CD-6941.pdf
Anuncio
ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS DESARROLLO DE UN PLAN DE CONTINUIDAD DE NEGOCIO PARA EL DEPARTAMENTO DE TI DE EMPRESAS. CASO DE APLICACIÓN EMPRESARIAL. PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN SANDRA MILENA NAZAMUES QUENGUAN [email protected] SANTIAGO ALEJANDRO SANDOVAL HINOJOSA [email protected] DIRECTOR: ING. BOLÍVAR OSWALDO PALÁN TAMAYO, MSc. [email protected] Quito, Enero 2016 II DECLARACIÓN Nosotros, Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que hemos consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedemos nuestros derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Sandra Milena Nazamués Santiago Alejandro Sandoval Quenguán Hinojosa III CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, bajo mi supervisión. Ing. Bolívar Palán DIRECTOR DE PROYECTO IV AGRADECIMIENTOS Agradezco a Dios por las bendiciones que me ha dado, una de ellas mi familia quien ha estado presente en cada momento de mi vida apoyándome de manera incondicional. A mis padres Milton y Elena por el esfuerzo que han hecho a pesar de los obstáculos presentados, por sus consejos que han hecho de mí una persona responsable y en especial por su amor infinito de padres. A mi hermana Anita por su apoyo incondicional en todos los sentidos, por su amor, enseñanzas y por inspirarme a ser mejor cada día. Gracias por ser parte de mi vida. A mis sobrinos Naim y Eduardo por ser mi motivo de inspiración para superarme cada día. A Santiago, novio y en especial amigo, gracias por ser mi persona especial, por reír conmigo en momentos buenos y hacerme reír en los momentos malos, a pesar de las dificultades presentadas hemos salido adelante juntos. A mis amigos quienes estuvieron apoyándome y ayudándome a lo largo de la carrera. A nuestro director Ing. Bolívar Palán, por su colaboración y paciencia como Director durante la realización de este Proyecto de Titulación. Milena V AGRADECIMIENTOS Agradezco a mis padres que siempre me han brindado apoyo en todo lo necesario en especial a mi mami que siempre está a mi lado, gracias por todo mami. A toda mi familia que siempre están pendientes de mí y un agradecimiento especial al Ing. Bolívar Palán quien nos ha guiado en el desarrollo de este proyecto de titulación Santiago VI DEDICATORIA Dedico este trabajo a mis padres y hermana, por enseñarme a salir adelante inclusive cuando las cosas se ponen difíciles. Por el apoyo brindado en momentos de tristeza e incertidumbre. Por estar ahí y encontrar en ellos siempre palabras de aliento para salir adelante. A mis amigos quienes conocí durante esta etapa universitaria, quienes se convirtieron en mi segunda familia, gracias por los maravillosos momentos compartidos, por su confianza y en especial por su apoyo incondicional en esos momentos en los cuales decaí. A Santiago por su paciencia, apoyo incondicional en los buenos y malos momentos y sobre todo mil gracias a su constancia todo ha salido adelante. Gracias por ser parte de mi vida y estar a mi lado. Milena VII DEDICATORIA A mis padres Anita y Fernando, a mi hermano Paúl, a mis tíos Fabián y Amelia, a mi abuelita Fanny, a Milena y a mis hermanos peludos Roger y Woody. Santiago VIII CONTENIDO CAPÍTULO I ............................................................................................ 1 RECONOCIMIENTO ORGANIZACIONAL .............................................. 1 1.1 DESCRIPCIÓN DE LA ORGANIZACIÓN ..................................................... 1 1.1.1 LA ORGANIZACIÓN EQUIVIDA ............................................................... 1 1.1.2 PRESENCIA DE EQUIVIDA EN ECUADOR ............................................. 2 1.1.3 ESTRUCTURA ORGANIZACIONAL DE EQUIVIDA S.A. ......................... 2 1.1.4 ESTRATEGIA EMPRESARIAL DE EQUIVIDA S.A. .................................. 4 1.2 1.1.4.1 Línea de Negocio de EQUIVIDA S.A. ............................................... 5 1.1.4.2 Portafolio de Productos de EQUIVIDA S.A. ...................................... 8 ESTUDIO DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN ............. 19 1.2.1 SITUACIÓN ACTUAL DE EQUIVIDA S.A. .............................................. 19 1.2.1.1 Análisis FODA de EQUIVIDA S.A. .................................................. 19 1.2.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI ............................. 22 1.3 1.2.2.1 Posicionamiento del Departamento de TI ....................................... 22 1.2.2.2 Estructura Organizacional del Departamento de TI ........................ 24 1.2.2.3 Análisis FODA del Departamento de TI .......................................... 25 1.2.2.4 Catálogo de Servicios de TI ............................................................ 27 LISTADO DE ACTIVOS DE TI .................................................................... 33 1.3.1 APLICACIONES ...................................................................................... 33 1.3.2 INFRAESTRUCTURA ............................................................................. 36 1.3.2.1 Computadoras................................................................................. 36 1.3.2.2 Switch ............................................................................................. 37 1.3.2.3 Servidores ....................................................................................... 38 IX 1.3.2.4 Topología de Red de EQUIVIDA S.A. ............................................. 40 1.3.3 DATOS .................................................................................................... 41 1.3.4 PERSONAL ............................................................................................. 41 1.3.5 UBICACIÓN ............................................................................................ 43 1.3.6 RESUMEN .............................................................................................. 44 1.4 ANÁLISIS DE VULNERABILIDADES Y RIESGOS ..................................... 46 1.4.1 IDENTIFICACIÓN DE AMENAZAS ......................................................... 46 1.4.2 IDENTIFICACIÓN DE VULNERABILIDADES ......................................... 47 1.4.3 IDENTIFICACIÓN DE RIESGOS ............................................................ 48 1.4.4 ANÁLISIS DE RIESGOS ......................................................................... 51 1.4.4.1 Escalas de Medición del Riesgo ..................................................... 51 1.4.4.2 Categoría del Riesgo ...................................................................... 51 1.4.4.3 Evaluación de Riesgos .................................................................... 51 CAPÍTULO II ......................................................................................... 56 ELABORACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO ........ 56 2.1 ESTUDIO INICIAL....................................................................................... 56 2.1.1 CLÁUSULA 4: CONTEXTO DE LA ORGANIZACIÓN ............................. 59 2.1.1.1 Entendimiento a la Organización y su Contexto .............................. 59 2.1.1.2 Entendimiento de las Necesidades y Expectativas de las Partes Interesadas ..................................................................................................... 59 2.1.1.3 2.2 Alcance del Plan de Continuidad del Negocio................................. 60 DEFINICIÓN DE REQUERIMIENTOS Y ESTRATEGIA ............................. 61 2.2.1 CLÁUSULA 5: LIDERAZGO .................................................................... 61 2.2.1.1 Liderazgo y Compromiso ................................................................ 61 2.2.1.2 Compromiso de la Gerencia............................................................ 62 X 2.2.1.3 Política de Continuidad del Negocio ............................................... 62 2.2.1.4 Roles y Responsabilidades ............................................................. 64 2.2.2 CLÁUSULA 7: APOYO ............................................................................ 66 2.3 2.2.2.1 Recursos ......................................................................................... 66 2.2.2.2 Competencia ................................................................................... 66 2.2.2.3 Toma de Conciencia y Comunicación ............................................. 67 OBJETIVOS DEL PLAN DE CONTINUIDAD .............................................. 68 2.3.1 CLÁUSULA 6: PLANEACIÓN ................................................................. 68 2.4 2.3.1.1 Objetivos ......................................................................................... 68 2.3.1.2 Factores Críticos de Éxito ............................................................... 68 METODOLOGÍA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO .............................................................................................................. 69 2.4.1 CLÁUSULA 8: OPERACIÓN ................................................................... 71 2.4.1.1 Análisis de Impacto del Negocio y Evaluación del Riesgo .............. 71 2.4.1.2 Estrategia de Continuidad del Negocio ........................................... 81 2.4.1.3 Procedimientos para Continuidad del Negocio [20] ........................ 83 2.4.1.4 Ejercicios y Ensayos ....................................................................... 89 2.4.2 CLÁUSULA 9: EVALUACIÓN DEL DESEMPEÑO .................................. 91 2.4.2.1 Monitoreo y Medición ...................................................................... 91 2.4.2.2 Análisis y Evaluación ...................................................................... 91 2.4.2.3 Auditoría Interna .............................................................................. 92 2.4.2.4 Revisión Gerencial .......................................................................... 92 2.4.3 CLÁUSULA 10: MEJORAMIENTO .......................................................... 93 2.4.3.1 No Conformidad y Acción Correctiva .............................................. 93 2.4.3.2 Mejora Continua .............................................................................. 93 XI 2.5 GENERACIÓN DEL DOCUMENTO............................................................ 94 CAPÍTULO III ........................................................................................ 95 APLICACIÓN DEL PLAN DE CONTINUIDAD ...................................... 95 3.1 RECOPILACIÓN DE DATOS DEL CASO DE APLICACIÓN ...................... 95 3.1.1 GESTIÓN DE INCIDENTES .................................................................... 96 3.1.2 GESTIÓN DE CENTRO DE SERVICIO .................................................. 98 3.1.3 GESTIÓN DE CONFIGURACIONES .................................................... 101 3.1.4 GESTIÓN DE NIVELES DE SERVICIO ................................................ 103 3.2 APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO ................ 106 3.2.1 ESCENARIOS DE APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO ......................................................................................................... 117 3.2.2 CRONOGRAMA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO ......................................................................................................... 125 3.3 ANÁLISIS DE RESULTADOS ................................................................... 126 3.3.1 ACEPTACIÓN, COLABORACIÓN Y CUMPLIMIENTO DEL PLAN DE CONTINUIDAD DEL NEGOCIO ....................................................................... 129 CAPÍTULO IV ...................................................................................... 131 CONCLUSIONES Y RECOMENDACIONES ...................................... 131 4.1 CONCLUSIONES ..................................................................................... 131 4.2 RECOMENDACIONES ............................................................................. 132 BIBLIOGRAFÍA .................................................................................................... 133 ANEXOS .............................................................................................................. 137 XII ÍNDICE DE FIGURAS Figura 1. Estructura Organizacional de EQUIVIDA S.A. ............................................. 3 Figura 2. Modelo de Negocio de EQUIVIDA S.A. [3] .................................................. 6 Figura 3. Mapa de Procesos de EQUIVIDA S.A. [3] .................................................... 7 Figura 4. Posicionamiento del Departamento de TI ................................................. 23 Figura 5. Estructura Organizacional del Departamento de TI.................................... 24 Figura 6. Topología de Red de EQUIVIDA S.A. ........................................................ 