287*,878=;8<9;8B.,=8< -.7=;8-.59;80;*6*0.7.;*5-.27?.;<287.<-.'*-./272,2K7-.+.;G*.<=*;/8;6*56.7=.*9;8+*-*98;.5 9*=;8,27*-8;-.59;80;*6*B-.59;8B.,=8 <=*+5.,.;B6*7=.7.;>795*7-.9;8B.,=8/8;6*5*9;8+*-8.27=.0;*-8:>.,>+;*58<;.,>;<8<-.57.08,28 B-.'9*;*0>2*;5*.3.,>,2K7-.59;8B.,=8B,87=;85*;58->;*7=.=8-*<>?2-*5*5,*7,.-.58<9;8B.,=8< -.+.;G*.<=*;,5*;*6.7=.-./272-8B?27,>5*-8,5*;*6.7=.*5*,87<=;>,,2K78*>6.7=8-.5*,*9*,2-*--.5 7.08,28 #;.9*;*;B.3.,>=*;>795*7B9;8,.<8<B9;D,=2,*<-.0.<=2K7-.5*,*52-*-*527.*-*<*5&:>.-.<,;2+..5 .7/8:>.-.,*52-*--.59;80;*6*B.59;8B.,=8B,K68<.;D2695.6.7=*-8595*7-.+.;G*<.;/8;6*56.7=. ;.?2<*-8B*,8;-*-898;=8-*<5*<9*;=.<*/.,=*-*<B-.<9>F<27,8;98;*-8.758<95*7.<27=.0;*-8<-.5 9;80;*6*B58<9;8B.,=8< .<=287*;.5,869;862<8-.5*<9*;=.<27=.;.<*-*<9*;**<.0>;*;>727=.;,*6+28*,=2?8-.27/8;6*,2K7 9;.,2<*,87<2<=.7=.B898;=>7*:>.55.0>.*=8-8<5*<9*;=.<27=.;.<*-*<;.5.?*7=.<<=827,5>B.5* 95*72/2,*,2K72-.7=2/2,*,2K7B.5,869;862<8-.5*<9*;=.<27=.;.<*-*<B5*0.<=2K7-.<><.A9.,=*=2?*< 72,2*;>79;80;*6* &>9.;?2<*;,87=;85*;.27/8;6*;-.58< .<=287*;=8-8<58<9;80;*6*<B9;8B.,=8<-.598;=*/8528-. ;.<>5=*-8<-.59;80;*6* 27?.;<287.<-./8;6*,88;-27*-*B.75G7.*,875*.<=;*=.02* ,8;98;*=2?*72,2*;95*72/2,*; *7C*;.272,2*;9;8B.,=8<-.7=;8-.>7 ,87=;85*;B.3.,>=*;9;80;*6*<B9;8B.,=8<B,.;;*;58<,87>7* 9;80;*6* ;.?2<2K798<=2695.6.7=*,2K7 72,2*;>79;80;*6*9*;*,87/2;6*;58<+.7./2,28<.<9.;*-8<B9*;*8+=.7.;5**>=8;2C*,2K79*;*9;8,.-.; <=827,5>B.58<*,>.;-8<<8+;..59*=;8,2728-.59;80;*6*,87/2;6*;.56*7-*=8-.59;80;*6**=;*?F<-.5* *9;8+*,2K7-.5,*<8-.7.08,28,87,.9=>*5-.<207*;*58<,87<.3.;8<858<62.6+;8<-.5,862=F-.5 9;80;*6*0.7.;*;.5.A9.-2.7=.-.59;80;*6*;.?2<*;B*,=>*52C*;.5,*<8-.7.08,28-.<*;;855*;>795*7-. ;.*52C*,2K7-.+.7./2,28<B8+=.7.;5**9;8+*,2K7-.58<9*=;8,27*-8;.<9*;*.69.C*; "+=.7.;58<,86987.7=.<-.5*<85>,2K7 .<*;;855*;58<,86987.7=.<-.5*<85>,2K7 2<.I*;58<,86987.7=.<-.=*55*-8<-.5* <85>,2K7 2<.I*;<85>,287.<-.*5=872?.5 *,.;<.0>262.7=8-.5.<=*-8-.58<;.:>.;262.7=8<27-2?2->*5.<27,5>B.7-8=8-8<58<;.:>.;262.7=8< ;.,1*C*-8<*=;*?F<-.=8-8.5,2,58-.?2-*-.59;8B.,=8B0.<=287*;5**9;8+*,2K7-.58<,*6+28<*58< ;.:>.;262.7=8< .<*;;855*;B.3.,>=*;>795*79*;*.56*7=.7262.7=8-.5*<85>,2K7B,86987.7=.<-.5*27/;*.<=;>,=>;* 7,5>2;;.?2<287.<9.;2K-2,*<;.<9.,=8*5*<7.,.<2-*-.<-.7.08,28B;.:>.;262.7=8<89.;*,287*5.< ./272;B*,8;-*;7>.?8<<.;?2,28<'8,*6+28<B89,287.<-.72?.5-.<.;?2,288,>6.7=*;7>.?*< -./272,287.<8,*6+28<.758<<.;?2,28<B89,287.<-.72?.5-.<.;?2,28:>.<.;D7*,=>*52C*-*<.7.5,*=D5808-. <.;?2,28< ?*5>*;5*-2<9872+252-*-.5;.7-262.7=8B5*,*9*,2-*--.58<<.;?2,28<B;.,>;<8<9*;**<.0>;*;:>.<. .7,>.7=;*-2<9872+5.>7*,*9*,2-*-B>7;.7-262.7=83><=2/2,*+5.<.7,8<=.<9*;*-*;<898;=.*5*< 7.,.<2-*-.<-.57.08,28B9*;*.7=;.0*;.5<.;?2,28-.*,>.;-8*58<!&<;.*;5G7.*<-.;./.;.7,2*9*;*5* -2<9872+252-*-.5;.7-262.7=8B5*,*9*,2-*-9*;*,869*;*,287.</>=>;*< .<=287*;,*6+28<*58<;.:>.;262.7=8< *7=.7.;<85>,287.< ./272;58<<.;?2,28<'B6*7=.7.;.5,*=D5808 -.<.;?2,28< ?*5>*;5*-2<9872+252-*-;.7-262.7=8B ,*9*,2-*-*,=>*5B,;.*;>7*5G7.*-.;./.;.7,2* #5*72/2,*;B9;28;2C*;5*<26952,*,287.<.75*-2<9872+252-*-.5;.7-262.7=8B5*,*9*,2-*--.,*6+28<.75*< 7.,.<2-*-.<-.57.08,28B.758<;.:>.;262.7=8<-.<.;?2,28 -.7=2/2,*;58<<.;?2,28<2698;=*7=.<9*;*5*.69;.<*6*9.*;58<<.;?2,28<B;.,>;<8<,8758<9;8,.<8<-. 7.08,28.2-.7=2/2,*;5*<-.9.7-.7,2*<-.57.08,28<.0>;*;:>..5269*,=8-.5*27-2<9872+252-*--.;.,>;<8< .<=D*,8;-*-8B*,.9=*-898;.5,52.7=.<.0>;*;:>.9*;*5*</>7,287.<?2=*5.<-.57.08,2858<;.:>2<2=8<-. -2<9872+252-*--./272-8<.7.5!&9>.-.7<.;<*=2</.,18< 3.,>=*;9;>.+*<,87=27>*6.7=.->;*7=..5-.<*;;855827,5>B.7-89;>.+*<-.,87=;85.7,87,8;-*7,2*,87.5 95*7-.9;>.+*<B,875*<9;D,=2,*<-.-.<*;;8558.7.5.7=878*9;892*-8*,.;9*;=G,29.<*58<->.I8<-.58< 9;8,.<8<-.7.08,28B><>*;28</27*5.<.7.5.:>298-.9;>.+*<-.7=2/2,*;;.02<=;*;B9;28;2C*;58<.;;8;.<. 27,2-.7=.<2-.7=2/2,*-8<->;*7=.5*<9;>.+*< 3.,>=*;9;>.+*<-.5*<85>,2K7 :>252+;*;5*<7.,.<2-*-.<*,=>*5.<B/>=>;*<-.-2<9872+252-*- ;.7-262.7=8B,*9*,2-*-,87>7*9;8?2<2K7-.<.;?2,28./.,=2?* ?*5>*;.5269*,=8.7.57.08,28 .7,8<=.<7,5>B.5*.?*5>*,2K7-.5*<,*9*,2-*-.<*,=>*5.<5* 9;.?2<2K7-.7.,.<2-*-.</>=>;*<+*<*-*<.758< .<=287*;5* -2<9872+252-*-B,*9*,2-*- ;.:>.;262.7=8<-.57.08,28.5*7D52<2<-.5269*,=8.7.5 #5*72/2,*;;.:>2<2=8<-.<.;?2,287>.?8<8 7.08,28B5*.?*5>*,2K7-.5;2.<089*;*95*72/2,*;. 68-2/2,*-8< 2695.6.7=*;*,,287.<9*;**5,*7C*;58<;.:>.;262.7=8< 2-.7=2/2,*-8<.,5*;*,2K7-.5#;89K<2=8-.5#;8,.<8 <=*+5.,.;>795*7-.9;>.+*<B.7=8;78<7.,.<*;28<9*;*9;8+*;58<,86987.7=.<27-2?2->*56.7=.B-.5* <85>,2K727=.0;*-*27,5>B.7-858<9;8,.<8<-.7.08,28B<.;?2,28<*952,*,287.<.27/;*.<=;>,=>;*:>.58< <898;=*7 .<*;;855*;B.3.,>=*;>795*7-.,*52-*-$*527.*-8,87.5&9*;*8+=.7.;5*,*52-*-.<9.,2/2,*-*.75* -./272,2K7-.58<;.:>.;262.7=8<B-.*,>.;-8*5*<985G=2,*<B9;8,.-262.7=8<-.,*52-*--.5*.69;.<* 7<=*5*;B,87/20>;*;5*<<85>,287.<.27=.0;*;5*<,875*<*,=2?2-*-.<-.58<9;8,.<8<-.7.08,28695.6.7=*; ,87=;85.<6.-2-*<-.<.0>;2-*-BN*>-2=*+252-*-O->;*7=.5*,87/20>;*,2K7B->;*7=.5*27=.0;*,2K7-.5 1*;-@*;..27/;*.<=;>,=>;*-.5<8/=@*;.9*;*9;8=.0.;58<;.,>;<8<B*<.0>;*;5*-2<9872+252-*-.27=.0;2-*-.58<-*=8<,=>*52C*;.5,*=D5808-.<.;?2,28<9*;*;./5.3*;5*7>.?*<2=>*,2K7 88;-27*;5*;.*526.7=*,2K7-.5*<9*;=.<27=.;.<*-*<*/.,=*-*<B.75*</*<.<,5*?.9;.-.=.;627*-*< 8+=.7.;5**9;8+*,2K7B5*/2;6*-.59*=;8,27*-8;89;892.=*;28-.59;8->,=8B,2.;;.-.58<;.:>.;262.7=8< =F,72,8<B/>7,287*5.<-.58<.<=>-28<-.?2*+252-*--.58<*7D52<2<-.;2.<08<B-.5*<<85>,287.< ;.,86.7-*-*< .<*;;855*;B-8,>6.7=*;-2<.I8<-.*5=872?.5><*7-8=F,72,*<-.-.<*;;8558D025898;/*<.<*9;892*-*<B *,8;-*-*<<.0>;*;.5*527.*62.7=8,875*.<=;*=.02*'B5**;:>2=.,=>;*.69;.<*;2*5%.?*58;*;B*,=>*52C*; 58<-2<.I8<,>*7-8<>,.-*7,>.<=287.<<2072/2,*=2?*<->;*7=.5*</*<.<-.-2<.I8-.=*55*-88-.,87<=;>,,2K7 8<.0L75*<85>,2K7.?85>,287.<.0>;*;:>.5*<9*;=.<27=.;.<*-*<9*;=2,29.7*,=2?*6.7=..7.5-2<.I8B.7 5**9;8+*,2K7-.,*-*?.;<2K7 .<*;;855*;-8,>6.7=*;B.5*+8;*;-2<.I8<-.=*55*-8<9;80;.<2?*6.7=.><*7-8=F,72,*<-.-.<*;;8558D025.< 898;/*<.<*,8;-*-*<9;.?2*6.7=.,87<2-.;*7-8=8-8<58<,86987.7=.<9;8,.<8<-.7.08,28B *>=86*=2C*,2K7;.5*,287*-*B,87=;85.<6*7>*5.<*952,*,287.<<898;=.-.'<.;?2,28<-.27/;*.<=;>,=>;*B 9;8->,=8<=.,785K02,8<B9;8?..-8;.</*+;2,*7=.<<.0>;*;:>..5-2<.I8-.=*55*-827,5>B.!&<B"< 27=.;78<B.A=.;78< .<*;;855*;-8,>6.7=*;B.5*+8;*;-2<.I8<-.=*55*-8<9;80;.<2?*6.7=.><*7-8=F,72,*<-.-.<*;;8558D025.< 898;/*<.<*,8;-*-*<9;.?2*6.7=.,87<2-.;*7-8=8-8<58<,86987.7=.<9;8,.<8<-.7.08,28B *>=86*=2C*,2K7;.5*,287*-*B,87=;85.<6*7>*5.<*952,*,287.<<898;=.-.'<.;?2,28<-.27/;*.<=;>,=>;*B 9;8->,=8<=.,785K02,8<B9;8?..-8;.</*+;2,*7=.<<.0>;*;:>..5-2<.I8-.=*55*-827,5>B.!&<B"< 27=.;78<B.A=.;78< "+=.7.;58<,86987.7=.<-.5*<85>,2K7<8+;.5*+*<.-.595*7-.*-:>2<2,287.<B,87/8;6.*58< ;.:>.;262.7=8<B-2<.I8<-.=*55*-8<9;27,2928<-.*;:>2=.,=>;*B.<=D7-*;.<B.758<9;8,.-262.7=8< 0.7.;*5.<,87=;*,=>*5.<B-.*-:>2<2,287.<-.5*.69;.<*;.:>.;262.7=8<-.,*52-*-$B*9;8+*,2K7-. .<=D7-*;.<<.0>;*;:>.=8-8<58<;.:>.;262.7=8<5.0*5.<B,87=;*,=>*5.<<872-.7=2/2,*-8<B,>6952-8<98; .59;8?..-8; -.7=2/2,*;-8,>6.7=*;9;28;2C*;B62=20*;58<;2.<08</>7,287*5.<B=F,72,8<;.5*=2?8<*9;8,.<*62.7=8-.5* 27/8;6*,2K7B*<8,2*-8<,8758<;.:>.;262.7=8<-.5*.69;.<*B<85>,2K79;89>.<=* #;.9*;*;9;>.+*<-.5*<85>,2K7 <=*+5.,.;B6*7=.7.;<85>,287.<2-.7=2/2,*-*<.75G7.*,8758< ;.:>.;262.7=8<-.5*.69;.<*:>.*+*;,*7.5-2<.I8 .<=287*;5* -.<*;;8558,869;*<,87=;*=*,2K7B*<8,2*,2K7,87 9;8?..-8;.</*+;2,*7=.<.<=287*;5*,87/20>;*,2K7 2-.7=2/2,*,2K7B 87<=;>2;<85>,287.< ,87<=;>,,2K7-.<85>,287.< 9;.9*;*,2K7-.9;>.+*<;.*52C*,2K7-.9;>.+*<0.<=2K7-. ;.:>.;262.7=8<B6*7=.7262.7=8-.9;8,.<8<-.7.08,28 *952,*,287.<-*=8<27/8;6*,2K727/;*.<=;>,=>;*B<.;?2,28< %.*52C*;,87=;85.<-.,*52-*- .<=287*;5* -./272,2K7-.;.:>2<2=8< -.7=2/2,*;<85>,287.<B*7*52C*;;.:>.;262.7=8<*7=.<-.5* *-:>2<2,2K78,;.*,2K79*;**<.0>;*;:>..<=F7.75G7.*,8758< ;.:>.;262.7=8<.<=;*=F02,8<-.5*8;0*72C*,2K7B:>.,>+;.7 58<9;8,.<8<-.7.08,28<*952,*,287.<27/8;6*,2K7-*=8< 27/;*.<=;>,=>;*B<.;?2,28<88;-27*;,875*<9*;=.< 27=.;.<*-*<*/.,=*-*<5*;.?2<2K7-.5*<89,287.<?2*+5.< .<=287*;58<;2.<08<-.58<;.:>.;262.7=8< 27,5>B.7-8,8<=.<B+.7./2,28<;.5*,287*-8<*7D52<2<-.;2.<08 B*9;8+*,2K7-.58<;.:>.;262.7=8<B<85>,287.<9;89>.<=*< "+=.7.;5**9;8+*,2K7-.58<;.:>.;262.7=8<B <85>,287.< ! &>9.;?2<*;6.-2;*7*52C*;27/8;6*;B;.?2<*;5*-2<9872+252-*-.5;.7-262.7=8B5*,*9*,2-*--.7=2/2,*; -.<?2*,287.<;.<9.,=8*5*<5G7.*<-.;./.;.7,2*.<=*+5.,2-*<%.?2<*;27/8;6.<-.*7D52<2<-.=.7-.7,2*< 2-.7=2/2,*7-8,>*5:>2.;,>.<=2K7B?*;2*,2K7<2072/2,*=2?*272,2*7-8*,,287.<-87-.<.*7.,.<*;28B*<.0>;*7-8 :>.<.;.*52C*.5<.0>262.7=8-.=8-*<5*<,>.<=287.<9.7-2.7=.< &2.69;.:>..5,*6+281*B*<2-82695.6.7=*-8*,=>*52C*;-.6*7.;*,87<.,>.7=.5*-8,>6.7=*,2K7-.5* <85>,2K7B-.5><>*;28*<G,86858<9;8,.-262.7=8<*58<:>.*/.,=*.5,*6+28 *7=.7.;58<,*6+28<6.-2*7=.5*/8;6*,2K7./2,*C-.59.;<87*57>.?8,*69*I*<-.,86>72,*,2K7 9.;2K-2,*<,869;862<8-.5**5=*-2;.,,2K7<>9.;?2<2K7-.5**-89,2K7-.58<,*6+28<B-2?>50*,2K7*=8-*5* .69;.<*-.5*<5.,,287.<*9;.7-2-*< ?*5>*;=8-*<5*<9.=2,287.<-.,*6+289*;*-.=.;627*;<>269*,=8.758<9;8,.<8<-.7.08,28B58<<.;?2,28< 'B*7*52C*;<2.5,*6+28*/.,=*;D7.0*=2?*6.7=.*5.7=8;7889.;*=2?8.27=;8->,2;D>7;2.<0827*,.9=*+5. <.0>;*;:>.58<,*6+28<<87;.02<=;*-8<9;28;2C*-8<,*=.08;2C*-8<*7*52C*-8<*>=8;2C*-8<95*72/2,*-8<B 9;80;*6*-8< .<=287*;,>2-*-8<*6.7=.58<,*6+28<-..6.;0.7,2*9*;*627262C*;/>=>;*<27,2-.7,2*<B*<.0>;*;:>..5 ,*6+28.<=D,87=;85*-8B<.;.*52C*-./8;6*<.0>;*).;2/2,*;:>.58<,*6+28<-..6.;0.7,2*<87.?*5>*-8< -.+2-*6.7=.B*>=8;2C*-8<>7*?.C1.,18.5,*6+28 *7=.7.;>7<2<=.6*-.<.0>262.7=8.27/8;6.:>.-8,>6.7=.58<,*6+28<;.,1*C*-8<,86>72:>..5 .<=*-8-.,*6+28<*9;8+*-8<B.79;8,.<8B-.,*6+28<,8695.=*-8<<.0>;*;:>.58<,*6+28<*9;8+*-8< <872695.6.7=*-8<,868.<=F9;.?2<=8 7=.0;*;7>.?8<.7/8:>.<6.-2*7=..5<.0>262.7=8-.58<,*6+28<2695.6.7=*-8<*<.0>;*7-85*./.,=2?2-*-.595*7-.89.;*,2K7B><8B6*7=.72.7-8>795*7-.,87,2.7,2*,2K76.-2*7=.,86>72,*,287.<;.0>5*;.< 952,*;5*<6.-2-*<,8;;.,=8;*<:>.<..<=26.*9;892*-8B:>.98-;G*727,5>2;.5/8;C*;.5,>695262.7=8 <=*+5.,.;>795*7-.2695.6.7=*,2K7 #*<*;*9;8->,,2K7B0.<=287*;58<5*7C*62.7=8< #*<*;5*<85>,2K7*,.9=*-**57.08,28B5*<89.;*,287.<87-.<.**9;892*-8.3.,>=*;5*<85>,2K7,868>7 9;8B.,=89258=88.79*;*5.58,875*<85>,2K7*7=20>*->;*7=.>79.;G8-8-.=2.698-./272-8B,869*;*;<> ,8698;=*62.7=8B;.<>5=*-8<&2<.-2.;*79;8+5.6*<<2072/2,*=2?8<;.27<=*>;*;.5.7=8;788;2027*5-.*,>.;-8 *595*7-.6*;,1**=;D<8*5=.;7*=2?8.<=287*;58<5*7C*62.7=8<-.58<,86987.7=.<-.5*<85>,2K7 #;8+*;58<,*6+28<27-.9.7-2.7=.6.7=.-.*,>.;-8,87.595*7-.9;>.+*<-./272-8*7=.<-.620;*;*5 .7=8;78-.9;8->,,2K7 ./272;B.<=*+5.,.;>7.7=8;78<.0>;8-.9;>.+*<:>.<.*;.9;.<.7=*=2?8-.59;8,.<8-.7.08,28B.7=8;78 -.89.;*,287.<-.'95*7.*-8<.7,>*7=8*;.7-262.7=8B,*9*,2-*-<.0>;2-*-,87=;85.<27=.;78< 9;D,=2,*<-.89.;*,2K7,*52-*--.58<-*=8<B;.:>2<2=8<-.9;2?*,2-*-B,*;0*-.=;*+*38 <=*+5.,.;>795*7-.9;>.+*<+*<*-8.7.<=D7-*;.<,8;98;*=2?8<:>.-./27*;85.<;.<987<*+252-*-.<B ,;2=.;28<-..7=;*-*B<*52-*<.0>;*;:>..595*7.<*9;8+*-898;5*<9*;=.<;.5.?*7=.< <=*+5.,.;>795*7-.2695.6.7=*,2K7:>.,>+;*5*,87?.;<2K7-.-*=8<B<2<=.6*<,;2=.;28<-.*,.9=*,2K7-. 5*<9;>.+*<,86>72,*,2K7/8;6*,2K79;.9*;*,2K7-.55*7C*62.7=89*<8*9;8->,,2K7<898;=.272,2*5.7 9;8->,,2K795*7-.6*;,1**=;D<8-.,87=270.7,2*B>7*;.?2<2K798<=2695*7=*,2K7"+=.7.;5**9;8+*,2K7 -.5*<9*;=.<;.5.?*7=.< #;.9*;*;5*620;*,2K7-.9;8,.<8<-.7.08,28-*=8<-.58<<.;?2,28<-.'.27/;*.<=;>,=>;*<,8689*;=.-. #5*72/2,*;5*,87?.;<2K7-.9;8,.<8<-.7.08,28 58<6.,*72<68<-.-.<*;;8558-.5*.69;.<*27,5>B.7-8;.02<=;8<-.*>-2=8;G*B>795*7-.;.,>9.;*,2K79*;* <2<=.6*<B-*=8< .5,*<8-.:>.5*620;*,2K7/*55*;* .;;*;B-8,>6.7=*;58<,*6+28< .<=287.=8-8<58<,*6+28<-.>7*/8;6*,87=;85*-* 27,5>B.7-8,*6+28<.<=D7-*;B-.6*7=.7262.7=8-. .6.;0.7,2*.7;.5*,2K7,8758<9;8,.<8<-.7.08,28 .<=287*;,*6+28<-..6.;0.7,2* *952,*,287.<.27/;*.