40 Figura 7. Ubicación del Departamento de TI ............................................................. 43 Figura 8. Categoría del Riesgo.................................................................................. 51 Figura 9. Cláusulas de la ISO 22301 ........................................................................ 58 Figura 10. Ciclo PDCA Aplicado al Proceso de la Continuidad del Negocio ............. 70 Figura 11. Escala de Criticidad.................................................................................. 72 Figura 12. Gestión de Incidentes............................................................................... 74 Figura 13. Gestión de Centro de Servicios ................................................................ 75 Figura 14. Gestión de Configuraciones ..................................................................... 76 Figura 15. Gestión de Niveles de Servicio ................................................................ 77 Figura 16. Relación entre RPO, RTO, WRT y MTD [17] ........................................... 79 XIII ÍNDICE DE TABLAS Tabla 1. Línea de Negocio de EQUIVIDA S.A............................................................. 5 Tabla 2. Seguros para Personas [4] ............................................................................ 8 Tabla 3. Buen Viaje - Seguro para Viaje [4] ................................................................ 9 Tabla 4. Seguro de Becario Senescyt [4] .................................................................. 12 Tabla 5. Seguros para Empresas [4] ......................................................................... 13 Tabla 6. Familia Empresarial [4] ................................................................................ 15 Tabla 7. Empresas Amigas [4] .................................................................................. 16 Tabla 8. Resumen de Productos y Servicios de EQUIVIDA S.A ............................... 18 Tabla 9. Análisis FODA de EQUIVIDA S.A. .............................................................. 20 Tabla 10. Matriz FODA de EQUIVIDA S.A. ............................................................... 21 Tabla 11. Análisis FODA del Departamento de TI ..................................................... 25 Tabla 12. Matriz FODA del Departamento de TI ....................................................... 26 Tabla 13. Catálogo de Servicios de TI ...................................................................... 27 Tabla 14. Listado de Aplicaciones ............................................................................. 33 Tabla 15. Listado de Desktops y Laptops ................................................................. 36 Tabla 16. Listado de Switches................................................................................... 37 Tabla 17. Listado de Servidores ................................................................................ 38 Tabla 18. Listado del Personal del Departamento de TI ........................................... 41 Tabla 19. Resumen de Activos de TI ........................................................................ 44 Tabla 20. Identificación de Amenazas ....................................................................... 46 Tabla 21. Identificación de Vulnerabilidades ............................................................. 47 Tabla 22. Identificación de Riesgos ........................................................................... 49 Tabla 23. Matriz Escala de Probabilidad x Impacto ................................................... 51 Tabla 24. Evaluación del Riesgo ............................................................................... 52 Tabla 25. Orden para Mitigar las Vulnerabilidades .................................................... 54 Tabla 26. Factores Críticos de Éxito ......................................................................... 69 Tabla 27. Identificación de Procesos Críticos............................................................ 72 Tabla 28. Análisis de Impacto del Negocio ............................................................... 78 Tabla 29. Tiempos de Recuperación ......................................................................... 80 XIV Tabla 30. Escenarios de Recuperación [18] .............................................................. 82 Tabla 31. Datos del Caso de Aplicación .................................................................... 95 Tabla 32. Estado de las Medidas de Defensa – P. Gestión de Incidentes ................ 97 Tabla 33. Estado de las Medidas de Defensa – P. Gestión de Centro de Servicio . 100 Tabla 34. Estado de las Medidas de Defensa – P. Gestión de Configuraciones .... 102 Tabla 35. Estado de las Medidas de Defensa – P. Gestión de Niveles de Servicio 105 Tabla 36. Medidas de Defensa de Gestión de Incidentes ....................................... 106 Tabla 37. Medidas de Defensa de Gestión de Centro de Servicio .......................... 106 Tabla 38. Medidas de Defensa de Gestión de Configuraciones.............................. 107 Tabla 39. Medidas de Defensa de Gestión de Niveles de Servicio ......................... 108 Tabla 40. Escenario 1: Mal Funcionamiento de los Equipos ................................... 117 Tabla 41. Escenario 2: Fallas de Software .............................................................. 118 Tabla 42. Escenario 3: Fallas de las Aplicaciones .................................................. 118 Tabla 43. Escenario 4: Fallas de los Servicios Contratados (ISP) .......................... 119 Tabla 44. Escenario 5: Fallas Humanas y Organizacionales .................................. 120 Tabla 45. Escenario 6: Desastres Naturales ........................................................... 123 Tabla 46. Escenario 7: Fallas Eléctricas ................................................................. 124 Tabla 47. Cronograma de Aplicación ...................................................................... 125 Tabla 48. Factor Tiempo ......................................................................................... 126 Tabla 49. Factor Financiero..................................................................................... 127 Tabla 50. Indicadores y Nivel de Cumplimiento del BPC ........................................ 129 Tabla 51. Resultados que Garantizan la Continuidad de las Actividades ............... 130 XV PRESENTACIÓN Hoy en día muchas organizaciones dependen de la tecnología para el desarrollo de sus actividades diarias, lo que implica que pueden tener situaciones que provoquen interrupciones. De esta manera un Plan de Continuidad del Negocio juega un rol importante en una organización, ya que de este se establecen las estrategias necesarias para reducir al máximo los riesgos que pueden provocar interrupciones en las actividades que se llevan a cabo en el negocio. El objetivo principal de un Plan de Continuidad del Negocio es reducir el impacto de cualquier imprevisto que afecte las operaciones del negocio. Para la ejecución de este proyecto se toma como referencia la Norma ISO 22301:2012, la cual provee una guía completa para el desarrollo y aplicación del Plan de Continuidad en una organización. Para una correcta elaboración del Plan de Continuidad se debe conocer a profundidad el caso de estudio, y así aplicar las cláusulas de la norma las cuales deben alinearse con los objetivos del negocio, de esta manera se verán reflejados los resultados esperados el finalizar la aplicación del Plan de Continuidad. El presente documento se encuentra estructurado de la siguiente manera, en el Capítulo I se realiza el reconocimiento organizacional teniendo como objetivo principal conocer la situación actual tanto de la organización como del Departamento de TI. En el Capítulo II tomando como base la Norma ISO 22301:2012 se desarrolla el Plan de Continuidad enfocándose en las cláusulas que presenta la norma. En el Capítulo III se describen los escenarios donde toma lugar la aplicabilidad del Plan de Continuidad a través de los procedimientos detallados para posteriormente obtener el análisis de resultados. Finalmente en el Capítulo IV se describen las conclusiones y recomendaciones obtenidas una vez culminado el desarrollo y aplicación del Plan de Continuidad. 1 CAPÍTULO I RECONOCIMIENTO ORGANIZACIONAL En este capítulo se realizará una descripción general de la empresa EQUIVIDA S.A., y las respectivas funciones del departamento de tecnología en donde se aplicará el Plan de Continuidad del Negocio. 1.1 DESCRIPCIÓN DE LA ORGANIZACIÓN 1.1.1 LA ORGANIZACIÓN EQUIVIDA EQUIVIDA S.A. es una empresa que forma parte del Grupo Futuro y se ubica como líder en el mercado de seguros de vida tanto individual como colectivo. El Grupo Equinoccial y Suramericana de Seguros de Colombia, establecen en el Ecuador una sociedad anónima cuyo principal objetivo social fue la operación en el campo de los seguros de vida y decidieron llamar EQUIVIDA a la nueva compañía. Es así que el 09 de mayo de 1994 nace oficialmente EQUIVIDA S.A., que funcionó en el edificio de Seguros Equinoccial empresa que también pertenece al Grupo Futuro. Se utilizó el sistema AS-400 para el manejo de las pólizas y se trabajó con computadores personales rentados, lo que motivó a crear el Departamento de Sistemas. EQUIVIDA S.A. cuenta con el respaldo de importantes reaseguradoras de prestigio mundial como son: Swiss Re, Hannover Rückversicherung AG, General Reinsurance AG (Gen Re), Mapfre Re, entre otras, con una larga trayectoria en el mercado nacional e internacional. Estas empresas cuentan con una fuerte solidez financiera y principalmente poseen una flexibilidad comercial que nos permite acceder a nuevos mercados. Este respaldo le permite a la empresa brindar a los clientes la tranquilidad, de que en caso de siniestro, estos serán cubiertos inmediatamente y sin inconvenientes [1]. 2 1.1.2 PRESENCIA DE EQUIVIDA EN ECUADOR EQUIVIDA S.A. es una empresa con 20 años en Ecuador, brindando solidez y confianza a sus clientes con soluciones de protección que buscan proveer una vida plena, tranquila y libre de preocupaciones. En estas dos décadas EQUIVIDA S.A. ha forjado un equipo con talento y de alto desempeño, ético y responsable. Preocupados por el ser humano detrás de cada colaborador, EQUIVIDA S.A. se compromete en impulsar su desarrollo personal y profesional así como ir mejorando las condiciones laborales permanentemente. Por estas y otras razones EQUIVIDA S.A. se ha merecido también el reconocimiento de ser una de las mejores empresas para trabajar en Ecuador [1]. 1.1.3 ESTRUCTURA ORGANIZACIONAL DE EQUIVIDA S.A. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Fuente: EQUIVIDA S.A. [2] Figura 1. Estructura Organizacional de EQUIVIDA S.A. 3 4 1.1.4 ESTRATEGIA EMPRESARIAL DE EQUIVIDA S.A. La empresa EQUIVIDA S.A. posee un plan estratégico [3], del cual a continuación se presentan los siguientes elementos: · Misión La razón de ser de Equivida es descubrir las incertidumbres de nuestros clientes y del mercado y ofrecer soluciones de protección y respaldo que sean consideradas valiosas. · Visión Ser tu elección de respaldo y tranquilidad en la vivencia de una vida plena. · Valores Corporativos o Respetamos a los demás o Compromiso con la sostenibilidad del medio ambiente o Autosuperación o Generosidad y Solidaridad o Actuamos éticamente o Damos lo mejor de nosotros o Humildad · Maniobras clave o Colaboradores talentosos y enamorados de EQUIVIDA S.A. o Profundo conocimiento de nuestros clientes y construcción de soluciones o Venta consultiva o Procesos eficientes enfocados en el cliente o Herramientas tecnológicas flexibles 5 1.1.4.1 Línea de Negocio de EQUIVIDA S.A. Dentro del campo de los seguros de vida, EQUIVIDA S.A. básicamente está dirigida a dos líneas de negocio, seguros de vida para personas y seguros de vida para empresas (ver Tabla 1). Tabla 1. Línea de Negocio de EQUIVIDA S.A. Personas Empresas - Individual - Corporativo - Familia empresarial - Masivo tradicional - MGA Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Las razones principales de la existencia de estas dos líneas de negocio en EQUIVIDA S.A. son por las necesidades de los clientes, ya que estas difieren tanto para individuales como para empresas y además los enfoques y las estrategias son especializadas para cada una de las líneas. EQUIVIDA S.A. a partir de su planeación estratégica se plantea que la meta hasta el 2017 sea tener su línea de negocio de manera equitativa, es decir, 50% en individual y 50% en corporativo. · Modelo de Negocio de EQUIVIDA S.A. EQUIVIDA S.A. cuenta con un equipo de colaboradores que ayudan a la conformación de líderes