<=;>,=>;*<=827,5>B.78;6*<B 9;8,.-262.7=8<-.,*6+28*7D52<2<-.269*,=89;28;2C*,2K7B *,.;<.0>262.7=8.27/8;6*;-.,*6+28<-. *>=8;2C*,2K7,*6+28<-..6.;0.7,2*<.0>262.7=8;.98;=. .<=*-8 ,2.;;.B-8,>6.7=*,2K7 ?*5>*;9;28;2C*;B*>=8;2C*;9.=2,287.<-. ,*6+28 *7=.7.;58<,*6+28< 7=.0;*;7>.?8<.7/8:>.< #5*72/2,*;9;>.+*<-.*,.9=*,2K7 ,.9=*;/8;6*56.7=.B1*,.;89.;*=2?*<5*<7>.?*<<85>,287.< 27,5>B.7-85*95*72/2,*,2K7-.5*2695.6.7=*,2K75*,87?.;<2K7 .<=287*;5* -.58<-*=8<B58<<2<=.6*<5*<9;>.+*<-.*,.9=*,2K75* *,.9=*,2K7-.5,*6+28<B5* ,86>72,*,2K75*9;.9*;*,2K7-.55*7C*62.7=8.59*<8* <=*+5.,.;>7.7=8;78-.9;>.+*< =;*7<2,287.< 9;8->,,2K7-.9;8,.<8<-.7.08,288<.;?2,28<'7>.?8<8 68-2/2,*-8<.5<898;=.=.69;*78.79;8->,,2K7B>7*;.?2<2K7 98<=2695.6.7=*,2K7 3.,>=*;9;>.+*<-.*,.9=*,2K7 .<=287*;58< ,*6+28< .<=287*;5* 27=;8->,,2K7-.5,*6+28 8;0*72C*=2?8 7?.<=20*;B*+8;-*;,>.<=287.<-. -2<9872+252-*-;.7-262.7=8B,*9*,2-*- &>9.;?2<*;B;.?2<*;5*-2<9872+252-*-B5* ,*9*,2-*- +8;-*;5*<-.<?2*,287.<27?.<=20*7-8B;.<85?2.7-85*<,>.<=287.<2-.7=2/2,*-*<;.5*=2?*<*-2<9872+252-*- ;.7-262.7=8B,*9*,2-*- 869;.7-.;.5*5,*7,..269*,=8-.5,*6+28-2?2<*-8B5*-2<98<2,2K7?85>7=*--.,*6+2*;-.5*<9*;=.< <=*+5.,.;.5-.<.8-.,*6+2*; 27=.;.<*-*<-.7=2/2,*;5*<*,,287.<9*;*68=2?*;*5*<9*;=.<27=.;.<*-*<9*;**,.9=*;B:>.;.;:>..5,*6+28 <.*.A2=8<8 <=*+5.,.;>7.:>298-.2695.6.7=*,2K7./.,=2?8,8762.6+;8<*-.,>*-8<,;.*7-8,87/2*7C*B 8;6*;>7.:>298-.2695.6.7=*,2K7./.,=2?8 .<=*+5.,2.7-86.=*<,86>7.<B6.-2-*<./.,=2?*< 86>72,*;5*?2<2K7-.<.*-*9*;*.5,*6+28.7.55.70>*3.-.*:>.558<:>.<.?.;D7*/.,=*-8<* ,86>72,*,2K7-.+.;G*<.;;.*52C*-*98;5**5=*-2;.,,2K7.27,5>2;5*;*CK7-.<.;B58<+.7./2,28<-.5,*6+28.5 86>72,*;5*?2<2K7-.<.*-* 269*,=8-.781*,.;58B5*?2<2K75*183*-.;>=*B5*9*;=2,29*,2K7;.:>.;2-*-.5*<-2?.;<*<9*;=.< 27=.;.<*-*< *A262C*;5*9;8+*+252-*--.5*2695.6.7=*,2K7.A2=8<*.7 *,>5=*;**:>.558<,87;85.<.75*2695.6.7=*,2K7*<.0>;*7-8:>.<.1*7*<207*-8;.<987<*+252-*-.<<.1* =8-*5*.69;.<*-.5,*6+288;0*72C*=2?8-./8;6*;D92-*B,87 *,>5=*;*58<:>.3>.0*7*50L79*9.5. -*-8/8;6*,2K7B<.1*7*527.*-85*<.<=;>,=>;*<8;0*72C*=2?*<B9;8,.<8<-.%%-.7=2/2,*;B,86>72,*; ;2.<08;.->,2-8,>+;2.7-8.5,2,58-.?2-*,8695.=8-.5 0*7*7,2*<.7.5,8;=895*C8:>.9>.-*<.;;.*52C*-*<B;.<>5=.72698;=*7=.<-.<-.>7*9.;<9.,=2?*-. 2-.7=2/2,*;0*7*7,2*<.7.5,8;=895*C8 ,*6+28B=8-8<5*<9*;=.<27=.;.<*-*<-.57.08,28B-.' 98<2+252=*;.5,*6+28 #5*72/2,*;.2695.6.7=*;=8-8<58<*<9.,=8<=F,72,8<89.;*=2?8<B-.68-8-.><8-./8;6*:>.=8-8< *,252=*;5*89.;*,2K7B.5><8 *:>.558<27?85>,;*-8<.7.5.7=8;78/>=>;89>.-*7.3.;,.;<><;.<987<*+252-*-.< :>252+;*;5*<7.,.<2-*-.<*,=>*5.<B/>=>;*<-.-2<9872+252-*- ;.7-262.7=8B,*9*,2-*-,87>7*9;8?2<2K7-.<.;?2,28./.,=2?* .7,8<=.<7,5>B.5*.?*5>*,2K7-.5*<,*9*,2-*-.<*,=>*5.<5* .<=287*;5* 9;.?2<2K7-.7.,.<2-*-.</>=>;*<+*<*-*<.758< -2<9872+252-*-B,*9*,2-*- ;.:>.;262.7=8<-.57.08,28.5*7D52<2<-.5269*,=8.7.5 7.08,28B5*.?*5>*,2K7-.5;2.<089*;*95*72/2,*;. 2695.6.7=*;*,,287.<9*;**5,*7C*;58<;.:>.;262.7=8< 2-.7=2/2,*-8<.,5*;*,2K7-.5#;89K<2=8-.5#;8,.<8 ! ! ?*5>*;B;.=2;*;5*27/8;6*,2K7 88;-27*;B.3.,>=*;5*<*,=2?2-*-.<B58<9;8,.-262.7=8< 89.;*=2?8<;.:>.;2-8<9*;*.7=;.0*;<.;?2,28<-.'=*7=8 27=.;78<,868.A=.;7*52C*-8<27,5>B.7-85*.3.,>,2K7-. 9;8,.-262.7=8<89.;*=2?8<.<=D7-*;9;.-./272-8<B5*< *,=2?2-*-.<-.6872=8;2C*,2K7;.:>.;2-*< %.?2<*;9.;2K-2,*6.7=..5;.98<2=8;28-.,87/20>;*,2K7B?.;2/2,*;5*27=.0;2-*-B.A*,=2=>-,87;.<9.,=8 *58+3.=2?8-.<.*-8 ./272;B.5*+8;*;27/8;6.<-.,87/20>;*,2K7<8+;.,*6+28<.7.5.<=*-8-.58<.5.6.7=8<-.,87/20>;*,2K7 *7=.7.;>7;.98<2=8;28*,=>*52C*-8-..5.6.7=8<-.,87/20>;*,2K7;.55.7*-8,8758<,*6+28< -.7=2/2,*;58<*,=2?8<:>.<87,;G=2,8<.75*9;8?2<2K7-.,*9*,2-*--.<.;?2,28B-*;58<9*<8<9*;*6*A262C*; <>/2*+252-*-B-2<9872+252-*-9*;**98B*;5*<7.,.<2-*-.<-.57.08,28 .<=287*;58<*,=2?8<-.<-.<>*-:>2<2,2K71*<=*<>.52627*,2K79*;**<.0>;*;:>.<.>=252C*7=*7./2,*C B./2,2.7=.6.7=.,868<.*98<2+5.B<87,87=*+252C*-8<B9;8=.02-8</G<2,*6.7=. %.?2<*;9.;2K-2,*6.7=.5*+*<.058+*5-.*,=2?8<9*;*2-.7=2/2,*;6*7.;*<-.89=262C*;58<,8<=.<B6*7=.7.; .5*527.*62.7=8,875*<7.,.<2-*-.<-.57.08,28 -6272<=;*;5*<52,.7,2*<-.<8/=@*;.-./8;6*:>.<.6*7=.70*.57L6.;8K9=268-.52,.7,2*<9*;* <898;=*;58<;.:>.;262.7=8<-.7.08,28B.57L6.;8-.52,.7,2*<.79;892.-*-<.*<>/2,2.7=.9*;*,>+;2;.5 <8/=@*;.27<=*5*-8B.7><8 <=*+5.,.;B6*7=.7.;>768-.585K02,8-.5*27/;*.<=;>,=>;**,=2?8<B<.;?2,28<B5*/8;6*-.;.02<=;*;58< .5.6.7=8<-.,87/20>;*,2K7<-.52705F<,87/20>;*=2872=.6<B5*<;.5*,287.<.7=;..558<7,5>B.7-858<< ,87<2-.;*-8<7.,.<*;28<9*;*0.<=287*;./2,*C6.7=.58<<.;?2,28<B9;898;,287*;>7*<85*-.<,;29,2K7/2*+5. -.58<*,=2?8<.7>7<.;?2,28 <=*+5.,.;B6*7=.7.;>7;.98<2=8;28-.0.<=2K7-.5*,87/20>;*,2K7B,;.*;>7*<+*<.<-.;./.;.7,2*-. ,87/20>;*,2K7,87=;85*-*< *7=.7.;>7;.02<=;8*,=>*52C*-8B.A*,=8-.=8-8<58<*,=2?8<-.'7.,.<*;28<9*;*5*9;.<=*,2K7-.<.;?2,28< B0*;*7=2C*;<>*527.*,2K7,875*0.<=2K7-.5*,87/20>;*,2K7B5**-6272<=;*,2K7/27*7,2.;* .-2;.5><8B.?*5>*;5**,=>*52C*,2K7B;.5.?*7,2*-.5*27/8;6*,2K7%.=2;*;5*27/8;6*,2K78+<85.=* -.7=2/2,*;?*52-*;B,5*<2/2,*;5*<-2?.;<*</>.7=.<-.27/8;6*,2K727=.;7*B.A=.;7*7.,.<*;2*<9*;*98<2+252=*; .5><8B5*89.;*,2K7./.,=2?*<-.58<9;8,.<8<-.7.08,28B58<<.;?2,28<-.' ";0*72C*;5*27/8;6*,2K7+*<D7-8<..7,;2=.;28<-.,5*<2/2,*,2K7-.7=2/2,*;B,;.*;;.5*,287.< <2072/2,*=2?*<.7=;..5.6.7=8<-.27/8;6*,2K7B/*,252=*;.5><8-.5*27/8;6*,2K7-.7=2/2,*;9;892.=*;28<B -./272;.2695.6.7=*;72?.5.<-.*,,.<8*58<;.,>;<8<-.27/8;6*,2K7 2/>7-2;5*</>.7=.<-.,878,262.7=8-2<9872+5.<.7=;.5*<9*;=.<27=.;.<*-*<;.5.?*7=.<B,86>72,*;,K68 .<=8<;.,>;<8<9>.-.7<.;>=252C*-8<9*;*=;*=*;-2/.;.7=.<7.,.<2-*-.<.3;.<85>,2K7-.9;8+5.6*< *9;.7-2C*3.95*72/2,*,2K7.<=;*=F02,*B=86*-.-.,2<287.< 87,.+2;.2695*7=*;>7.<:>.6*9*;*,>5=2?*;B/*,252=*;>7*,>5=>;*-.27=.;,*6+28-.,878,262.7=8< #;898;,287*;<898;=.-.<-..59;26.;686.7=8*58<><>*;28<B*5*<89.;*,287.<-.'->;*7=.>79.;28-8-. =2.698*,8;-*-89*;*=;*=*;,>*5:>2.;27,2-.7,2*B*B>-*;*.<=*+252C*;5*7>.?*<85>,2K7 *7=.7.;5*<6.-2-*<9*;*5*9;8=.,,2K7,87=;*/*,=8;.<*6+2.7=*5.<7<=*5*;.:>29*62.7=8B-2<98<2=2?8< .<9.,2*52C*-8<9*;*<>9.;?2<*;B,87=;85*;.5.7=8;78 .<=287*;5*<27<=*5*,287.<27,5>B.7-8.:>298<-..5.,=;2,2-*-B,86>72,*,287.<.75G7.*,875*<5.B.<B ;.0>5*,287.<;.:>.;262.7=8<=F,72,8<B-.7.08,28B-2;.,=;2,.<-.<*5>-B<.0>;2-*-.7.5=;*+*38 && .<=287*;.5.7=8;78 && .<=287*;5*<27<=*5*,287.< 8,>6.7=*;<852,2=*;B9;8+*;5*<<85>,287.<2-.7=2/2,*-*<8=.698;*5.<B.3.,>=*;*,,287.<-.;.,>9.;*,2K7 9*;*;.<=*>;*;.5<.;?2,28';.5*,287*-8 -.7=2/2,*;B;.02<=;*;<G7=86*<-.27,2-.7=.<-.=.;627*;98<2+5.<,*><*<B*<207*;;.,>;<8<*<>;.<85>,2K7 -.7=2/2,*;;.02<=;*;B,5*<2/2,*;9.=2,287.<-.<.;?2,28.27,2-.7=.<B*<207*;>7*9;28;2-*-<.0L75*,;2=2,2-*-.57.08,28B58<*,>.;-8<-.<.;?2,28 &.5.,,287*;58<9;8,.-262.7=8<*-.,>*-8<9*;*9.=2,287.<B?.;2/2,*;:>.5*<9.=2,287.<-.<.;?2,28,>695.7 58<,;2=.;28<-.9.=2,2K7-./272-8< ./272;.<:>.6*<B68-.58<-.,5*<2/2,*,2K7-.27,2-.7=.<B9.=2,287.<-.<.;?2,28 &>9.;?2<*;5*<27/;*.<=;>,=>;*'B58<.?.7=8<;.5*,287*-8<,87.55*56*,.7*;5*<>/2,2.7=.27/8;6*,2K7 ,;8785K02,*.758<;.02<=;8<-.89.;*,287.<9*;*9.;62=2;5*;.,87<=;>,,2K7;.?2<2K7B.A*6.7-.5*< <.,>.7,2*<-.=2.698-.5*<89.;*,287.<B5*<*,=2?2-*-.<;.5*,287*-*<,87.5<898;=.*.<*<89.;*,287.< *7=.7.;B.3.,>=*;9;8,.-262.7=8<B=*;.*<89.;*=2?*<-./8;6*,87/2*+5.B,87<2<=.7=. .<=287*;5*89.;*,2K7-.<.;?2,28<.A=.;7*52C*-8<-.'9*;*6*7=.7.;5*9;8=.,,2K7-.5*27/8;6*,2K7 .69;.<*;2*5B5*,87/2*+252-*--.5*.7=;.0*-.5<.;?2,28 && &>9.;?2<*;5*27/;*.<=;>,=>;*-.' && .<=287*;<.;?2,28<.A=.;7*52C*-8<-.' && 3.,>=*;9;8,.-262.7=8<89.;*=2?8< !'%%%)%*%"#"%' ).;2/2,*;B;.?2<*;5*27=.0;2-*--.5;.98<2=8;28 -.,87/20>;*,2K7 && ./272;.<:>.6*<-.,5*<2/2,*,2K7-.27,2-.7=.< B9.=2,287.<-.<.;?2,28 &&%.02<=;*;,5*<2/2,*;B9;28;2C*;9.=2,287.<. 27,2-.7=.< &&).;2/2,*;*9;8+*;B;.<85?.;9.=2,287.<-. #;8?..;>7*;.<9>.<=*898;=>7*B./.,=2?**5*<9.=2,287.<-. <.;?2,28 &&.<=287*; ><>*;28B5*;.<85>,2K7-.=8-8=298-.27,2-.7=.<%.,>9.;*;.5 9.=2,287.<.27,2-.7=.<-. <.;?2,2878;6*5;.02<=;*;B,8695.=*;5*<9.=2,287.<-. &&7?.<=20*;-2*078<=2,*;B58,*52C*;27,2-.7=.< <.;?2,28 ><>*;28B;.02<=;*;27?.<=20*;-2*078<=2,*;.<,*5*;B;.<85?.; &&%.<85?.;B;.,>9.;*;<.-.27,2-.7=.< 27,2-.7=.< && .<=287*; 89.;*,287.< .<=287*;5* ,87/20>;*,2K7 <=*+5.,.;B6*7=.7.;>768-.58-. ,87/20>;*,2K7 ./272;B6*7=.7.;5*<-./272,287.<B;.5*,287.<.7=;.58< 9;27,29*5.<;.,>;<8<B,*9*,2-*-.<7.,.<*;28<9*;*5* <=*+5.,.;B6*7=.7.;>7;.98<2=8;28-. 9;.<=*,2K7-.58<<.;?2,28<9;898;,287*-8<98;'27,5>B.7-85* ,87/20>;*,2K7B>7*+*<.-.;./.;.7,2* ;.,8925*,2K7-.27/8;6*,2K7-.,87/20>;*,2K7.5 *7=.7.;B,87=;85*;58<.5.6.7=8<-. .<=*+5.,262.7=8-.5G7.*<-.;./.;.7,2*5*?.;2/2,*,2K7B ,87/20>;*,2K7 *>-2=8;G*-.5*27/8;6*,2K7-.,87/20>;*,2K7B5**,=>*52C*,2K7 -.5;.98<2=8;28-.,87/20>;*,2K7 .7.;*;27/8;6.<-..<=*-8B,87/20>;*,2K7 .<=287*;58<*,=2?8<-.'*=;*?F<-.<>,2,58-.?2-*9*;* -.7=2/2,*;B;.02<=;*;*,=2?8<*,=>*5.< *<.0>;*;:>.<>><8*98;=*?*58;*>7,8<=.K9=268:>.<. 6*7=.7-;D7.7/>7,287*62.7=8*,8;-.*58<8+3.=2?8<:>. .<=287*;*,=2?8<,;G=2,8< .<=D73><=2/2,*-8<B9;8=.02-8</G<2,*6.7=.B:>.58<*,=2?8< :>.<87/>7-*6.7=*5.<9*;**98B*;5*,*9*,2-*--.5<.;?2,28 .<=287*;58<*,=2?8< .<=287*;.5,2,58-.?2-*-.58<*,=2?8< <87/2*+5.<B.<=D7-2<9872+5.<-6272<=;*;5*<52,.7,2*<-. <8/=@*;.9*;**<.0>;*;:>.<.*-:>2.;..57L6.;8K9=268<. "9=262C*;.5,8<=.-.58<*,=2?8< 6*7=2.7.7B-.<952.0*7.7;.5*,2K7,87.5><87.,.<*;289*;* 5.7.08,28B:>..5<8/=@*;.27<=*5*-8,>695.,8758<*,>.;-8< -.52,.7,2* -6272<=;*;52,.7,2*< .<=287*;.5 ,878,262.7=8 >5=2?*;B/*,252=*;>7*,>5=>;*-.27=.;,*6+28 -.,878,262.7=8< -.7=2/2,*;B,5*<2/2,*;5*</>.7=.<-. 27/8;6*,2K7 #;898;,287*;<898;=..79;8->,,2K7-.<-..5 9;26.;686.7=8 *7=.7.;5*-2<9872+252-*--.,878,262.7=8;.5.?*7=.*,=>*5 ?*52-*-8B/2*+5.9*;*-*;<898;=.*=8-*<5*<*,=2?2-*-.<-.58< ";0*72C*;B,87=.A=>*52C*;5*27/8;6*,2K7 9;8,.<8<B/*,252=*;5*=86*-.-.,2<287.<#5*72/2,*;5* =;*7</8;6D7-85*.7,878,262.7=8 2-.7=2/2,*,2K7;.,8925*,2K78;0*72C*,2K76*7=.7262.7=8><8 B;.=2;*-*-.,878,262.7=8 (=252C*;B,869*;=2;.5,878,262.7=8 68-2/2,*-8<.5<898;=.=.69;*78.79;8->,,2K7B>7*;.?2<2K7 98<=2695.6.7=*,2K7 ! ! <=*+5.,.;B6*7=.7.;>795*79*;*9.;62=2;*57.08,28B*' ;.<987-.;*27,2-.7=.<.27=.;;>9,287.<-.<.;?2,289*;*5* 89.;*,2K7,87=27>*-.58<9;8,.<8<,;G=2,8<9*;*.57.08,28B 58<<.;?2,28<';.:>.;2-8<B6*7=.7.;5*-2<9872+252-*--.5* 27/8;6*,2K7*>772?.5*,.9=*+5.9*;*5*.69;.<* -.7=2/2,*;B,5*<2/2,*;9;8+5.6*<B<><,*><*<;*GCB 9;898;,287*;;.<85>,2K7.7=2.6989*;*9;.?.72;27,2-.7=.< ;.,>;;.7=.<#;898;,287*;;.,86.7-*,287.<-.6.38;* ./272;B6*7=.7.;,87=;85.<*9;892*-8<-.9;8,.<8-. 7.08,289*;**<.0>;*;:>.5*27/8;6*,2K7;.5*,287*-*B %.,80.;B*7*52C*;-*=8<89.;*,287*5.<.<9.,2*56.7=.;.02<=;8<-.27,2-.7=.<B,*6+28<9*;*2-.7=2/2,*; =.7-.7,2*<.6.;0.7=.<:>.9>.-*727-2,*;9;8+5.6*<%.02<=;*;9;8+5.6*<9*;*9.;62=2;5*?*58;*,2K7 *,.;<.0>262.7=8*7*52C*;.27/8;6*;-.27,2-.7=.<B=.7-.7,2*<-.,>695262.7=8-.9.=2,287.< ;.0>5*;6.7=.9*;*9;898;,287*;27/8;6*,2K79*;*5*6.38;*,87=27>* ./272;.2695.6.7=*;,;2=.;28<B9;8,.-262.7=8<9*;*27/8;6*;-.58<9;8+5.6*<2-.7=2/2,*-8<27,5>B.7-8 ,5*<2/2,*,2K7,*=.08;2C*,2K7B9;28;2C*,2K7-.9;8+5.6*< 7?.<=20*;B-2*078<=2,*;9;8+5.6*<>=252C*7-8.A9.;=8<.75*<6*=.;2*<;.5.?*7=.<9*;*?*58;*;B*7*52C*;5*< ,*><*<;*GC '*79;87=8,8685*<,*><*<;*GC-.58<9;8+5.6*<<.1*B*72-.7=2/2,*-8,;.*;;.02<=;8<-..;;8;.<,878,2-8<B >7*<85>,2K7=.698;*5*9;892*-*.2-.7=2/2,*;<85>,287.<98=.7,2*5.< -.7=2/2,*;.272,2*;<85>,287.<<8<=.72+5.<;./2;2F7-8<.*5*,*><*;*GC5.?*7=*7-89.=2,287.<-.,*6+28* =;*?F<-.59;8,.<8-.0.<=2K7-.,*6+28<.<=*+5.,2-8<2<.;.:>2.;.9*;*;.<85?.;.;;8;.<<.0>;*;<.-.:>. .59.;<87*5*/.,=*-8.<=D*5=*7=8-.5*<*,,287.<=86*-*<B-.58<95*7.<-.<*;;855*-8<9*;*9;.?.72;:>. ?>.5?*7*8,>;;2;/>=>;8<27,2-.7=.< ).;2/2,*;5*<*=2</*,=8;2*;.<85>,2K7-.27,2-.7=.<B8<*=2</*,=8;28,>695262.7=8-.9.=2,287.<B,2.;;. &&.<=287*;5*<.0>;2-*--.58<9>.<=8<-. ><>*;28/27*5 <.0>;*;:>.=8-8<58<><>*;28<=.70*7-.;.,18<-.*,,.<8*5*27/8;6*,2K7-.