internos con alto desempeño, para mantener a la compañía como líder en el mercado, con base en la propuesta de valor [3]. EQUIVIDA S.A. transforma las incertidumbres en seguridad por medio de: · Detección/Creación de incertidumbres (necesidades) · Gestión del cliente · Generación de ofertas innovadoras · Gestión de procesos claves · Contar con una plataforma tecnológica flexible Figura 2. Modelo de Negocio de EQUIVIDA S.A. [3] 6 · MP – 010 MARKETING MP – 020 GESTION COMERCIAL MP – 040 SERVICIO AL CLIENTE Y CANALES Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa MP – 210 GESTION ESTRATEGICA MP – 160 APOYO LOGISTICO MP – 130 GESTION DE RIESGO TECNICO MP – 030 GESTION DE CONTRATOS MP – 220 GESTION DE LA CALIDAD Y MEJORAMIENTO MP – 150 TECNOLOGIA DE INFORMACION MP – 140 GESTION DE PROVEEDORES PROCESOS DE GESTION MP – 120 GESTION CONTABLE -FINANCIERA MP – 110 GESTION DEL TALENTO HUMANO PROCESOS DE APOYO PROCESOS PRIMARIOS Figura 3. Mapa de Procesos de EQUIVIDA S.A. [3] Mapa de Procesos de EQUIVIDA S.A. MERCADO Y CLIENTES 7 8 1.1.4.2 Portafolio de Productos de EQUIVIDA S.A. EQUIVIDA S.A. presenta sus productos de acuerdo a las necesidades de sus clientes, por lo que se encuentran divididos de la siguiente manera: · · Personas · Empresas · Familia empresarial · Beneficios con empresas amigas Seguros para Personas Tabla 2. Seguros para Personas [4] NOMBRE DEL COBERTURA EDAD DEL COBERTURAS FORMAS DE PRODUCTO PRINCIPAL ASEGURADO ADICIONALES PAGO Plan de 18 - 69 años Educación Muerte y/o desmembración accidental Futuro Pleno 0 - 69 años Incapacidad total y permanente Muerte por cualquier Enfermedades graves causa Gastos médicos por Accidente Protección Renta Familiar Mensual Diaria por Hospitalización Semestral Asistencia en viajes 18 - 69 años Personales Muerte y/o desmembración por accidente Anual Exequial Incapacidad Accidentes Trimestral total y permanente Gastos médicos por Accidente Renta Diaria por Hospitalización Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 9 Tabla 3. Buen Viaje - Seguro para Viaje [4] NOMBRE DEL PLAN TOTAL Para Ideal para TURISTA PLUS Visa INTELIGENTE Viajeros Schengen Ejecutivos Viajes a Europa Protección Total Alta Frecuentes Cobertura Smart al Gerencia dentro y Ejecutivos dentro mejor precio dentro fuera del Ecuador y y fuera del Ecuador Ecuador Asistencia médica TURISTA fuera del Ecuador Hasta $ 50.000 Hasta $ 20.000 Hasta $ 15.000 Hasta $ 12.500 Hasta $ 1.500 Hasta $ 1.000 Hasta $ 1.000 Hasta $ 1.000 Hasta $ 1.500 Hasta $ 1.200 Hasta $ 900 Hasta $ 600 Hasta $ 1.500 Hasta $ 1.000 Hasta $ 750 Hasta $ 600 Hasta $ 10.000 Hasta $ 10.000 Hasta $ 10.000 Hasta $ 2.500 Hasta $ 50.000 Hasta $ 20.000 Hasta $ 15.000 Hasta $ 12.500 Hasta $ 50.000 Hasta $ 20.000 Hasta $ 15.000 Hasta $ 12.500 Gastos de medicamentos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 1.000 Hasta $ 750 Exámenes diagnósticos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500 Gastos odontológicos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500 Ambulancia terrestre Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500 Sí Sí Sí Sí No No No No Consulta urgencia médica (incluye caso de preexistencias) Pérdida de equipaje ($ 50 por Kg.) Reembolso de gastos por vuelo cancelado o demorado Seguro de vida por muerte accidental Gastos médicos u hospitalarios por accidente en el exterior Gastos médicos u hospitalarios por enfermedad en el exterior Localización y transporte de equipaje y efectos personales Gastos por demora de equipaje a partir de 24 horas 10 NOMBRE DEL PLAN TOTAL TURISTA PLUS TURISTA INTELIGENTE Hasta $ 500 Hasta $ 400 Hasta $ 250 Hasta $ 200 Hasta $ 1.000 Hasta $ 600 Hasta $ 500 Hasta $ 400 Hasta $ 1.500 Hasta $ 1.200 Hasta $ 900 Hasta $ 600 Hasta $ 5.000 Hasta $ 2.000 Hasta $ 1.000 Hasta $ 500 Sí Sí Sí Sí Boleto Boleto Boleto Boleto Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí No No No No No No No No Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500 Hasta $ 150 por Hasta $ 100 por Hasta $ 100 por día día día Boleto Boleto Boleto Gastos por demora de equipaje a partir de 48 horas Gastos por demora de equipaje superior a 8 días Indemnización complementaria a la línea aérea por pérdida de equipaje ($50 por Kg. registrado) Anticipo/Préstamo de dinero (solo en el exterior) Traslado Sanitario (repatriación de enfermo o accidentado) Traslado del acompañante Repatriación de menores (sin exclusiones) Repatriación de restos mortales Traslado ambulancia aérea Regreso anticipado por siniestro grave en el domicilio (incendio o robo) Seguro de vida por muerte cualquier causa Terapia de recuperación física Gastos de hotel por convalecencia máximo 10 días Traslado del acompañante para Terapias Hasta $ 75 por día Boleto 11 NOMBRE DEL PLAN TOTAL TURISTA PLUS TURISTA Gastos de estancia para Hasta $ 150 por Hasta $ 100 por Hasta $ 100 por acompañante 10 días día día día Asistencia PC. On Line Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Sí Atención en 4 idiomas Sí Sí Sí Sí Adelanto de Fianza $ 5.000 $ 2.000 $ 1.000 $ 500 Asistencia Legal $ 5.000 $ 2.000 $ 1.000 $ 500 No No No No No No No No No No No No Hasta $ 150 Hasta $ 200 Hasta $ 100 Hasta $ 100 Informaciones previas de viaje INTELIGENTE Hasta $ 75 por día Concierge Buen Viaje (informaciones de restaurantes, shows) Mi camino seguro Interrupción del viaje por muerte de un familiar (Regreso anticipado) Transmisión de mensajes urgentes Asistencia en caso de robo o extravío de documentos Transferencia de fondos Orientación legal telefónica (En caso de haber sufrido robo o sufrido un accidente) Hogar protegido Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 12 Tabla 4. Seguro de Becario Senescyt [4] BECARIO SENESCYT DESCRIPCIÓN DEL PRODUCTO El seguro Becario Senescyt no paga deducible, cuenta con Asistencia Médica mundial 24/7 durante todo el año y con un costo único de $1.200 dólares al año. COBERTURA Asistencia médica y hospitalaria Consulta por urgencia médica (incluye enfermedades existentes). Hasta $ 1.000 Gastos médicos u hospitalarios por Accidente. $ 40.000 Gastos médicos u hospitalarios por Enfermedad. $ 40.000 Gastos de medicamentos de hospitalización. Sí Gastos de medicamentos. $ 2.000 Gastos Odontológicos. $ 1.000 Vuelos demorados y pérdida de equipajes Reembolso de gastos por vuelo cancelado o demorado por más de 6 horas. Localización y transporte de equipaje. $ 200 Sí Gastos por demora de equipaje a partir de 24 horas. Indemnización por pérdida de equipaje ($ 40 por Kg. registrado). $ 500 $ 1.300 Traslados y repatriaciones Traslado de un acompañante en caso de enfermedad o accidente. Gastos de transporte y repatriación sanitaria. Repatriación de restos mortales. Boleto Hasta $ 40.000 $ 40.000 Regreso anticipado por incendio o robo en el domicilio. Siempre que no haya un Boleto responsable viviendo en Ecuador. Seguro de vida por muerte por cualquier causa. $ 20.000 Coberturas de recuperación y terapias Gastos de hotel por convalecencia máximo 10 días. Hasta $ 300 Gastos de estadía para acompañante 10 días. Hasta $ 300 Coberturas Complementarias para el viaje Interrupción del viaje por muerte de un familiar (Regreso anticipado). Boleto Transmisión de mensajes urgentes. Sí Atención en 4 idiomas (Español, Inglés, Portugués, Francés). Sí Adelanto de fianza. $ 3.000 Asistencia legal. $ 2.000 Asistencia en caso de robo o extravío de documentos. Transferencia de fondos. Sí Hasta $ 1.000 Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 13 · Seguros para Empresas Tabla 5. Seguros para Empresas [4] PRODUCTO DESCRIPCIÓN CARACTERÍSTICAS COBERTURA Este producto no genera intereses ni ahorro, y no permite solicitar préstamos. Plan 1 año: · · Edad Muerte por cualquier causa de Contratación: Personas · desde 18 hasta 65 años de edad. Se Edad protección adicional con de Este Permanencia: Seguro de vida seguro da cobertura El seguro de vida corporativo hasta o grupal brinda protección cumplidos. los colaboradores y sus · la suma contratada. Forma 70 de · asegurada Cobertura el que seguro años Pago: · Muerte y/o desmembración accidental Mínima: $50.000 · contratar coberturas mejoran Mensual beneficiarios para que en caso de fallecimiento reciban los más puede · permanente Prima Mínima Anual: $180 Incapacidad total y · Enfermedades graves Plan 5 - 10 - 20 años: · Gastos médicos por Accidente · Edad de · · desde Diaria por Hospitalización Contratación: Personas Renta 18 · Asistencia en viajes hasta 69 años de edad. · Sepelio Edad de Permanencia: Este seguro da cobertura hasta los cumplidos. 70 años 14 PRODUCTO DESCRIPCIÓN CARACTERÍSTICAS · Forma de Anual, COBERTURA Pago: semestral, trimestral o mensual. · Cobertura Mínima: $40.000 · Prima Mínima Anual: $180 · Este seguro protege al contratante en caso de muerte del deudor asegurado, durante el plazo del crédito concedido. Vida - Desgravamen El desgravamen es un seguro para personas que contraen una deuda, Este producto no genera Se intereses ni ahorro, y no protección adicional con puede contratar permite solicitar préstamos. más coberturas mejoran el que seguro. mediante el cual, en caso de muerte del deudor, Equivida cubre la misma hasta el · Edad de Contratación: Personas monto contratado. desde · permanente 18 hasta 69 años de edad. Incapacidad total y · Exención de pago de primas por Incapacidad · Desempleo e Incapacidad · Cobertura de Préstamos Sepelio · Muerte y Este producto no genera familias en caso de muerte a intereses ni ahorro, y no desmembración por consecuencia permite solicitar préstamos. accidente Protege Accidentes Personales · a empleados de un y/o accidente. Cuenta con adicionales que coberturas permiten Se · Edad de extender la protección en Contratación: caso de sufrir una invalidez Personas total y permanente, recibir un hasta 65 años de edad. desde contratar protección adicional con más 18 puede coberturas mejoran el que seguro 15 PRODUCTO DESCRIPCIÓN reembolso de CARACTERÍSTICAS gastos médicos o una renta diaria · Forma de Pago: COBERTURA · Mensual Incapacidad total y permanente por por hospitalización, siempre accidente que enfermedad (no pre- las mismas estén originadas por un accidente. o existente) · Gastos médicos por Accidente · Renta Diaria por Hospitalización · Asistencia en viajes · Sepelio por accidente Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa · Familia Empresarial Tabla 6. Familia Empresarial [4] Productos Descripción Vida Familiar y Salud Familiar Programa con seguros voluntarios e individuales, a los que el colaborador podrá acceder a través de la organización como complemento a los beneficios de ley. Beneficios para la empresa: · Cubrir con beneficios adicionales al colaborador y su familia. · Incrementar la fidelidad y bienestar del personal. · Al ser un convenio entre el colaborador y EQUIVIDA S.A., el mismo no implica ninguna responsabilidad posterior para la organización. · Oportunidad de aprovechar campañas de salud preventiva u otras, que EQUIVIDA S.A. ofrece para las empresas asociadas, sin costo alguno. Características Beneficios para el colaborador y su familia: · Excelentes coberturas de seguros de vida, renta familiar, incapacidad para trabajar, anticipo por enfermedad terminal y servicio exequial. · Precios únicos en el mercado, gracias a una alianza entre la empresa y EQUIVIDA S.A. · Pago rápido de siniestros (5 días hábiles). · Opción de contratar coberturas para cónyuge, hijos, padres y hermanos. · Fácil contratación, no se requiere exámenes médicos. · Protección internacional. 16 Productos Cobertura Vida Familiar y Salud Familiar · Seguro de vida. · Renta Familiar mensual por muerte por cualquier causa. · Incapacidad total y permanente por accidente. · Anticipo por enfermedad terminal. · Servicio exequial. La Compañía no cubre el suicidio del Asegurado durante los dos (2) primeros años de haber No cubre estado amparado ininterrumpidamente. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa · Beneficios con Empresas Amigas Tabla 7. Empresas Amigas [4] SOLUCIONES DESCRIPCIÓN COBERTURA · Uso fraudulento · Clonación · Atraco y/o Robo · Uso indebido de PIN · Skimming en cajero (robo de información de tarjeta) · Hurto luego de 30 minutos de retiro de dinero del cajero Tarjeta Blindada: es una solución que asegura la Clientes tarjeta de débito Produbanco contra robo, Produbanco clonación y muchas más coberturas que puedes revisarlas abajo en el apartado. · · Daños accidentales a las compras Compras fraudulentas en establecimientos · Gastos médicos por asalto en cajero (límite $500) · Muerte accidental en cajero (límite $3,500) · Asistencia Exequial por muerte por cualquier causa (límite $2,000) · Gastos por robo de documentos y llaves (límite $100) · Asistencia legal vía telefónica · Agregado anual hasta $1,200 17 SOLUCIONES DESCRIPCIÓN Este Producto en COBERTURA convenio con TRANSFERUNION permite recuperar su dinero en caso de robo hasta 2 horas posteriores al cobro. Las personas protegidas por este contrato son las personas naturales que sean clientes Muerte · Atraco por retiro en ventanilla · (caja) que retiren dinero en efectivo y que hayan aceptado voluntariamente adherirse a esta Clientes desmembración accidental titulares o beneficiarios de las remesas o pagos de la red de servicios activa de Transferunion y/o Reembolso · póliza. por pérdida de documentos por atraco Transferunión Orientación legal telefónica por · Los límites de edad son a partir del día que atraco cumplan 18 años de edad y hasta el día que · Ambulancia por atraco cumplan 70 años de edad. A su vez el límite · Deducible de la cobertura de temporal es de 1 evento cada 6 meses. atraco por retiro en ventanilla: 10% del monto asegurado En caso de ser afectado, se debe avisar del siniestro hasta 24 horas posteriores al robo de dinero y hasta 30 días en caso de muerte accidental como consecuencia del evento. · Atraco en cajero · Robo y uso fraudulento de tarjeta Uso fraudulento por robo o o pérdida de la tarjeta Tarjeta Blindada: es una solución que asegura la Uso fraudulento por falsificación o Clientes Banco tarjeta de débito MASTERCARD BANCO FINCA (clonación) de la tarjeta: Finca contra robo, clonación y muchas más coberturas § adulteración del plástico que puedes revisarlas abajo en el apartado. § adulteración de banda magnética. · Uso fraudulento por P.O.S. · Muerte y/o desmembración accidental Planes Clientes Artefacta diseñados personales o para cubrir enfermedades accidentes graves y complementados con un seguro exequial para estar protegidos de la mejor forma ante estos riesgos. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 18 En resumen, EQUIVIDA S.A. es un negocio financiero de seguros que brinda protección y seguridad para personas, siguiendo su línea de negocio, seguros de vida individuales y colectivos (ver Tabla 8). Tabla 8. Resumen de Productos y Servicios de EQUIVIDA S.A Tipo Número de Productos y Productos Servicios Plan de Educación Futuro Pleno 9 Seguro de vida más fondo para gozar de un retiro placentero Seguro de vida para personas activas y de aventura Becario Senescyt Produbanco Clientes Transferunion Clientes Banco Finca Clientes Artefacta Protección Familiar Seguro de Vida Vida 6 educación Accidentes Clientes Colectivo Seguro de vida más fondo para una mejor Personales Seguro para viaje Individual Descripción Desgravamen Cobertura de asistencia mundial Seguro que cumple con los requisitos para obtener beca en el Senescyt Solución para asegurar la tarjeta de débito Recuperación del dinero en caso de robo Solución para asegurar la tarjeta de débito Mastercard Plan para cubrir accidentes personales o enfermedades graves Seguro de vida para dar estabilidad y tranquilidad a la familia Protección para colaboradores y beneficiarios Seguro para personas que contraen una deuda Accidentes Seguro para colaboradores en caso de un Personales accidente Vida Familiar Salud Familiar Seguro de vida voluntario para colaboradores Planes voluntarios de medicina ambulatoria para colaboradores Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 19 1.2 ESTUDIO DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN 1.2.1 SITUACIÓN ACTUAL DE EQUIVIDA S.A. Actualmente la empresa se encuentra regulada por la Superintendencia de Bancos del Ecuador, lo que mantiene a la empresa en la obligación de cumplir todas las normativas y brindar un servicio de calidad. EQUIVIDA S.A se encuentra más de 20 años en el mercado de los seguros de vida. Internamente la empresa se maneja por la gestión de los diferentes departamentos que se encuentran dentro de la misma. EQUIVIDA S.A. cumple todas las regulaciones de las leyes ecuatorianas en lo que se refiere a los códigos laborales brindando un ambiente laboral adecuado para sus empleados. Con el objetivo de identificar el estado de la situación actual de EQUIVIDA S.A. se procede a realizar un análisis FODA. 1.2.1.1 Análisis FODA de EQUIVIDA S.A. Con el análisis FODA no solo se trata de identificar las fortalezas, debilidades, oportunidades y amenazas, sino cómo generar valor para la empresa. En la Tabla 9 se muestra un análisis tanto interno como externo [5] para proceder con la matriz FODA. 20 Tabla 9. Análisis FODA de EQUIVIDA S.A. ANÁLISIS INTERNO FORTALEZAS - Crear un gran ambiente laboral para 1. Experiencia de 20 años en el campo de los seguros de vida. un 2. Calidad en el servicio corporativo. actividades dentro de la empresa. 3. Creación de productos innovadores y de alta calidad. - Evaluar y mejorar los procesos de 4. Especialistas en el campo de seguros y reaseguros. contratación de Recursos Humanos. 5. Contar con un buen ambiente para trabajar. - Incentivar una cultura organizacional, 6. Formar parte del Grupo FUTURO. tener mejor desempeño valores y de las compromisos. DEBILIDADES - Definir claramente las funciones y los 1. Carencia de capacitación para el personal en áreas específicas del procesos que se llevan día a día dentro negocio. de 2. Cartera por cobrar alta. - Implementar jornadas de capacitación 3. Falta de interés del personal en la participación de diferentes para actividades dentro de la empresa. administrativos y gerenciales de la 4. Falta de habilidades y capacidades clave. empresa. la los empresa. trabajadores operativos, ANÁLISIS EXTERNO OPORTUNIDADES 1. Los clientes tienen la necesidad de adquirir los productos ofertados. - Contar con un Plan Estratégico adecuado para el funcionamiento de la empresa. 2. Productos únicos diferentes de la competencia. - Implementar un plan de acción en el 3. Mejora continua de la calidad de nuestros productos. caso de que los factores económicos, 4. Entrar a nuevos segmentos de mercado. sociales o políticos puedan afectar a la AMENAZAS empresa. 1. Reformas en las normativas de las entidades reguladoras. - Tomar en cuenta la participación 2. Problemas internos en recursos humanos. activa de los clientes externos para que 3. Constante entrada y salida de personal. se puedan mejorar los productos y 4. Productos con precios altos. servicios ofertados por la empresa. - Mantener una constante renovación de imagen dentro del mercado, para 5. Entrada de nuevos competidores. poder tener una clara ventaja sobre los competidores en los diferentes segmentos del mercado. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 21 · Matriz FODA de EQUIVIDA S.A. Tabla 10. Matriz FODA de EQUIVIDA S.A. FODA FORTALEZAS DEBILIDADES 1. Experiencia de 20 años en el campo de los seguros de vida. 2. Calidad en el servicio corporativo. 3. Creación de productos innovadores y de alta calidad. 4. Especialistas en el campo de seguros y reaseguros. 5. Contar con un buen ambiente para trabajar. 6. Formar parte del Grupo Futuro. 1. Carencia de capacitación para el personal en áreas específicas del negocio. 2. Cartera por cobrar alta. 3. Falta de interés del personal en la participación de diferentes actividades dentro de la empresa. 4. Falta de habilidades y capacidades clave. AMENAZAS OPORTUNIDADES ESTRATEGIAS (FO) 1. Los clientes tienen la necesidad de adquirir los productos ofertados. 2. Productos únicos diferentes de la competencia. 3. Mejora continua de la calidad de nuestros productos. 4. Entrar a nuevos segmentos de mercado. 1. Reformas en las normativas de las entidades reguladoras. 2. Problemas internos en recursos humanos. 3. Constante entrada y salida de personal. 4. Productos con precios altos. 5. Entrada de nuevos competidores. ESTRATEGIAS (DO) 1. Incrementar el mercado mediante publicidad en varios medios de comunicación para atraer a clientes potenciales. 2. Crear nuevas líneas de productos con el objetivo de ampliar el mercado para diferentes sectores. 3. Ofrecer mejores beneficios a los clientes para ser siempre su primera opción al momento de adquirir un producto. 1. Fortalecer los productos y aprovechar que son únicos en el mercado. 2. Fortalecer los lazos de comunicación con los clientes. 3. Crear un plan de capacitación continuo para el personal de la empresa. 4. Consolidar un plan estratégico empresarial. ESTRATEGIAS (FA) ESTRATEGIAS (DA) 1. Aumentar la calidad de los productos ofertados. 2. Desarrollar actividades en conjunto para el personal para crear un ambiente laboral tranquilo. 3. Hacer un estudio y sectorización de mercado. 4. Reducir los costos de los productos para obtener un mayor número de clientes. 1. Crear políticas internas para las actividades que se llevan a cabo dentro de la empresa. 2. Fomentar la ética y buen comportamiento entre el personal de la empresa. 3. Consolidar una fuerte estructura organizacional para gestionar la empresa de la mejor manera. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 22 Una vez realizado el análisis, se debe tratar de explotar al máximo las oportunidades para generar estrategias de valor, de esta mantener a la empresa como líder en el mercado dentro de su línea de negocio. Adicionalmente es importante tener un control sobre las amenazas con el fin de evitar acciones que perjudiquen a la empresa, ya que estas podrían llegar a liquidar totalmente a la organización. Es importante mencionar que las debilidades descritas anteriormente se pueden convertir en fortalezas. En la Tabla 10 podemos notar que en base a este análisis se plantean las diferentes estrategias para originar ventajas competitivas y preparar a la empresa contra las amenazas tomando en cuenta los factores que las originan. La empresa presenta problemas que pueden ser muy graves, uno de los principales es la entrada y salida constante del personal. Otro de los problemas que pueden afectar a largo plazo es que la empresa no controla de la mejor manera los problemas internos, debido a que no cuentan con políticas bien definidas. 1.2.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI La Gerencia de Innovación y Desarrollo Tecnológico equivalente al Departamento de TI, es un área clave [6] dentro de EQUIVIDA S.A. ya que tiene responsabilidades que básicamente se enfocan en cuatro campos que son: infraestructura, aplicaciones, operaciones y servicio a los clientes internos tales como soporte al usuario, servicios de red y mantenimiento preventivo. 1.2.2.1 Posicionamiento del Departamento de TI El Departamento de TI en EQUIVIDA S.A. se encuentra principalmente bajo cuatro dependencias: Junta de accionistas, Directorio, Gerencia General y Gerencia de Administración Financiera en el caso de la toma de decisiones en los aspectos de mejoras tecnológicas para la empresa. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Fuente: EQUIVIDA S.A. [2] Figura 4. Posicionamiento del Departamento de TI 23 Analistas de Gestión E&O ( Paúl Casanova Rony Barra ) Asistente de Gerencia TI (Andrea Oña) Director Gestión Estratégica y Operativa (Jimmy Rodriguez) Coordinador de Servicios de Infraestructura (José Almeida) Coordinador de Servicios de Comunicación (Cesar Pico) Tester Pablo Miño Oficial de Seguridad Informática y Aplicativa (Ma. Augusta Luna) QA Servicios & Outsourcing (Gabriela Castro) Desarrollador de Servicios TI (Joge Ortiz Juan Andrés Salcedo Karina Quimbiulco) Arquitecto de Servicios de Aplicación (Javier Chicaiza) Desarrollador Senior de Servicios TI (Rosa Leòn Josè Quintana) Arquitecto de Servicios de Información (Katherine Flores) Arquitecto de Datos/ DBA (Ivan Noboa) Jefe de Arquitectura de Servicios de TI Isvel López Fuente: Gráfico proporcionado por Gabriela Castro, Auditor QA de EQUIVIDA S.A Proyectistas (Jorge Ortiz Patricia Castro Diana Villacis Andrés Poveda Diego Veloz PMO Por Contratar Asistente de Gerencia TI (Monica Salinas) Gerencia de Innovación y Desarrollo Tecnológico (Marìa Isabel Quiroz) Figura 5. Estructura Organizacional del Departamento de TI 1.2.2.2 Estructura Organizacional del Departamento de TI Gestor de Servicios de TI Luis Sandoval Diana Cruz Gestor de Producción (Gustavo Ordiz) Jefe de Servicios de TI (Paulina Oviedo) 24 25 1.2.2.3 Análisis FODA del Departamento de TI En la Tabla 11 se muestra un análisis interno y externo del Departamento de TI. Tabla 11. Análisis FODA del Departamento de TI ANÁLISIS INTERNO FORTALEZAS - Enfatizar políticas de buen uso de 1. Adaptación a nuevas tecnologías. los recursos de tecnología para 2. Capacitación de calidad para el personal del Departamento de TI. mejorar el desempeño laboral de los 3. Personal competitivo capaz de brindar rápidas soluciones. trabajadores 4. Contar con un Data Center. - Dar a conocer a los empleados el DEBILIDADES 1. Falta personal para gestionar los aplicativos y equipos del del área de TI. funcionamiento de toda la empresa para que tengan conocimiento de los procesos y se pueda realizar un Departamento de TI. 2. El personal del Departamento de TI no tiene conocimiento completo del negocio y actividades específicas del negocio. mejor trabajo. - Mantener la constante actualización de los recursos tecnológicos, 3. Falta de un ERP para integrar todos los procesos que se llevan a cabo teniendo en cuenta altos estándares dentro de la organización. de calidad. ANÁLISIS EXTERNO OPORTUNIDADES - Mejorar la calidad de servicio a 1. Los clientes tanto internos como externos requieren usar los servicios todas proporcionados por el Departamento de TI. - 2. Los diferentes sectores laborales se centran en el Departamento de actividades TI. administradas por el Departamento 3. Capacitación y adaptación de nueva infraestructura tecnológica. de AMENAZAS 1. El sitio Web no es gestionado por el Departamento de TI. las Tener áreas un TI del control que de negocio. sobre deben la las ser empresa. - Llevar una correcta gestión de los proveedores para tener un óptimo control de calidad y así evitar fallas 2. Fallas de los aplicativos y servicios que se encuentran tercerizados. en los productos y servicios que son contratados. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 26 · Matriz FODA del Departamento de TI Tabla 12. Matriz FODA del Departamento de TI FORTALEZAS FODA 1. Adaptación a nuevas tecnologías. 2. Capacitación de calidad para el personal del Departamento de TI. 3. Personal competitivo capaz de brindar rápidas soluciones. 4. Contar con un Data Center. AMENAZAS OPORTUNIDADES ESTRATEGIAS (FO) 1. Los clientes tanto internos como externos requieren usar los servicios proporcionados por el Departamento de TI. 2. Los diferentes sectores laborales se centran en el Departamento de TI. 3. Capacitación y adaptación de nueva infraestructura tecnológica. 1. El sitio Web no es gestionado por el Departamento de TI. 2. Fallas de los aplicativos y servicios que se encuentran tercerizados. DEBILIDADES 1. Falta personal para gestionar los aplicativos y equipos del Departamento de TI. 2. El personal del Departamento de TI no tiene conocimiento completo del negocio y actividades específicas del negocio. 3. Falta de un ERP para integrar todos los procesos que se llevan a cabo dentro de la organización. ESTRATEGIAS (DO) 1. Fortalecer el servicio de soporte por medio de capacitaciones permanentes y atender de mejor manera al cliente interno. 2. Hacer inversiones en la mejora de las aplicaciones que se utilizan para llevar a cabo los procesos de la empresa de una manera eficiente. 3. Aprovechar las nuevas tecnologías para mejorar el servicio y los procesos. 1. Planificar capacitaciones para que el personal tenga conocimiento de los procesos del negocio. 2. Centralizar los procesos en el Departamento de TI para gestionarlos de una mejor manera. ESTRATEGIAS (FA) ESTRATEGIAS (DA) 1. Tener todos los servicios y aplicaciones dentro del Departamento de TI para evitar tercerizar y así no depender del tiempo de respuesta de los proveedores. 2. Desarrollar un plan de capacitación para gestionar las actividades dentro del Departamento de TI. 1. Realizar informes semanales para evaluar los procesos que se realizan dentro del Departamento de TI. 2. Realizar evaluaciones de desempeño al personal del Departamento de TI para controlar el desarrollo de sus actividades diarias. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 27 Con el análisis realizado al Departamento de TI se puede obtener un diagnóstico de la situación actual. Esto permitirá permite tomar las mejores decisiones en base a los elementos descritos en la Tabla 12, con el fin de mejorar las falencias del departamento y posicionarlo en lo más alto dentro de la empresa. Adicionalmente se deben reducir al máximo las debilidades [5] y proteger al departamento de las amenazas que actualmente afectan a las operaciones. Las estrategias descritas fortalecen no solo al departamento, sino también a la organización entera ya que las funciones que lleva a cabo la empresa son en base al Departamento de TI. En consecuencia, se determina que el Departamento de TI no juega un papel importante al momento de toma de decisiones tecnológicas, ya que depende de la aprobación del departamento financiero ya sea para adquisición o mejora de la infraestructura tecnológica de la empresa. 1.2.2.4 Catálogo de Servicios de TI En la Tabla 13 se presenta el Catálogo de Servicios de TI con los que cuenta EQUIVIDA S.A. [7]. Tabla 13. Catálogo de Servicios de TI MACROPROCESO SUBPROCESO SERVICIO DE TI Cliente Único Consultas y reportes de listas reservadas Administración de clientes jurídicos Marketing Gestión Comercial Gestión de Contratos Servicio al cliente y canales Gestión del Cliente Carga Automática de Vidas (ABM) Carga Manual de Vidas (ABM) Postventa Gestión de atención al cliente Retención - Mantenimiento Rehabilitación 28 MACROPROCESO SUBPROCESO SERVICIO DE TI Rentabilización Chat Mail Servicios en Línea Portal Institucional Micrositio Buen Viaje Consulta en línea Emisión Empresas Administración de Contratos Endosos contractuales Empresas Cancelación de pólizas Renovación de pólizas Emisión VI Emisión Personas Cancelación manual Administración de Contratos Personas Cancelación automática Rehabilitaciones Endosos contractuales Renovación manual Renovación automática ABM Administración de vidas Certificados Gestión de Contratos AON Disponibilidad Producto Recaudo Reportes Ventas Facturación Empresas Facturación Buen Viaje Facturación Personas Facturación Individual Facturación Facturación VI Anulación de Facturas Rehabilitación de facturas Certificados GPC Eliminación de endosos Certificados Buen Viaje Recaudos Generación de débitos 29 MACROPROCESO SUBPROCESO SERVICIO DE TI Aplicación de débitos Generación de planillas Aplicación de planillas Toma de ahorro Ingresos de caja Aplicaciones Aplicaciones de recibos Aplicaciones de prima con ahorro Aplicación masiva Caja y Cartera Aplicación primas Boletas de depósito Cruce de endosos Endosos gemelos Cartera Primas Reservas Beneficios y Prestaciones Liquidaciones Préstamos Retiros y Rescates Fuerza de ventas Agentes independientes Servicio al cliente y canales Comisiones WSM Brokers Directores comerciales Honorarios por uso de red Primas Siniestros Gestión de Riesgo Técnico Gestión de Reaseguros Facultativos Registros contables Administración de contratos Órdenes de pago Pagos Gestión Contable Financiera Retenciones en la fuente Transferencias Cheques Gestión Contable Asientos diarios Acreditación de intereses 30 MACROPROCESO SUBPROCESO SERVICIO DE TI Conciliación bancaria Activos fijos Administración de proveedores Producción Cobranzas Deducción Contabilidad diaria Cierre de mes Reclamos Reaseguros Reserva de riesgos en curso Balances Reserva matemática Gestiónate Administración de colaboradores Conozca a su empleado Gestión del Talento Humano Gestión de Colaboradores Nómina Loncherito Pausas activas Intranet Marketing Salto de políticas Gestión Comercial Gestión de Contratos Procesos batch Servicio al cliente y canales Gestión del Talento Humano Gestión Contable Financiera Procesos varios Impresión de pólizas, facturas, endosos contractuales Gestión de Riesgo Técnico Gestión de Proveedores Integración de aplicaciones Tecnología de Información Apoyo Logístico Administración de Procesos Marketing Gestión Comercial Gestión de Contratos Gestión de Procesos Servicio al cliente y canales Gestión del Talento Humano Gestión Contable Financiera Procesos de negocio Procesos TI Flujos de procesos Vector Gestión de la Información Organismos de control Superintendencia de Bancos 31 MACROPROCESO SUBPROCESO SERVICIO DE TI Gestión de Riesgo Técnico Listas reservadas (RCS)/ 312/ S01, S02/ Gestión de Proveedores S03/ 302, 303, 304, 305/ S07, S08/ E50/ Tecnología de Información E51/ Apoyo Logístico Comisiones/ Contribuciones/ social Campesino/ Seguro Gestión Estratégica S09/Reservas/ Estructura Super-UAF Gestión de Calidad y E04 Mejoramiento Servicio de Rentas Internas Anexo Transaccional/ numeradores/ Archivo Autorizaciones autoimpresores Control interno Auditoría interna Auditoría externa Reportes Consultas Sigmed Presupuesto y Control presupuestario Siniestralidad Actualización de datos Gestión documental Documentación organizacional Documentación clientes Servicios Profesionales Capacitación en los servicios Asesoría en el uso de la tecnología Asesoría y Consultoría Servicios Personales Consultas Servicio en equipos personales PC Laptop Equipos de Trabajo Perfiles y Accesos Impresión Mantenimiento de equipos Circuito de cámaras de de 32 MACROPROCESO SUBPROCESO SERVICIO DE TI Solicitud de visualización Preparación de equipos Laptop Desktop Tablets Celulares Correo electrónico Carpetas compartidas (Red) Telefonía Bases celulares Central telefónica Herramientas de telefonía Líneas Teléfonos celulares Teléfonos convencionales Conexiones Comunicaciones y Conectividad Citrix FTP VPN Red LAN Red física Red inalámbrica Red WAN Enlaces de datos Enlace de internet Videoconferencia Chat Internet Servidores Almacenamiento de información Servicio Infraestructura de almacenamiento de información Bases de Datos BD2/ SYBASE/ SQL SERVER/ MY SQL Mantenimiento Data Center 33 MACROPROCESO SUBPROCESO SERVICIO DE TI UPS/ DPU/ Switch/ Aire acondicionado/ Racks/ Sistema contra incendios Utilitarios Ofimática/ PDF/ Compresión de archivos Inventario de equipos Cableado eléctrico Antivirus Firewall Control de acceso (tarjetas) Remodelación, creación de puestos de trabajo Cambio estándar Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 1.3 LISTADO DE ACTIVOS DE TI En las Tablas 14 – 18 se presenta un listado de activos clasificados por: aplicaciones, infraestructura, datos y personal [8]. 1.3.1 APLICACIONES Tabla 14. Listado de Aplicaciones NOMBRE DE LA DESCRIPCIÓN DE LA APLICACIÓN APLICACIÓN DATA CLEANING Verificación de validez de AIX 6.1 Power 6 información básica del cliente. Plataforma CLIENTE ÚNICO la TIPO DE SISTEMA mantenimiento para de captura y información AIX 6.1 Power 6 consistente de clientes. Servidor: Microsoft Windows 2008 GPC Aplicación para la generación en Server, IIS Cliente: Internet línea de certificados de seguro. Explorer 7.0 o superior Internet Explorer 7.0 o superior 34 NOMBRE DE LA DESCRIPCIÓN DE LA APLICACIÓN APLICACIÓN TIPO DE SISTEMA Servidor: Microsoft Windows 2008 BUEN VIAJE Aplicación para la venta en línea de Server, IIS Cliente: Internet seguros de viaje. Explorer 7.0 o superior Internet Explorer 7.0 o superior Servidor: Microsoft Windows 2008 BIORED Aplicación para servicios dentales. Server, IIS Cliente: Internet Explorer 7.0 o superior Internet Explorer 7.0 o superior Servidor: Microsoft Windows 2003 VECTOR Sistema de modelamiento, control y Server, IIS seguimiento de procesos. Explorer 7.0 o superior Internet Explorer Cliente: Internet 7.0 o superior Servidor: Microsoft Windows 2003 INTRANET Server, IIS Portal de comunicación interna. Cliente: Internet Explorer 7.0 o superior Internet Explorer 7.0 o superior MANTIS ADAM Sistema para seguimiento de tickets de servicio al cliente. Sistema que administra la nómina de Apache Servidor: Microsoft Windows 2003 Server, IIS la compañía. Sistema de Talento Humano que BUXIS administra la gestión organizativa, el desarrollo y capacitación del Microsoft personal. MONITOR PLUS ACRM Sistema para la prevención de lavado de activos basado en la Microsoft administración de riesgos. Herramienta de control que tiene como objetivo minimizar el riesgo de RISK CONTROL SERVICE establecer vínculos con posibles involucrados o señalados en actividades ilícitas como lavado de activos, narcotráfico o terrorismo. Microsoft 35 NOMBRE DE LA DESCRIPCIÓN DE LA APLICACIÓN APLICACIÓN TIPO DE SISTEMA Sistema Integrado de Seguros. Este sistema soporta el core del negocio y la parte administrativa financiera, tiene SISE módulos Emisión/Facturación de: Individual y Colectivo, Reaseguros, Siniestros, Servidor: AIX 6.1, Servidor Power 6. Cliente: Windows XP o 7. Generación Intereses, Retiros y Préstamos, Caja Ingresos, Caja Egresos, Contabilidad, Cierres Mensuales, Consultas, Informática. iSISE BAIS Aplicación para la venta en línea de certificados de seguro. certificados de seguro. CRM automatizado App. El cliente solo necesita Internet Explorer de cualquier versión. Aplicación para la venta en línea de Sistema Winserver para servidores de BD y Servidor: Windows Server 2008, IIS 7. Cliente: Windows XP o 7. para el control de la fuerza de ventas Linux, Apache individual. PORTAL WEB Portal diseñado para la prestación de servicios online. Sistema ACTIVOS FIJOS automatizado para Expression Engine el control de los activos fijos de la Microsoft compañía. PIVOTAL Exchange Online Plan 1 Office 365 Plan E1 Office 365 Plan E1 Office 365 Plan E3 CRM para gestión de clientes. ExchgOnlnPlan1 ShrdSvr ALNG SubsVL MVL PerUsr. Off365PE1 ShrdSvr ALNG SubsVL MVL PerUsr. Off365PE1 ShrdSvr ALNG SubsVL MVL PerUsr. Off365PE3 ShrdSvr ALNG SubsVL MVL PerUsr. Microsoft Microsoft Microsoft Microsoft Microsoft Fuente: Datos proporcionados por Javier Chicaiza, Arquitecto de Servicios de Aplicación de EQUIVIDA S.A. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 36 1.3.2 INFRAESTRUCTURA 1.3.2.1 Computadoras Tabla 15. Listado de Desktops y Laptops Tipo de Producto Cantidad Marca Modelo Cantidad Descripción Intel® Core™ 2 Duo E7500 2,93 ThinkCentre A70z 8 GHz HDD 320 GB RAM 2 GB Intel® Core ™ 2 Duo Processor ThinkCentre M55E 1 E6600 HDD 160 GB RAM 2 GB Intel® Core™ i3-550 1,3 GHz Desktop 80 Lenovo ThinkCentre M70z 4 HDD 160 GB RAM 2 GB Intel® Core™ i5 2400S 2,5 GHz ThinkCentre M71z 29 HDD 500 GB RAM 4 GB Intel® Core™ i5 3570S 2,5 GHz ThinkCentre M72z 5 HDD 500 GB RAM 4 GB Intel® Core™ i5 4570S 2,9 GHz ThinkCentre M73z 33 HDD 500 GB RAM 8 GB Intel® Core™ i7 3667U 2,0 GHz ThinkPad Helix 1 HDD 180 GB RAM 8 GB Intel® Core™ i5 M540 2,53 GHz Laptops 142 Lenovo ThinkPad T410 18 HDD 320 GB RAM 4 GB Intel® Core™ i5 2520M 2,50 ThinkPad T420 30 GHz HDD 500 GB RAM 4 GB 37 Tipo de Cantidad Producto Marca Modelo Cantidad Descripción Intel® Core™ i5 3320M 2,6 GHz ThinkPad T430 19 HDD 500 GB RAM 4 GB Intel® Core™ i5 4300M 3,30 ThinkPad T440p GHz 2 HDD 500 GB RAM 16 GB Intel® Core™ i5 4300U 1,9 GHz ThinkPad T440s 30 HDD 500 GB RAM 4 GB Intel® Core™ i7 4600U 2,1 GHz ThinkPad X1 10 Carbon 2nd HDD 320 GB RAM 8 GB AMD® Athlon™ MV40 1,6 GHz ThinkPad X100e 9 HDD 160 GB RAM 4 GB AMD® Athlon™ MV40 1,6 GHz ThinkPad X120e 5 HDD 320 GB RAM 4 GB AMD® Fusion E-240 1,5GHz ThinkPad X121e 17 HDD 320 GB RAM 8 GB AMD® Vision E1-1200 1,6 GHz ThinkPad X131e 1 HDD 320GB RAM 8 GB Fuente: Datos proporcionados por Gustavo Ortiz, Coordinador de Servicios de Infraestructura de EQUIVIDA S.A. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 1.3.2.2 Switch Tabla 16. Listado de Switches SWITCH TIPO CÓDIGO DETALLE MARCA MODELO IP SERIE UIO1ESWITCH001 Servidores 3COM 4500G 10.10.30.128 YEYFC6R259480 UIO1ESWITCH002 LAN 1 Sub 3COM 4500G 172.16.1.1 YEYFC4PE17500 UIO1ESWITCH003 Core 1 Sub 3COM 5500G 172.16.1.2 9KAFA1MDB5880 38 TIPO CÓDIGO DETALLE MARCA MODELO IP SERIE UIO1ESWITCH004 LAN 2 Sub 3COM 2900G 172.16.1.3 926FD7S0A05B7 UIO1ESWITCH005 LAN 1 Pb 3COM 4500G 172.16.1.4 YEYFC4PE17E00 UIO1ESWITCH006 LAN 2 Pb 3COM 4500G 172.16.1.5 YEYFC4PE1EC80 UIO1ESWITCH007 LAN 3 Pb 3COM 4500G 172.16.1.6 YECF71HC1E680 UIO1ESWITCH008 LAN 4 Pb 3COM 4500G 172.16.1.7 YEYFC4PE18E80 UIO1ESWITCH009 LAN 5 Pb 3COM 4500G 172.16.1.8 YECF7RHF253C0 UIO1ESWITCH010 LAN 6 Pb 3COM 4500G 172.16.1.9 YEDF9FL41FF40 UIO1ESWITCH011 LAN 7 Pb HP HPV1910 172.16.1.10 CN17BX24ZM UIO1ESWITCH012 LAN 3 Sub HP HPV1910 172.16.1.11 CN17BX24L3 Fuente: Datos proporcionados por Gustavo Ortiz, Coordinador de Servicios de Infraestructura de EQUIVIDA S.A. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 1.3.2.3 Servidores Tabla 17. Listado de Servidores SERVIDOR IP TIPO HERRAMIENTA PLATAFORMA ADAM 10.10.30.5 Virtual VLK 2000 Server CENTRAL TELEFÓNICA 10.10.30.17 Físico OEM 2003 Server AIX SONIC - BLADE 2 10.10.30.26 Físico IBM - VIOS AIX AIX PRUEBAS 10.10.30.202 Físico IBM - AIX AIX DATAQUALITY - BLADE 6 10.10.30.30 Físico IBM - VIOS AIX SERVIDORES DE RESPALDOS 10.10.30.16 Físico VLK 2003 Server SISE - BLADE 3 10.10.30.25 Físico IBM - VIOS AIX UIOESX01 - BLADE 4 10.10.30.141 Físico VmWare ESX VMWARE UIOESX02 - BLADE 5 10.10.30.142 Físico VmWare ESX VMWARE UIOESX03 - FIREWALL 172.16.1.21 Físico VmWare ESXi VMWARE UIOESX04 - BLADE 1 10.10.30.143 Físico VmWare ESXi VMWARE UIOESX05 - Eserver x255 10.10.30.166 Físico VmWare ESXi VMWARE ARANDA 10.10.30.167 Virtual VLK 2003 Server DVR UIO 1 (PB) 10.10.30.29 Físico DVR DVR UIO 2 (SB) 10.10.30.133 Físico DVR AD VIRTUAL 1 10.10.30.27 Virtual VLK 2008 Server BELARC 10.10.30.7 Virtual VLK 2003 Server WSUS 10.10.30.9 Virtual VLK 2003 Server SYMANTEC 10.10.30.11 Virtual VLK 2003 Server 39 SERVIDOR IP TIPO HERRAMIENTA PLATAFORMA CITRIX VIRTUAL 1 10.10.30.13 Virtual VLK 2003 Server GPC BV DESARROLLO 10.10.30.20 Virtual VLK 2008 Server VCENTER 10.10.30.140 Virtual VLK 2008 Server VMWARE DATA RECOVERY 10.10.30.28 Virtual Linux LINUX MANTIS (fa1708) 10.10.30.8 Virtual VLK 2003 Server BIORED DESARROLLO 10.10.30.15 Virtual VLK 2003 Server GLOBAL BV Y GPC 200.31.26.222 Físico VLK 2000 Server SQL 2008 Y VECTOR 10.10.30.167 Virtual VLK 2003 Server AD VIRTUAL 2 10.10.30.10 Virtual VLK 2003 Server BIORED 192.168.1.3 Físico VLK 2003 Server SUBVERSION 10.10.30.21 Virtual Linux LINUX CUMPLIMIENTO - FLAMENCO 10.10.30.22 Virtual VLK 2008 Server Fuente: Datos proporcionados por Gustavo Ortiz, Coordinador de Servicios de Infraestructura de EQUIVIDA S.A. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Fuente: Diagrama proporcionado por César Pico, Coordinador de Servicios de Comunicación, EQUIVIDA S.A. Figura 6. Topología de Red de EQUIVIDA S.A. 1.3.2.4 Topología de Red de EQUIVIDA S.A. 40 41 1.3.3 DATOS La información crítica que maneja y archiva EQUIVIDA S.A. se cataloga de la siguiente manera: - Bases de datos - Contratos o Talento Humano o Adquisición de productos y servicios - Acuerdos o Publicitarios o Tercerizados - Formularios o Siniestros o Suscripciones - Reportes - Manuales de usuario de las aplicaciones desarrolladas - Manuales de procedimientos - Compendios - Información archivada o Inventarios o Documentación general de EQUIVIDA S.A. - Balances contables 1.3.4 PERSONAL Tabla 18. Listado del Personal del Departamento de TI N° NOMBRE DEL PERSONAL DE TI CARGO O FUNCIÓN 1 Albuja Silverio Rafael Gestor del Centro de Servicios 2 Almeida Galarraga José Rafael Arquitecto de Infraestructura 3 Bandera Torres Andrea Lizeth Especialista de Proyectos 4 Barra Galarraga Ronny Felipe Líder de Gestión 42 N° NOMBRE DEL PERSONAL DE TI CARGO O FUNCIÓN 5 Casanova Guamantica Nelson Paúl Líder de Gestión 6 Castro Acosta Gabriela Patricia Auditor QA 7 Castro Quiñonez Patricia Alexandra Líder de Proyectos 8 Chávez Chamorri Mery Yannira Analista BI 9 Chicaiza Gómez Javier Santiago Arquitecto de Servicios de Aplicación 10 Cruz Rosales Diana Elizbeth Gestor del Centro de Servicios 11 Flores Mina Katherine Johanna Arquitecto de Información 12 Karina Quimbuilco Desarrollador de Servicios 13 León Analuisa Rosa Elena Desarrollador Senior de Servicios 14 López López Isvel Jefe de Arquitectura 15 Lozada Chávez Karen Paulina Gestor de CRM 16 Luna Viveros María Augusta Oficial de Seguridad Informática y Aplicativa 17 Miño Robalino Pablo Andrés Gestor del Centro de Servicios 18 Muñoz Salinas Carina Alexandra Gestor de Servicios TI 19 Noboa Tapia Iván Alfredo Arquitecto de datos 20 Oña Villagómez Andrea Alejandra Asistente de Gestión 21 Ortiz Moyano Jorge Aníbal Líder de Proyectos 22 Ortiz Torres Gustavo Guillermo Coordinador de Servicios de Infraestructura 23 Oviedo Vallejo Mónica Paulina Jefe de Servicios de Tecnología 24 Padilla Cevallos Sabrina Nataly Gestor de Servicios TI 25 Pico Delgado Cesar Enrique Coordinador de Servicios de Comunicación 26 Poveda Chauvín Andrés Hernán Líder de Proyectos 27 Quintana Cruz José Alexander Desarrollador Senior de Servicios 28 Quiroz Vallejo María Isabel Gerente de Innovación y Tecnología 29 Rodríguez Herrera Jimmy Christian Jefatura de gestión Estratégica y operativa 30 Salcedo Suscal Juan Andrés Desarrollador de Servicios 31 Salinas Escobar Mónica Cecilia Asistente de Gerencia IT 32 Sandoval Mereci Luis Andrés Gestor del Centro de Servicios 33 Tamayo Rosero Camilo Enersto Programador Diseñador Web 34 Veloz Galarza Diego Fernando Líder de Proyectos 35 Villacís Ramos Diana Michelle Líder de Proyectos Fuente: Datos proporcionados por Gabriela Castro, Auditor QA de EQUIVIDA S.A. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 43 1.3.5 UBICACIÓN EQUIVIDA S.A. se encuentra ubicada en el Centro Comercial “El Globo” en la Av. Amazonas y Av. Gaspar de Villaroel, cuenta con dos plantas donde el Departamento de TI se encuentra ubicado en el subsuelo, con una superficie de 200m 2(ver Figura 7), lo que causa inconvenientes debido a la cantidad de personal que ocupa ésta área. Figura 7. Ubicación del Departamento de TI Fuente: EQUIVIDA S.A. DE AL DEL MP-040 SERVICIO CLIENTE Y CANALES MP-110 GESTIÓN TALENTO HUMANO GESTIÓN MP-030 GESTIÓN CONTRATOS MP-020 COMERCIAL MP-010 MARKETING MACROPROCESO 1.3.6 RESUMEN ThinkCentre A70z ThinkPad X100e ThinkPad T420 BLADE 3, Físico, IBMVIOS, AIX Javier Chicaiza Javier Chicaiza Javier Chicaiza Virtual, VLK, 2003 Server BLADE 3, Físico, IBMVIOS, AIX Físico, VLK, 2003 Server Virtual, VLK, 2003 Server Virtual, VLK, 2003 Server Virtual, VLK, 2003 Server SISE BIORED VECTOR MANTIS Virtual, VLK, 2000 Server Virtual, VLK, 2000 Server BUXIS ThinkCentre A70z ThinkPad T410 María Augusta Luna Javier Chicaiza BLADE 3, Físico, IBMVIOS, AIX SISE ADAM Javier Chicaiza Físico, VLK, 2003 Server Andrea Bandera Katherine Flores Físico, VLK, 2003 Server Javier Chicaiza Javier Chicaiza CRM Contratos Acuerdos Reportes Compendios Formularios Reportes CLIENTE ÚNICO ThinkPad Helix ThinkCentre M73z ThinkPad X120e ThinkPad X131e Javier Chicaiza Javier Chicaiza MANTIS Contratos Acuerdos Virtual, VLK, 2003 Server ThinkCentre M71z ThinkPad T410 ThinkPad T440p VECTOR Javier Chicaiza Reportes Archivos Compendios BLADE 3, Físico, IBMVIOS, AIX Javier Chicaiza Acuerdos Reportes Compendios Información archivada SISE PERSONAS DATOS Físico, VLK, 2003 Server ThinkCentre M55E ThinkCentre M72z EQUIPOS SERVIDORES INFRAESTRUCTURA BUEN VIAJE SISE APLICACIONES Tabla 19. Resumen de Activos de TI 44 DE MP-150 TECNOLOGÍA INFORMACIÓN GESTIÓN BLADE 3, Físico, IBMVIOS, AIX BLADE 3, Físico, IBMVIOS, AIX SISE SISE Virtual, VLK, 2003 Server Físico, VmWare ESXi, VMWARE PORTAL WEB DATA CLEANING Virtual, VLK, 2003 Server BLADE 3, Físico, IBMVIOS, AIX SISE VECTOR Virtual, VLK, 2008 Server MONITOR PLUS ACRM ThinkCentre M73z ThinkPad T440s Reportes Manuales de procedimientos Javier Chicaiza Reportes Manuales de procedimientos ThinkCentre M71z ThinkPad X121e Iván Noboa Acuerdos Reportes ThinkCentre M71z ThinkPad X1 Carbon 2nd Javier Chicaiza Javier Chicaiza Andrea Bandera Javier Chicaiza Javier Chicaiza María Augusta Luna Javier Chicaiza ThinkCentre M73z ThinkPad T440s ThinkPad X121e Contratos Acuerdos Reportes Reportes María Augusta Luna Javier Chicaiza Reportes Balances contables Bases de datos Reportes Manuales de usuario de las aplicaciones desarrolladas Manuales de procedimientos Inventarios ThinkCentre M72z ThinkCentre M73z ThinkPad T440s ThinkCentre M71z ThinkPad T430 ThinkCentre M70z ThinkPad T420 PERSONAS DATOS VECTOR Virtual, VLK, 2003 Server Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa MP-220 GESTIÓN DE CALIDAD Y MEJORAMIENTO MP-210 ESTRATÉGICA MP-160 APOYO LOGÍSTICO DE BLADE 3, Físico, IBMVIOS, AIX SISE MP-140 GESTIÓN PROVEEDORES Virtual, VLK, 2008 Server RISK CONTROL SERVICE DE MP-130 GESTIÓN RIESGO TÉCNICO BLADE 3, Físico, IBMVIOS, AIX SISE MP-120 GESTIÓN CONTABLE FINANCIERA EQUIPOS INFRAESTRUCTURA SERVIDORES APLICACIONES MACROPROCESO 45 46 1.4 ANÁLISIS DE VULNERABILIDADES Y RIESGOS En esta sección se realiza el análisis de riesgos y vulnerabilidades. En las Tablas 20 - 25 se muestra el proceso, para el cual se tomará como referencia la Norma NTE ISO/IEC 27005 [9]. 