*,>.;-8,87 58<;.:>.;262.7=8<-.7.08,28B,88;-27*;,875*<>72-*-.<-.7.08,28:>.0.<=287*7<><9;8928<-.;.,18<-. *,,.<8,8758<9;8,.<8<-.7.08,28 ./272;.2695.6.7=*;9;8,.-262.7=8<9*;*,87,.-.;5262=*;B;.?8,*;*,,.<8*58,*5.<.-2/2,28<BD;.*<-. *,>.;-8,875*<7.,.<2-*-.<-.57.08,2827,5>B.7-8.6.;0.7,2*<5*,,.<8*58,*5.<.-2/2,28<BD;.*<-.+. &&.<=287*;.5*,,.<8/G<2,8*58<*,=2?8<-.' .<=*;3><=2/2,*-8*>=8;2C*-8;.02<=;*-8B<>9.;?2<*-8<=8*952,*;D*=8-*<5*<9.;<87*<:>..7=;.7.758< 58,*5.<27,5>B.7-8.695.*-8<.695.*-8<=.698;*5.<,52.7=.<?.7-.-8;.<?2<2=*7=.<8,>*5:>2.;8=;* =.;,.;*9*;=. <=*+5.,.;<*5?*0>*;-*</G<2,*<*9;892*-*<9;D,=2,*<-.,87=*+252-*-B0.<=2K7-.527?.7=*;289*;**,=2?8<-. &&.<=287*;-8,>6.7=8<<.7<2+5.<B-2<98<2=2?8< '<.7<2+5.<=*5.<,868/8;6>5*;28<.<9.,2*5.<=G=>58<7.08,2*+5.<269;.<8;*<-.9;89K<2=8.<9.,2*58 -.<*52-* ,;.-.7,2*5.<=84.7-.<.0>;2-*- (<*7-81.;;*62.7=*<-.-.=.,,2K7-.27=;><287.<<>9.;?2<*;5*27/;*.<=;>,=>;*9*;*-.=.,=*;*,,.<8<78 &&&>9.;?2<*;5*27/;*.<=;>,=>;*9*;*-.=.,=*; *>=8;2C*-8<B*<.0>;*;:>.,>*5:>2.;.?.7=8.<=F27=.0;*-8,875*<>9.;?2<2K70.7.;*5-..?.7=8<B5*0.<=2K7 .?.7=8<;.5*,287*-8<,875*<.0>;2-*-.27,2-.7=.< ?*5>*;B<>9.;?2<*;,87=27>*6.7=.5*.3.,>,2K7-.5*<*,=2?2-*-.<-.58<9;8,.<8<-.7.08,28B && 527.*;5*<*,=2?2-*-.<-.,87=;85.6+.+2-*< ,87=;85.<;.5*,287*-8<+*<*-8<.7.5;2.<08,8;98;*=2?89*;**<.0>;*;:>..59;8,.<*62.7=8-.,87=;85.< .758<9;8,.<8<-.7.08,28,8758<8+3.=2?8<,8;98;*=2?8< .<=D*527.*-8,875*<7.,.<2-*-.<-.57.08,28 <.0>;*;:>.58<9>.<=8<-.><>*;28/27*5.<-.,2;98;=D=25.:>298<8+;.6.<*<.;?2-8;B8=;8<-2<98<2=2?8<B <8/=@*;.6K?25.<B-.;.-.<=D7*<.0>;*-8<*>772?.5:>..<20>*586*B8;*5-./272-8.758<;.:>.;262.7=8< -.<.0>;2-*--.5*27/8;6*,2K79;8,.<*-**56*,.7*-*8=;*7<62=2-* ./272;5*985G=2,*B*5,*7,.-.,87=27>2-*--.7.08,28*527.*-*,8758<8+3.=2?8<-.7.08,28B-.5*<9*;=.< 27=.;.<*-*< ?*5>*;5*<89,287.<-.0.<=2K7-.5*,87=27>2-*--.7.08,28B.<,80.;>7*.<=;*=.02*-.,87=27>2-*-?2*+5.B && *7=.7.;>7*.<=;*=.02*-.,87=27>2-*./.,=2?*.7,8<=.:>.9>.-**<.0>;*;5*,87=27>2-*-B;.,>9.;*,2K7-.5*.69;.<*/;.7=.*>7-.<*<=;.> 8=;827,2-.7=.6*B8;8-2<;>9,2K7 .<*;;855*;>795*7-.,87=27>2-*--.7.08,28#+*<*-8.75*.<=;*=.02*:>.-8,>6.7=.58< &&.<*;;855*;.2695.6.7=*;>7*;.<9>.<=**5* 9;8,.-262.7=8<B5*27/8;6*,2K752<=*9*;*.5><8.7>727,2-.7=.9*;*/*,252=*;:>.5*.69;.<*,87=27L.,87 ,87=27>2-*--.57.08,28 <><*,=2?2-*-.<,;G=2,*< #;8+*;58<*,>.;-8<-.,87=27>2-*-;.0>5*;6.7=.9*;*.3.;,2=*;58<95*7.<-.;.,>9.;*,2K7;.<9.,=8*>78< &&3.;,2=*;9;8+*;B;.?2<*;.595*7-. ;.<>5=*-8<9;.-.=.;627*-8<9*;*9.;62=2;.5-.<*;;8558-.<85>,287.<2778?*-8;*<B9*;**B>-*;*?.;2/2,*; ,87=27>2-*:>..595*7/>7,287*;D.7.5=2.698,868<..<9.;* %.*52C*;>7*;.?2<2K798;5*2;.,,2K7-.5*,*9*,2-*--.,87=27>2-*-*27=.;?*58<;.0>5*;.<9*;**<.0>;*;<> &&%.?2<*;6*7=.7.;B6.38;*;.595*7-. ,87=27>*2-87.2-*-*-.,>*,2K7B./.,=2?2-*-.<=287*;58<,*6+28<.7.595*7-.*,>.;-8*59;8,.<8-. ,87=27>2-*,87=;85-.,*6+28<9*;**<.0>;*;:>..595*7-.,87=27>2-*-<.6*7=2.7.*,=>*52C*-8B;./5.3*,87=27>*6.7=. 58<;.:>.;262.7=8<*,=>*5.<-.57.08,28 &&#;898;,287*;/8;6*,2K7.7.595*7-. #;898;,287*;*=8-*<5*<9*;=.<26952,*-*<27=.;7*<B.A=.;7*<-.<.<287.</8;6*=2?*<;.0>5*;.<:>. ,87=27>2-*,87=.695.758<9;8,.-262.7=8<B<><;85.<B;.<987<*+252-*-.<.7,*<8-.-2<;>9,2K7 &&.<=287*;*,>.;-8<-.;.<9*5-8 *7=.7.;5*-2<9872+252-*--.5*27/8;6*,2K7,;G=2,*-.57.08,28 ?*5>*;5**-.,>*,2K7-.5#5*7-.87=27>2-*--.!.08,28#-.<9>F<-.5*;.*7>-*,2K7.A2=8<*-.58< &&3.,>=*;;.?2<287.<98<=;.*7>-*,2K7 9;8,.<8<-.7.08,28B<.;?2,28<-.<9>F<-.>7*-2<;>9,2K7 695.6.7=*;B6*7=.7.;./.,=2?*<6.-2-*<9;.?.7=2?*<-.-.=.,,2K7B,8;;.,=2?*<.<9.,2*56.7=.9*;,1.< -.<.0>;2-*-*,=>*52C*-8<B,87=;85-.?2;><*585*;08-.5*.69;.<*9*;*9;8=.0.;58<<2<=.6*<-. && #;8=.0.;,87=;*<8/=@*;.6*52,28<86*5@*;. 27/8;6*,2K7B=.,78580G*-.5<8/=@*;.6*52,28<898;.3.6958?2;><0><*78<<8/=@*;..<9G*M<9B@*;.B ,8;;.8+*<>;* &&.<=287*;5*<.0>;2-*--.5*;.-B5*< (=252C*;6.-2-*<-.<.0>;2-*-B9;8,.-262.7=8<-.0.<=2K7;.5*,287*-8<9*;*9;8=.0.;5*27/8;6*,2K7.7 ,87.A287.< =8-8<58<68-8<-.,87.A2K7 && ./272;5*985G=2,*-.,87=27>2-*--.57.08,28 8+3.=2?8<B*5,*7,. &&%.*52C*;>7*0.<=2K7-.9;8+5.6*<9;8*,=2?* &&%.<85?.;B,.;;*;9;8+5.6*< &&.?*7=*;.;;8;.<,878,2-8< &&7?.<=20*;B-2*078<=2,*;9;8+5.6*< && -.7=2/2,*;B,5*<2/2,*;9;8+5.6*< &&&.0>2;.5.<=*-8B.62=2;27/8;6.< &&.;;*;9.=2,287.<-.<.;?2,28.27,2-.7=.< #;8=.0.;5*27/8;6*,2K7-.5*.69;.<*9*;*6*7=.7.; *,.9=*+5..572?.5-.;2.<08-.<.0>;2-*--.5*27/8;6*,2K7-. &&.<=287*;5*2-.7=2-*--.5><>*;28B.5*,,.<8 &&.<=287*;<.;?2,28< *,>.;-8,875*985G=2,*-.<.0>;2-*-<=*+5.,.;B6*7=.7.;58< 5K02,8 -.<.0>;2-*;85.<-.<.0>;2-*-B9;2?25.028<-.*,,.<8-.5*27/8;6*,2K7B ;.*52C*;5*<>9.;?2<2K7-.5*<.0>;2-*- &&.<=287*;5* ,87=27>2-*- &&.<=287*; 9;8+5.6*< #;8?..;>7*;.<9>.<=*898;=>7*B./.,=2?**5*<9.=2,287.<-. &&.<=287*; ><>*;28B5*;.<85>,2K7-.=8-8=298-.27,2-.7=.<%.,>9.;*;.5 9.=2,287.<.27,2-.7=.<-. <.;?2,2878;6*5;.02<=;*;B,8695.=*;5*<9.=2,287.<-. ><>*;28B;.02<=;*;27?.<=20*;-2*078<=2,*;.<,*5*;B;.<85?.; <.;?2,28 27,2-.7=.< ! ! %.?2<*;5*./.,=2?2-*--.58<,87=;85.<<8+;. 58<9;8,.<8<-.7.08,28 &>9.;?2<*;.5,87=;8527=.;78 <.0>;*;5*2695*7=*,2K7-.6.-2-*< ,8;;.,=2?*< #5*72/2,*;5*<272,2*=2?*<-.*<.0>;*62.7=8+*<D7-8<..758<8+3.=2?8<.69;.<*;2*5.<B5*<9;28;2-*-.< .<=;*=F02,*<;2.<08271.;.7=.;.<=;2,,287.<-.;.,>;<8<B<>/2,2.7=.,878,262.7=8-.5*,869*IG* ./272;B*,8;-*;,875*-2;.,,2K7.5D6+2=8-.5*272,2*=2?*-.*<.0>;*62.7=8+*<D7-8<..758<8+3.=2?8<-. *<.0>;*62.7=8 #5*72/2,*;272,2*=2?*<-.*<.0>;*62.7=8 <=>-2*;5*<272,2*=2?*<-.*<.0>;*62.7=8 <.0>;*;:>.5*<.7=2-*-.<:>.;.*52C*7.5*<.0>;*62.7=8<8727-.9.7-2.7=.<-.5*/>7,2K70;>98> 8;0*72C*,2K7.7.5*5,*7,.*<.7=2-*-.<:>.;.*52C*7.5*<.0>;*62.7=8-.+.;G*7-.68<=;*;>7**,=2=>-B *9*;2.7,2**9;892*-*<B*-.,>*-*,869.=.7,2*.75*<1*+252-*-.<B,878,262.7=8<:>.<877.,.<*;28<9*;* ;.*52C*;.5*<.0>;*62.7=8B5**-1.;.7,2**58<,K-208<-.F=2,*B58<.<=D7-*;.<9;8/.<287*5.< -.7=2/2,*;-./2,2.7,2*<-.,87=;85B*7*52C*;.2-.7=2/2,*;5*<,*><*<;*GC<>+B*,.7=.<<,*5*;5*<-./2,2.7,2*< -.,87=;85B,86>72,*;5*<*5*<9*;=.