1.4.1 IDENTIFICACIÓN DE AMENAZAS De acuerdo al estudio de los procesos empresariales y tomando en cuenta los recursos de TI utilizados, existen amenazas en el orden técnico, humano, naturales, estructurales y organizacionales los cuales se encuentran detallados en la Tabla 20. Tabla 20. Identificación de Amenazas ORIGEN DE LA AMENAZA AMENAZA CONSECUENCIAS DE LA AMENAZA Mal funcionamiento de los equipos Atasco en las operaciones de la empresa Pérdida de información Software malicioso Software sin licencias Filtro de información confidencial TÉCNICAS Fallas de las aplicaciones Falla de los servicios contratados (ISP) Pérdida de información Demora en los cronogramas de actividades Atasco en las operaciones de la empresa Fallos de los sistemas Atentado a la integridad de la información Hacking HUMANAS Divulgación confidencial Atentado a la confidencialidad de la información de información Terrorismo Negligencia en el manejo de activos de TI Terremotos NATURALES Tormentas eléctricas Inundaciones Estafas Extorsión Daño potencial a los equipos informáticos Sabotaje a las operaciones de la empresa Daño potencial a los equipos informáticos Libre acceso a la información Daño potencial a los equipos informáticos Accidentes para el personal de la empresa Daño potencial a los equipos informáticos Fallos en las conexiones eléctricas Daño potencial a los equipos informáticos Accidentes para el personal de la empresa 47 ORIGEN DE LA AMENAZA AMENAZA Daño potencial a los equipos informáticos Incendios ESTRUCTURALES Accidentes para el personal de la empresa Mal estado de las instalaciones Daño potencial a los equipos informáticos Fallas en las operaciones de la empresa Daño potencial a los equipos informáticos Fallas eléctricas Atasco en las operaciones de la empresa Pérdida de información Flujo de personal ORGANIZACIONALES CONSECUENCIAS DE LA AMENAZA Ventaja competitiva Mal desempeño de las funciones Falta de políticas Libre acceso a la información Falta de gestión de seguridad informática Filtro de infomación confidencial Fallos en los activos de TI Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, basado en la Norma NTE ISO/IEC 27005 1.4.2 IDENTIFICACIÓN DE VULNERABILIDADES Una vez identificadas las amenazas para poder determinar las vulnerabilidades se ha realizado un análisis detallado de los impactos de cada una de dichas amenazas y sus consecuencias en caso de que lleguen a ocurrir. En la Tabla 21 se detalla una lista de vulnerabilidades relacionadas con las amenazas identificadas en el punto anterior. Tabla 21. Identificación de Vulnerabilidades AMENAZAS Mal funcionamiento de los equipos Software sin licencias Fallas de las aplicaciones Falla de los servicios contratados (ISP) Hacking Divulgación de información confidencial Terrorismo VULNERABILIDADES Falta de mantenimiento preventivo a los equipos Falta de control en la configuración de los equipos Software ampliamente distribuido Se filtra información confidencial Interfaz de usuario compleja Configuraciones mal realizadas Conexiones de red pública sin protección Tráfico de información sensible sin protección Infraestructura de red insegura Información sin encriptar No existe un control de medios extraíbles No existen acuerdos de confidencialidad Mal funcionamiento de las cámaras de seguridad 48 AMENAZAS VULNERABILIDADES Falta de personal de seguridad para resguardar la empresa Negligencia en el manejo de activos de TI Terremotos Tormentas eléctricas Inundaciones Incendios Mal estado de las instalaciones Fallas eléctricas Flujo de personal Falta de políticas Falta de gestión de seguridad informática Inducción incompleta al personal nuevo Uso indebido de los recursos tecnológicos Estructuras en mal estado Materiales de construcción de mala calidad Variaciones en los voltajes Falta de control de calidad en los UPS No se revisa el estado de los drenajes Falta de control de calidad en las instalaciones No se cuenta con salidas de emergencia No se revisan los extintores con frecuencia No se realiza un control de las instalaciones No se mejora las estaciones en mal estado No se revisa el estado de las conexiones eléctricas Falta de mantenimiento a la planta de energía de respaldo Falta de procedimientos para el registro y retiro de usuarios Procedimientos inadecuados de contratación Falta de auditorías para controlar los procesos de TI Falta de procesos disciplinarios en caso de incumplimiento Falta de control sobre el uso de activos de TI de la empresa Ausencia de un Oficial de Seguridad Informática Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, basado en la Norma NTE ISO/IEC 27005 Es importante tomar en cuenta cuales son las vulnerabilidades críticas que pueden tener un mayor impacto sobre la empresa. Principalmente las vulnerabilidades que son ocasionadas por amenazas naturales y las provocadas por las amenazas de tipo organizacional. 1.4.3 IDENTIFICACIÓN DE RIESGOS Determinadas las amenazas y vulnerabilidades se procede con la identificación de los riesgos que pueden darse en función de estos dos factores, los cuales se encuentran detallados en la Tabla 22. NATURALES HUMANAS TÉCNICAS ORIGEN DE LA AMENAZA Inundaciones Tormentas eléctricas Terremotos Negligencia en el manejo de activos de TI Terrorismo Divulgación de información confidencial Hacking Falla de los servicios contratados (ISP) Fallas de las aplicaciones Software sin licencias Mal funcionamiento de los equipos AMENAZAS Falta de control de calidad en las instalaciones Uso indebido de los recursos tecnológicos Estructuras en mal estado Materiales de construcción de mala calidad Variaciones en los voltajes Falta de control de calidad en los UPS No se revisa el estado de los drenajes No existen acuerdos de confidencialidad Mal funcionamiento de las cámaras de seguridad Falta de personal de seguridad para resguardar la empresa Inducción incompleta al personal nuevo Configuraciones mal realizadas Conexiones de red pública sin protección Tráfico de información sensible sin protección Infraestructura de red insegura Información sin encriptar No existe un control de medios extraíbles Falta de mantenimiento preventivo a los equipos Falta de control en la configuración de los equipos Software ampliamente distribuido Se filtra información confidencial Interfaz de usuario compleja VULNERABILIDADES Tabla 22. Identificación de Riesgos Daño en los equipos Retraso en las actividades de la empresa Pérdidas económicas Bajo desempeño Las actividades no se cumplen satisfactoriamente Acceso a cualquier área de la empresa sin restricción Documentos privados al alcance de todos Información clasificada puede ser accesada Información fácil de accesar Mal manejo de la información y mal uso de las aplicaciones Documentos digitales pueden ser dañados y no recuperados Daños en los activos de TI RIESGO 49 ORGANIZACIONALES ESTRUCTURALES ORIGEN DE LA AMENAZA No se realiza un control de las instalaciones No se mejora las estaciones en mal estado No se revisa el estado de las conexiones eléctricas Falta de mantenimiento a la planta de energía de respaldo Falta de procedimientos para el registro y retiro de usuarios Procedimientos inadecuados de contratación Falta de auditorías para controlar los procesos de TI Falta de procesos disciplinarios en caso de incumplimiento Falta de control sobre el uso de activos de TI de la empresa Ausencia de un Oficial de Seguridad Informática No se cuenta con salidas de emergencia No se revisan los extintores con frecuencia VULNERABILIDADES RIESGO Gran flujo de información de gran importancia para la empresa Los procesos organizacionales se llevan a cabo sin control alguno Acceso libre a la información, incumplimiento en los procesos Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Falta de gestión de seguridad informática Falta de políticas Flujo de personal Fallas eléctricas Mal estado de las instalaciones Incendios AMENAZAS 50 51 1.4.4 ANÁLISIS DE RIESGOS 1.4.4.1 Escalas de Medición del Riesgo Los resultados obtenidos del análisis de riesgos serán evaluados en base a la Norma NTE ISO/IEC 27005 [9]. Tabla 23. Matriz Escala de Probabilidad x Impacto IMPACTO MATRIZ PxI BAJO ESCALA DE PROBABILIDAD MUY IMPROBABLE IMPROBABLE POSIBLE PROBABLE MUY PROBABLE 1 2 3 4 5 1 1x1 2x1 3x1 4x1 5x1 MEDIO 2 1x2 2x2 3x2 4x2 5x2 1x3 2x3 3x3 4x3 5x3 ALTO 3 Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 1.4.4.2 Categoría del Riesgo Se plantean tres categorías del riesgo: · Bajo: 1-5 · Medio: 6 - 10 · Alto: 11 - 15 Figura 8. Categoría del Riesgo Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 1.4.4.3 Evaluación de Riesgos Una vez definidas las amenazas y vulnerabilidades que afectan a la empresa se aplicará la definición para calcular el riesgo: Riesgo = Probabilidad x Impacto. Es importante recategorizar los riesgos de acuerdo al valor obtenido durante el análisis ya que algunos obtuvieron el mismo valor, por lo que se debe analizar cuál de ellos es el que más afecta a la empresa y así en ese orden tener un control sobre estos riesgos. Flujo de personal Inundaciones Materiales de construcción de mala calidad Falta de control de calidad en las instalaciones Falta de procedimientos para el registro y retiro de usuarios Estructuras en mal estado Conexiones de red pública sin protección Uso indebido de los recursos tecnológicos Falla de los servicios contratados (ISP) Negligencia en el manejo de activos de TI Terremotos Configuraciones mal realizadas Falta de gestión de seguridad informática Fallas de las aplicaciones Falla de los servicios contratados (ISP) Falta de políticas Mal funcionamiento de los equipos No existen acuerdos de confidencialidad Ausencia de un Oficial de Seguridad Informática No se cuenta con salidas de emergencia Falta de mantenimiento preventivo a los equipos Falta de control en la configuración de los equipos Tráfico de información sensible sin protección Falta de auditorías para controlar los procesos de TI Falta de control sobre el uso de activos de TI de la empresa 3 3 2 2 2 3 3 3 2 2 2 2 3 3 2 2 4 4 2 4 2 4 3 3 2 3 4 4 3 3 3 IMPACTO 4 4 Se filtra información confidencial Divulgación de información confidencial Falta de gestión de seguridad informática Incendios 5 No existe un control de medios extraíbles Divulgación de información confidencial Software sin licencias PROBABILIDAD VULNERABILIDADES AMENAZAS Tabla 24. Evaluación del Riesgo 6 6 6 6 6 6 6 8 8 8 8 8 9 12 12 12 15 VALOR DEL RIESGO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO ALTO ALTO ALTO ALTO CATEGORÍA DEL RIESGO 52 Software ampliamente distribuido Variaciones en los voltajes Interfaz de usuario compleja Software sin licencias Tormentas eléctricas Fallas de las aplicaciones 2 3 3 1 1 1 2 2 2 2 2 2 2 2 2 2 2 2 2 IMPACTO 2 3 3 4 4 4 4 4 4 4 6 6 VALOR DEL RIESGO Inundaciones No se revisa el estado de los 2 1 2 drenajes No se revisan los extintores con Incendios 1 2 2 frecuencia No se realiza un control de las 2 1 2 Mal estado de las instalaciones instalaciones No se mejora las estaciones en 2 1 2 mal estado Falta de control de calidad en los Tormentas eléctricas 1 1 1 UPS Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Fallas eléctricas Terrorismo Negligencia en el manejo de activos de TI 2 Información sin encriptar 2 2 3 3 PROBABILIDAD Infraestructura de red insegura Procedimientos inadecuados de contratación Falta de procesos disciplinarios en caso de incumplimiento VULNERABILIDADES Mal funcionamiento de las cámaras de seguridad Falta de personal de seguridad para resguardar la empresa Inducción incompleta al personal nuevo No se revisa el estado de las conexiones eléctricas Falta de mantenimiento a la planta de energía de respaldo Hacking Falta de políticas AMENAZAS BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO BAJO MEDIO MEDIO CATEGORÍA DEL RIESGO 53 54 En la Tabla 24 se observa que al momento de obtener la valoración del riesgo, algunos de dichos valores son iguales, por lo que se debe organizar para saber cuál de ellos tratar primero tomando en cuenta cual puede afectar en mayor magnitud a la empresa. En la Tabla 25 se muestra el orden de prioridad establecido para mitigar las vulnerabilidades. Tabla 25. Orden para Mitigar las Vulnerabilidades VALOR DEL RIESGO 15 VULNERABILIDADES No existe un control de medios extraíbles No existen acuerdos de confidencialidad 12 Se filtra información confidencial Ausencia de un Oficial de Seguridad Informática 9 No se cuenta con salidas de emergencia Tráfico de información sensible sin protección Falta de mantenimiento preventivo a los equipos 8 Falta de control en la configuración de los equipos Falta de control sobre el uso de los activos de TI de la empresa Falta de auditorías para controlar los procesos de TI Conexiones de red pública sin protección Uso indebido de los recursos tecnológicos Falta de procedimientos para el registro y retiro de usuarios 6 Configuraciones mal realizadas Procedimientos inadecuados de contratación Falta de procesos disciplinarios en caso de incumplimiento Falta de control de calidad en las instalaciones Infraestructura de red insegura Información sin encriptar 4 Inducción incompleta al personal nuevo Falta de mantenimiento a la planta de energía de respaldo No se revisa el estado de las conexiones eléctricas 55 Falta de personal de seguridad para resguardar la empresa Mal funcionamiento de las cámaras de seguridad 3 2 1 Software ampliamente distribuido Variaciones en los voltajes Interfaz de usuario compleja No se revisa el estado de los drenajes Falta de control de calidad en los UPS Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Una vez definido el orden de prioridad, la empresa puede aplicar controles apropiados para mitigar las vulnerabilidades. El Departamento de TI tiene la necesidad de mantener operativas sus funciones y proteger los activos en caso de un imprevisto. Realizado el análisis de vulnerabilidades y riesgos, se determina que el Departamento de TI es susceptible a interrupciones en sus actividades, por lo que nace la necesidad de desarrollar un Plan de Continuidad del Negocio. 56 CAPÍTULO II ELABORACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO En este capítulo se desarrolla el Plan de Continuidad del Negocio, en cada sección se describen los aspectos más relevantes establecidos por la Norma ISO 22301:2012 definidos por cada una de las siete cláusulas. Dentro del estudio inicial se describe al Departamento de TI, de esta manera se obtiene el Alcance del Plan de Continuidad del Negocio. Por medio de los requerimientos se definen roles y responsabilidades, el compromiso de la gerencia y así llegar a realizar la Política de Continuidad. Se definen los objetivos del Plan de Continuidad con sus respectivos factores críticos de éxito, también los recursos necesarios para llevar a cabo el Plan de Continuidad. Posteriormente se describe la metodología de desarrollo del Plan de Continuidad, finalizando con las estrategias y procedimientos para la Continuidad del Negocio y la elaboración del documento. 