<27=.;.<*-*< <=26>5*;*5*2;.,,2K7B*58<9;892.=*;28<-.58<9;8,.<8<*=86*;98<.<2K7-.6*7.;*/2;6.-.5 9;8,.-262.7=8-.6.38;*-.5,87=;85*=;*?F<-.9;80;*6*<,87=27>8<-.*>=8.?*5>*,2K7:>.?*58;.75* ,8695.=2=>-B./.,=2?2-*--.5,87=;85-.5*2;.,,2K7<8+;.58<9;8,.<8<985G=2,*<B,87=;*=8< %.?2<*;.27/8;6*;-./8;6*9.;2K-2,*<8+;..5-.<.69.I8;.<9.,=8-.58<8+3.=2?8<>=252C*7-86F=8-8<:>. 9;898;,287.7>7*?2<2K7,8695.=*B<>,27=*-.5;.7-262.7=8-.5*<'B.7,*3.,87.5<2<=.6*,8;98;*=2?8-. <>9.;?2<2K7 98B*;*5*<9*;=.<27=.;.<*-*<.75*2-.7=2/2,*,2K7272,28B<.0>262.7=8-.5*<*,,287.<,8;;.,=2?*< 9*;*<85?.7=*;*786*5G*< %.*52C*;-./8;6*,87=27>*5*<>9.;?2<2K758<.<=>-28<,869*;*=2?8<B5*6.38;*.5.7=8;78-.,87=;85-.'B .56*;,8-.,87=;859*;**5,*7C*;58<8+3.=2?8<8;0*72C*=2?8< %.?2<*;5*89.;*,2K7-.,87=;85.<27,5>B.7-85*;.?2<2K7-.5*<.?2-.7,2*<-.<>9.;?2<2K7B9;>.+*<9*;* *<.0>;*;:>.58<,87=;85.<27,8;98;*-8<.758<9;8,.<8<-.7.08,2889.;*7-.6*7.;*./.,=2?* 7,5>2;*,=2?2-*-.<-.6*7=.7262.7=8-..?2-.7,2*<-.5*89.;*,2K7./.,=2?*-.,87=;85.<*=;*?F<-. 6.,*72<68<,8685*,869;8+*,2K79.;2K-2,*-.,87=;85.<<>9.;?2<2K7,87=27>*-.,87=;85.<.?*5>*,287.< 27-.9.7-2.7=.<,.7=;8<-.6*7-8B,87=;85B,.7=;8<-.89.;*,2K7-.;.-<=89;898;,287**57.08,28-.5* <.0>;2-*--.5*./.,=2?2-*--.5,87=;859*;*<*=2</*,.;58<;.:>2<2=8<;.5*=2?8<*57.08,28B*5*< ;.<987<*+252-*-.<<8,2*5.<B;.0>5*=8;2*< %.,8925*;B9;8,.<*;-*=8<898;=>78<B9;.,2<8<-.*,>.;-8,8758<.7/8:>.<-.57.08,28 %.,8925*;B9;8,.<*;58<-*=8<-. ,>695262.7=8B;.7-262.7=8 7*52C*;.27/8;6*;<8+;..5;.7-262.7=8 85*+8;*;,875*<9*;=.<27=.;.<*-*<.75*-./272,2K7;.?2<2K79.;2K-2,**,=>*52C*,2K7B*9;8+*,2K7-.58< 8+3.=2?8<-.;.7-262.7=8B,>695262.7=8.76*;,*-8<-.7=;8-.5<2<=.6*-.6.-2-*-.5;.7-262.7=8 7?85>,;*;*5*<9*;=.<27=.;.<*-*<.7.5.<=*+5.,262.7=8B6*7=.7262.7=8-.>7.7/8:>.-.<>9.;?2<2K7:>. -./27*58<8+3.=2?8<*5,*7,.B6F=8-8-.6.-2,2K7-.5*<<85>,287.<-.7.08,285*.7=;.0*-.5<.;?2,28B5* ,87=;2+>,2K7*58<8+3.=2?8<-.7.08,287=.0;*;.<=..7/8:>.,87.5<2<=.6*-.0.<=2K7-.5;.7-262.7=8-.5* ,869*IG* <=*+5.,.;58<8+3.=2?8<-.,>695262.7=8B ;.7-262.7=8 <=*+5.,.;>7.7/8:>.-.5*<>9.;?2<2K7 %.*52C*;*>=8.?*5>*,287.<-.,87=;85 &>9.;?2<*;B.?*5>*;-./8;6*,87=27>*.5.7=8;78-.,87=;85 27,5>B.7-8=*7=8*>=8.?*5>*,287.<,868;.?2<287.<.A=.;7*< &>9.;?2<*;.?*5>*; 27-.9.7-2.7=.<*,252=*;*5*2;.,,2K75*2-.7=2/2,*,2K7-. -.7=2/2,*;B,86>72,*;5*<-./2,2.7,2*<-. B?*58;*;.5<2<=.6*-. -./2,2.7,2*<.27./2,2.7,2*<.7.5,87=;85B.5272,28-.*,,287.< ,87=;85 ,87=;8527=.;78 -.6.38;*#5*72/2,*;8;0*72C*;B6*7=.7.;78;6*<9*;*5* .?*5>*,2K7-.5,87=;8527=.;78B5*<*,=2?2-*-.<-. *;*7=2C*;:>.58<9;8?..-8;.<-. *<.0>;*62.7=8 *<.0>;*62.7=8<8727-.9.7-2.7=.<B.<=D7,>*52/2,*-8< %.,85.,=*;?*52-*;B.?*5>*;6F=;2,*<B8+3.=2?8<-.7.08,28 &>9.;?2<*;.?*5>*; -.'B-.9;8,.<8<&>9.;?2<*;:>.58<9;8,.<8<<..<=D7 B?*58;*;.5;.7-262.7=8B ;.*52C*7-8*,8;-.*5;.7-262.7=8*,8;-*-8B,87/8;6.*58< 8+3.=2?8<B6F=;2,*<B<.9;898;,287*727/8;6.<-./8;6* 5*,87/8;62-*<2<=.6D=2,*B95*72/2,*-* <.0>;*;58<*,=2?8<-.27/8;6*,2K7*,,.<2+5.<98;.57.08,28*=;*?F<-.58<6F=8-8<*9;8+*-8<27,5>B.7-8 5*27/8;6*,2K7.7/8;6*=8.5.,=;K72,8=*5.<,8686F=8-8<9*;*,;.*;7>.?8<*,=2?8<.7,>*5:>2.;/8;6* -2<98<2=2?8<98;=D=25.<*952,*,287.<-.><>*;28B-2<98<2=2?8<-.*56*,.7*62.7=827/8;6*,2K7.7/8;6*=8 /G<2,8=*5.<,868-8,>6.7=8</>.7=.827/8;6.<-.<*52-*.27/8;6*,2K7.7=;D7<2=8<=8+.7./2,2**5 7.08,289;898;,287*7-8>7*<*5?*0>*;-*-.5*27/8;6*,2K7-.,862.7C8*/27 <.0>;*;:>.5*27/8;6*,2K7-.7.08,289>.-.<.;;*<=;.*-*1*<=*58<;.<987<*+5.<B.?.7=8<-.7.08,28:>. 5*8;2027*7<=89.;62=.=;*C*+252-*--.5*27/8;6*,2K7*585*;08-.<>,2,58-.?2-*B9;8,.<8<;.5*,287*-8< #;898;,287*0*;*7=G*<-.:>.5*27/8;6*,2K7:>.,87->,..57.08,28.<-.,87/2*7C*B1*<2-89;8,.<*-* *,8;-.*58<8+3.=2?8<-./272-8< .<=287*;5*<.A,.9,287.<B.;;8;.<-.58<9;8,.<8<-.7.08,28B/*,252=*;<>,8;;.,,2K77,5>2;.<,*5*-* .;;8;.<B.A,.9,287.<.758<9;8,.<8<-.7.08,28B5*.3.,>,2K7-.*,,287.<,8;;.,=2?*<-./272-*<<=8 9;898;,287*0*;*7=G*-.9;.,2<2K7.27=.0;2-*--.59;8,.<8-.27/8;6*,2K7-.57.08,28 "!'"%%)(%*"%% &&<.0>;*;58<*,=2?8<-.27/8;6*,2K7 ./272;B6*7=.7.;,87=;85.<*9;892*-8<-.9;8,.<8-. 7.08,289*;**<.0>;*;:>.5*27/8;6*,2K7;.5*,287*-*B 9;8,.<*-*-.7=;8-.5*8;0*72C*,2K78-./8;6*.A=.;7* &&.<=287*;,87=;85.< <*=2</*,.=8-8<58<;.:>.;262.7=8<;.5.?*7=.<9*;*.5,87=;85 -.5*27/8;6*,2K7-.7=2/2,*;58<;.:>2<2=8<-.,87=;85-.5* &&.<=287*;.;;8;.<B.A,.9,287.< -.9;8,.<8<-.7.08,28 27/8;6*,2K7B0.<=287*;B89.;*;58<,87=;85.<*-.,>*-8<9*;* *<.0>;*;:>.5*27/8;6*,2K7B<>9;8,.<*62.7=8<*=2</*,.7 .<=8<;.:>.;262.7=8< &&<.0>;*;5*=;*C*+252-*--.58<.?.7=8<B ;.<987<*+252-*-.<-.27/8;6*,2K7 "9.;*;5*.3.,>,2K7-.5*<*,=2?2-*-.<-.9;8,.<8-.7.08,28B,87=;85.<;.5*,287*-8<+*<*-8<.7.5;2.<08 &&87=;85*;.59;8,.<*62.7=8-.5*27/8;6*,2K7 ,8;98;*=2?89*;**<.0>;*;:>..59;8,.<*62.7=8-.5*27/8;6*,2K7.<?D52-8,8695.=89;.,2<8898;=>78B <.0>;8.<-.,2;;./5.3*.5><8-.7.08,28*>=8;2C*-8B5.02=26*-8 .<=287*;58<;85.<-.7.08,28;.<987<*+252-*-.<72?.5.<-.*>=8;2-*-B<.0;.0*,2K7-.=*;.*<7.,.<*;2*< 9*;**98B*;58<8+3.=2?8<-.59;8,.<8-.7.08,28>=8;2C*;.5*,,.<8*,>*5:>2.;*,=2?8-.27/8;6*,2K7 &&.<=287*;;85.<;.<987<*+252-*-.<9;2?25.028< ;.5*=2?8*58<9;8,.<8<-.27/8;6*,2K7-.57.08,2827,5>B.7-8*:>.558<+*385*,><=8-2*-.57.08,28-.'B-. -.*,,.<8B72?.5.<-.*>=8;2C*,2K7 =.;,.;*<9*;=.<<=8*<.0>;*:>..57.08,28<*+.-87-..<=D758<-*=8<B:>2.758<.<=D6*7.3*7-8.7<> 786+;. ! ! ! "+=.7.;0*;*7=G*-.,>695262.7=8-. ;.:>2<2=8<.A=.;78< ?*5>*;.5,>695262.7=8-.;.:>2<2=8<;.0>5*=8;28<B ,87=;*,=>*5.<=*7=8.758<9;8,.<8<-.',868.758<9;8,.<8< &>9.;?2<*;.?*5>*; "9=262C*;5*;.<9>.<=**;.:>2<2=8<.A=.;78< -.7.08,28-.9.7-2.7=.<-.5*<=.,78580G*<-.5*27/8;6*,2K7 B?*58;*;5*,87/8;62-*"+=.7.;0*;*7=G*<-.:>.<.1*72-.7=2/2,*-8<.,>695.,87 ,8758<;.:>2<2=8<.A=.;78< 58<;.:>2<2=8<B<.1*27=.0;*-8.5,>695262.7=8-.'.7.5 87/2;6*;.5,>695262.7=8-.;.:>2<2=8< ,>695262.7=8-.5*.69;.<*0.7.;*5 .A=.;78< -.7=2/2,*;;.:>2<2=8<.A=.;78<-. ,>695262.7=8 3.,>=*;5*<272,2*=2?*<-.*<.0>;*62.7=8 87/2;6*;.5,>695262.7=8-.5*<985G=2,*<58<9;27,2928<58<.<=D7-*;.<58<9;8,.-262.7=8<B5*< 6.=8-8580G*<,8758<;.:>2<2=8<5.0*5.<;.0>5*=8;28<B,87=;*,=>*5.< "+=.7.;B78=2/2,*;0*;*7=G*<-.,>695262.7=8B*-1.;.7,2**985G=2,*<9;27,2928<.<=D7-*;.<9;8,.-262.7=8< B6.=8-8580G*<87/2;6*;:>.5*<*,,287.<,8;;.,=2?*<9*;*=;*=*;5*<-2/.;.7,2*<.7.5,>695262.7=8<87 ,.;;*-*<*=2.698 %.?2<*;B*3><=*;985G=2,*<9;27,2928<.<=D7-*;.<9;8,.-262.7=8<B6.=8-8580G*<9*;**<.0>;*;5**-.,>*-* 0.<=2K7B,86>72,*,2K7-.58<;.:>2<2=8<5.0*5.<;.0>5*=8;28<B,87=;*,=>*5.<87<2-.;*;:>..<=D7-*;.< <.,=8;2*5.<,K-208<-.+>.7*<9;D,=2,*<B0>G*<-.6.38;.<9;D,=2,*<9>.-.7*-89=*;<.B*-*9=*;<. -.7=2/2,*;B<>9.;?2<*;-.6*7.;*,87=27>*-*,*6+28<.75*<5.02<5*,287.<B;.0>5*,287.<=*7=858,*5.<,868 27=.;7*,287*5.<*<G,8688=;8<;.:>2<2=8<.A=.;78<-.8+520*-8,>695262.7=8.7.5D;.*-.' 3.,>=*;5*272,2*=2?*-.*<.0>;*62.7=895*72/2,*-*7/8;6*;-.58<1*55*C08<2-.7=2/2,*-8<#;8?..;8927287.< -.*<.0>;*62.7=898<2=2?8,>*7-8<.*898;=>78B;.,86.7-*,287.<-.6.38;*;.5*=2?*<*58<;2.<08< ;.<2->*5.<2-.7=2/2,*-8<.7.5-.<.69.I889.;*,287*5.5,>695262.7=8.A=.;78B.5<2<=.6*-.,87=;85 27=.;78 ! 139 ANEXO 4: VALORACIÓN PROCESOS Cálculo de los valores para la herramienta En este anexo se detalla el proceso realizado para obtener los valores que se ingresaron en la herramienta Self Assesment Template. En cada nivel se evalúan criterios y según su cumplimiento se obtiene un porcentaje para el nivel, estos criterios están basados en COBIT. Para evaluar los criterios se toma en cuenta las respuestas negativas y positivas como porcentaje, si existe un No, equivale a 0%, un Si, es 100%. EDM01 ASEGURAR EL ESTABLECIMIENTO Y MANTENIMIENTO DEL MARCO DE REFERENCIA DE GOBIERNO Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total El nivel de este proceso es 0. Se cumple No No 0 EDM03 ASEGURAR LA OPTIMIZACIÓN DEL RIESGO Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total El nivel de este proceso es 0. Se cumple No No 0 EDM04 Asegurar la optimización de recursos Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Se cumple Si Existe evidencia del alcance del propósito del proceso. Si Total 100 Nivel 1 Criterio a evaluar Se cumple Las necesidades de recursos de la empresa son cubiertos con capacidades óptimas. Se conocen las necesidades de recursos de la empresa Si Existe realimentación de las partes interesadas sobre la No optimización de los recursos Existen beneficios (p.ej., ahorro de costes) que se logran a través de Si la utilización óptima de los recursos Se contabilizan las desviaciones del plan de recursos y las No estrategias de arquitectura empresarial Total 50 Los recursos se asignan para satisfacer mejor las prioridades de la empresa dentro del presupuesto y restricciones. Se realiza un análisis de necesidades conjuntamente con Talento Si Humano y el área administrativa. Se asigna un presupuesto anual para abastecer las necesidades de Si recursos Se documenta la obtención y asignación de recursos Si Se analiza la asignación de recursos adecuados para los proyectos Si Los usuarios sienten que cuentan con los recursos apropiados No Total 80 El uso óptimo de los recursos se logra a lo largo de su completo ciclo de vida económico. Se reutilizan los componentes tecnológicos Si Se establecen políticas y principios para el cuidado de los recursos. No Se asignan responsables para asegurar el cuidado de los recursos Si Se realizan revisiones periódicas para el mantenimiento correcto de Si los recursos Existe un equipo de soluciones para los conflictos generados Si asociados a los recursos Total 80 Total 70 Nivel 2 Criterio a evaluar Se cumple Se identifican los objetivos para el rendimiento del proceso No El rendimiento del proceso es planeado y monitoreado No El rendimiento del proceso es planeado No El rendimiento del proceso es monitoreado No El rendimiento de los procesos se ajusta para cumplir con los planes No Las responsabilidades y autoridades para el rendimiento del proceso son 50 definidos, asignados y comunicados Se han definido autoridades necesarios para el rendimiento del proceso Si Se han definido responsabilidades necesarios para el rendimiento del Si proceso Se han asignado las responsabilidades y autoridades No Se han comunicado las responsabilidades y autoridades No Los recursos y la información necesarios para el rendimiento del proceso 25 son identificados, disponibilizados, localizados y usados Se han identificado los recursos y la información necesarios para el SI rendimiento del proceso Se han disponibilizado los recursos y la información No Se han localizado los recursos y la información No Se han usado los recursos y la información No Las interfaces entre las partes envueltas se gestionan para asegurar comunicación efectiva y una clara asignación de responsabilidad. Se han establecido medios de comunicación con las partes interesadas Los requerimientos para los productos de trabajo del proceso son definidos. Los requerimientos para documentación y control de los productos de trabajo son definidos. Los productos de trabajo son apropiadamente identificados, documentados y controlados. Los productos de trabajo identificados. Los productos de trabajo son documentados. Los productos de trabajo controlados. Se han establecido controles para los productos de trabajo Los productos de trabajo son revisados de acuerdo a los arreglos planeados y ajustados de acuerdo a la necesidad para cumplir con requerimientos. Total El nivel de este proceso es 2. No No No No No No No No No No 13 APO01 Gestionar el marco de gestión de TI Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total Nivel 1 Criterio a evaluar Un conjunto efectivo de políticas ha sido definido y mantenido. Se ha establecido un conjunto de políticas Se dan controles para mantener las políticas establecidas. Se cumple Si Si 100 Se cumple Si No Total 50 Todos están al tanto de las políticas y como deberían ser implementadas Las políticas han sido socializadas con todos los empleados No Se han realizado planes sobre la implementación de las políticas. No Total 0 Total 25 El nivel de este proceso es 1. APO02 Gestionar la estrategia Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total Nivel 1 Criterio a evaluar Se cumple Si Si 100 Se cumple Todos los aspectos de la estrategia de TI están alineados con la estrategia del negocio Se conocen las necesidades de recursos de la empresa Si Existe realimentación de las partes interesadas sobre la No optimización de los recursos Existen beneficios (p.ej., ahorro de costes) que se logran a través de Si la utilización óptima de los recursos Se contabilizan las desviaciones del plan de recursos y las No estrategias de arquitectura empresarial Total 50 La estrategia de TI es coste-efectiva, apropiada, realista, factible, enfocada al negocio y equilibrada. Se realiza un análisis de necesidades conjuntamente con Talento Si Humano y el área administrativa. Se asigna un presupuesto anual para abastecer las necesidades de Si recursos Se documenta la obtención y asignación de recursos Si Se analiza la asignación de recursos adecuados para los proyectos Si Los usuarios sienten que cuentan con los recursos apropiados No Total 0 Se pueden derivar objetivos a corto plazo claros, concretos, y trazables de iniciativas a largo plazo específicas, y se pueden traducir, por tanto, en planes operativos Se reutilizan los componentes tecnológicos Si Se establecen políticas y principios para el cuidado de los recursos. No Se asignan responsables para asegurar el cuidado de los recursos Si Se realizan revisiones periódicas para el mantenimiento correcto de Si los recursos Existe un equipo de soluciones para los conflictos generados Si asociados a los recursos Total 20 TI es un generador de valor para el negocio. Se reutilizan los componentes tecnológicos Si Se establecen políticas y principios para el cuidado de los recursos. No Se asignan responsables para asegurar el cuidado de los recursos Si Se realizan revisiones periódicas para el mantenimiento correcto de Si los recursos Existe un equipo de soluciones para los conflictos generados Si asociados a los recursos Total 15 Total 22 APO07 Gestionar los recursos humano Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Se cumple No Existe evidencia del alcance del propósito del proceso. Total El nivel de este proceso es 0. No 0 AP012 Gestionar el riesgo Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total El nivel de este proceso es 0. Se cumple No No 0 AP013 Gestionar la seguridad Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total El nivel de este proceso es 0. Se cumple No No 0 BAI09 Gestionar los activos Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total Nivel 1 Criterio a evaluar Las licencias están alineadas a las necesidades del negocio Los bienes se mantienen a niveles óptimos Se realizan análisis de activos utilizados y no utilizados Se realizan inventarios de los activos Se analizan los activos obsoletos Se establecen políticas de uso de los activos Se asignan responsables de los activos Se comunican a los usuarios y responsables los cuidados que se deben tener para prolonga la vida útil de los activos Total El nivel de este proceso es 1. Se cumple Si Si 100 Se cumple No Si Si No No Si No Total 50 25 DSS01 Gestionar operaciones Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total El nivel de este proceso es 0. Se cumple No No 0 DSS04 Gestionar la continuidad Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total El nivel de este proceso es 0. Se cumple No No 0 DSS05 Gestionar servicios de seguridad Nivel 0 Criterio a evaluar El proceso se ha implementado o alcanza su objetivo. Existe evidencia del alcance del propósito del proceso. Total Nivel 1 Criterio a evaluar Se cumple Si Si 100 Se cumple La seguridad de las redes y las comunicaciones cumple con las necesidades del negocio Se realizan análisis de de vulnerabilidades Se implementan controles de seguridad de redes Se realizan pruebas para comprobar la efectividad de los mecanismos de seguridad Las redes y comunicaciones son filtradas para evitar accesos a aplicaciones y sitios potencialmente peligrosos No Si No Si Total 50 La información procesada, almacenada y transmitida en los dispositivos de usuario final está protegida. Se han implementado seguridades en las terminales de usuario final Si El usuario final ha recibido capacitación sobre seguridad No Total 50 Todos los usuarios están identificados de manera única y tienen derechos de acceso de acuerdo con sus roles en el negocio Todos los usuarios están identificados y usan contraseñas seguras Si Todos usuarios conocen del manejo seguro de contraseñas No Los usuarios tienen acceso según su perfil de usuario Si Se analizan los datos de ingreso, ingreso fallido, número de intentos No de inicio de sesión Total 50 Se han implantado medidas físicas para proteger la información de accesos no autorizados, daños e interferencias mientras es procesada, almacenada o transmitida. Se han implantado medidas físicas para proteger la información de Si accesos no autorizados Se realizan pruebas periódicas para evaluar la efectividad de estas No herramientas Total 50 La información electrónica tiene las medidas de seguridad apropiadas No mientras está almacenada, transmitida o destruida Total 40 El nivel de este proceso es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