2.1 ESTUDIO INICIAL El estudio inicial comprende una parte importante para la elaboración del Plan de Continuidad del Negocio. En este estudio se detallan los aspectos más relevantes de la norma como cada una de las cláusulas con sus respectivas entradas, actividades y salidas, las cuales serán aplicadas al Departamento de TI. La Norma ISO 22301 consta de 7 cláusulas [10] claves con las que se lleva a cabo la Gestión de la Continuidad del Negocio: - Cláusula 4: Contexto de la Organización - Cláusula 5: Liderazgo - Cláusula 6: Planeación - Cláusula 7: Soporte 57 - Cláusula 8: Operación - Cláusula 9: Evaluación del desempeño - Cláusula 10: Mejoramiento Esta norma fue elegida porque abarca los aspectos de gestión como un sistema, permitiendo enfocarse en la revisión de riesgos para posteriormente poder estar preparados ante cualquier desastre y minimizar el impacto, sin que la interrupción de las actividades sea a largo plazo o a gran escala. En la Figura 9 se explica de forma gráfica las entradas, actividades y salidas de cada cláusula de la Norma ISO 22301. Salidas Actividades Mejora Continua Toma de acciones preventivas y correctivas Resultados de auditoría interna Evaluación Análisis Medición Monitoreo BIA Salidas Actividades Entradas 10. MEJORAMIENTO 4. CONTEXTO DE LA ORGANIZACIÓN Fuente: ISO 22301 9. EVALUACIÓN DEL DESEMPEÑO ISO 22301 5. LIDERAZGO 8.OPERACIÓN Salidas Actividades Salidas Actividades Entradas 7. SOPORTE 6. PLANIFICACIÓN Política de continuidad Garantizar el compromiso de la alta dirección Roles y responsabilidades Salidas Actividades Entradas Salidas Actividades Entradas Estrategias de continuidad del negocio Evaluación de riesgos BIA Procesos críticos Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Entradas Salidas Actividades Entradas Estrategias y procedimientos de continuidad del negocio Alcance del BCP Identificar activos críticos Identificar productos y servicios Procesos de TI Funciones Productos y servicios Entradas Figura 9. Cláusulas de la ISO 22301 Información documentada Toma de conciencia y comunicación Recursos Objetivos de continuidad del negocio Determinar los objetivos estratégicos Oportunidades y riesgos 58 59 2.1.1 CLÁUSULA 4: CONTEXTO DE LA ORGANIZACIÓN Como el proyecto se enfoca en el Departamento de TI, se procederá a tratar las cláusulas de la Norma ISO 22301:2012 [11] haciendo referencia a dicho departamento. 2.1.1.1 Entendimiento a la Organización y su Contexto Este punto se encuentra descrito en el apartado 1.2.2 y 1.2.2.1 de este documento donde se hace referencia al Departamento de TI. 2.1.1.2 Entendimiento de las Necesidades y Expectativas de las Partes Interesadas · Partes Interesadas Los principales interesados al momento de establecer el Plan de Continuidad son: o Directorio o Gerente General o Gerente de Innovación y Desarrollo Tecnológico o Gerente Actuarial y Riesgos · Entendimiento de las Necesidades de la Continuidad Dentro de la empresa se tiene la necesidad de establecer un Plan de Continuidad del Negocio, ya que puede presentarse algún imprevisto que provoque desastres y paralice las actividades del Departamento de TI. Por ser una empresa aseguradora no puede detener sus funciones, debido a esto es necesario tener un respaldo principalmente para los activos de TI como es el caso de los servidores, donde se encuentra el núcleo de la empresa porque se almacena todo tipo de información, tanto de los clientes como información para las actividades diarias de la empresa. El Plan de Continuidad del Negocio aporta con varios procedimientos, que permiten hacer frente a los imprevistos y buscar una pronta solución para continuar con 60 normalidad las actividades dentro del Departamento de TI y satisfacer las necesidades de los clientes tanto internos como externos. 2.1.1.3 Alcance del Plan de Continuidad del Negocio Para determinar el alcance del Plan de Continuidad del Negocio, se considera el Macroproceso MP-150 Tecnología de Información (ver Figura 3), a partir del cual se obtienen los procesos críticos involucrados en el Plan de Continuidad del Negocio. Dentro del alcance del Plan de Continuidad se involucra a las siguientes personas: · Gerente General · Gerente de Innovación y Desarrollo Tecnológico · Gerente del Macroproceso · Líder del proceso · Personal de TI involucrados en las actividades del proceso Los activos de TI que se ven involucrados son: · Aplicaciones o SISE o VECTOR o Risk Control Service o Intranet o Correo exchange · Infraestructura o Equipos de escritorio § ThinkCentre M71z § ThinkCentre M73z o Laptops § ThinkPad T440s § ThinkPad X121e 61 o Equipos de red o Servidores 2.2 § BLADE 3, Físico, IBM-VIOS, AIX § Virtual, VLK, 2003 Server § Físico, VmWare ESXi, VMWARE § Virtual, VLK, 2008 Server DEFINICIÓN DE REQUERIMIENTOS Y ESTRATEGIA La determinación de los requerimientos es un componente esencial al momento de determinar el nivel de reacción del Departamento de TI ante una interrupción en las operaciones [12] respectivas del negocio y los costos que esto implica. El Departamento de TI como principal requerimiento de continuidad necesita mantener operativas sus actividades a pesar de la ocurrencia de un evento inesperado, con la finalidad de mantener una buena imagen a nivel corporativo. El Departamento de TI debe reanudar sus actividades lo antes posible, es aquí donde el Plan de Continuidad del Negocio entra en acción determinando los procedimientos claves para seguir brindando los servicios a los clientes tanto internos como externos que dependen de él para realizar sus actividades correspondientes. 2.2.1 CLÁUSULA 5: LIDERAZGO 2.2.1.1 Liderazgo y Compromiso La Gerencia General de EQUIVIDA S.A. y el Departamento de TI deben involucrarse en todas las actividades que se lleven a cabo dentro del Plan de Continuidad del Negocio, tomando en cuenta que se debe nombrar una comisión que debe estar a cargo de monitorear las actividades que constan en él, de esta manera se obliga a las demás partes interesadas a formar parte del proceso y obtener los resultados esperados de la mejor manera con la colaboración de todo el personal. 62 El Directorio y el líder principal del equipo deben conocer cómo se llevan a cabo las actividades para mantener informados a todos los involucrados. El líder del Plan de Continuidad del Negocio, será el encargado de formar comisiones para que hagan un seguimiento, monitoreo, evaluación y correcciones en caso de haberlas, todo esto con la finalidad de cumplir con los objetivos del Plan de Continuidad del Negocio. 2.2.1.2 Compromiso de la Gerencia La Gerencia está comprometida a ser partícipe de las actividades del Plan de Continuidad del Negocio, aportando con los recursos necesarios tanto financieros como no financieros para la planificación, implementación y mejora continua. 2.2.1.3 Política de Continuidad del Negocio · Introducción La Política de Continuidad se desarrolla con el objetivo de garantizar la continuidad en las actividades de los procesos críticos de TI en caso que un evento inesperado pueda afectar la continuidad de las operaciones. · Alcance La Política de Continuidad aplica para el Departamento de TI de la empresa EQUIVIDA S.A. en las instalaciones de la ciudad de Quito. · Objetivo Elaborar un Plan de Continuidad con la finalidad de estar prevenidos ante eventos inesperados para recuperar y mantener operativas las actividades que se llevan a cabo en el Departamento de TI. · Declaración de la Política La Política de Continuidad garantiza lo siguiente: 63 o Es prioridad proteger al personal del Departamento de TI ante cualquier eventualidad, por lo que los brigadistas de la empresa están comprometidos a brindar protección a través de simulacros con el fin de estar prevenidos. o Los procesos críticos deben continuar operativos ante un evento inesperado. Se debe comunicar a los involucrados en las actividades y proveer permanentemente recursos ya sean financieros, humanos y materiales para asegurar la recuperación del nivel operativo de las actividades de los procesos críticos. o Creación de la Comisión de Continuidad para que sea la encargada de realizar el monitoreo, evaluación y mejora del Plan de Continuidad del Negocio. o Realizar jornadas de capacitación sobre continuidad a las partes interesadas y colaboradores. o El tiempo de recuperación ante cualquier eventualidad debe ser el que se encuentra establecido en el Plan de Continuidad del Negocio. o Tomar en cuenta las mejores prácticas con el fin de asegurar la mejora continua de acuerdo a lo establecido en la Norma ISO 22301. · Vigencia de la Política La duración de la política se encuentra definida por la Comisión de Continuidad, la cual dura un año desde la fecha de aprobación o hasta que exista algún cambio en el plan o en la comisión. · Incumplimiento de la Política Las partes involucradas están comprometidas a cumplir estrictamente los puntos detallados en la declaración de la política, en caso de no cumplir, la empresa tiene la potestad de sancionar de acuerdo al nivel de impacto que tenga el incumplimiento debido a que se toman en cuenta aspectos tanto operacionales como legales. 64 · Glosario BCP; Plan de Continuidad del Negocio por sus siglas en inglés Business Continuity Plan: plan para recuperar y mantener operativas las funciones de una empresa. DRP; Plan de Recuperación de Desastres por sus siglas en inglés Disaster Recovery Plan: plan para recuperar y mantener operativas las actividades referentes a tecnología. BIA; Análisis de Impacto del Negocio por sus siglas en inglés Business Impact Analysis: elemento que se utiliza para calcular la estimación de la afectación que podría padecer una empresa a consecuencia de algún incidente o un desastre. RTO; Tiempo Objetivo de Recuperación por sus siglas en inglés Recovery Time Objective: es el tiempo objetivo de recuperación. RPO; Punto Objetivo de Recuperación por sus siglas en inglés Recovery Point Objective: cantidad de información que la empresa puede perder. WRT; Tiempo de Trabajo de Recuperación por sus siglas en inglés Work Recovery Time: tiempo necesario para verificar la integridad del sistema y/o los datos. MTD; Tiempo de Inactividad Máximo Tolerable por sus siglas en inglés Maximun Tolerable Downtime: tiempo máximo que la empresa puede tolerar la no disponibilidad de una función o proceso. 2.2.1.4 Roles y Responsabilidades Por medio del Departamento de Talento Humano se deben realizar una serie de pruebas para seleccionar al personal adecuado para conformar la Comisión de Continuidad con lo que se pueden determinar los siguientes roles y responsabilidades: · Coordinador de Continuidad del Negocio o Programar y evaluar cambios en el Plan de Continuidad del Negocio. o Reportar el estado del Plan de Continuidad del Negocio a la alta dirección. 65 o Evaluar el desempeño de cada miembro de la Comisión de Continuidad. o Programar reuniones continuas con los líderes de cada equipo. · Coordinador Alterno de Continuidad del Negocio o Reemplazar al Coordinador en caso de ausencia. o Brindar soporte en las actividades del Coordinador. · Equipo de Gestión de Riesgos o Realizar análisis de riesgos periódicamente. o Tomar acciones correctivas y preventivas para mitigar los riesgos encontrados. · Equipo de Recuperación o Restablecer todos los sistemas necesarios. o Verificar el funcionamiento de los equipos y sistemas. · Equipo de Brigadistas o Preparar al personal en caso de un desastre. o Planificar simulacros. · Equipo de Apoyo o Dar soporte en las actividades a los diferentes equipos que conforman la Comisión de Continuidad. Una vez definidos los roles la Comisión como equipo tiene las siguientes responsabilidades: · Asegurar el cumplimiento de la Política de Continuidad. · Realizar evaluaciones de riesgo constantes para determinar nuevas amenazas y descartar las que ya han sido mitigadas. · Asegurar el cumplimiento de las responsabilidades asignadas a los miembros de la Comisión y el Equipo de Apoyo. · Mantener actualizado el Plan de Continuidad del Negocio por medio de la mejora continua. · Garantizar una pronta recuperación de las operaciones de los procesos críticos. 66 · Garantizar la socialización del Plan de Continuidad con los empleados del Departamento de TI. · Capacitar al personal para que se mantengan al tanto de las acciones que se llevan a cabo dentro del Plan de Continuidad. 2.2.2 CLÁUSULA 7: APOYO 2.2.2.1 Recursos La alta dirección debe estar comprometida con la asignación de los recursos para llevar a cabo el Plan de Continuidad del Negocio. Oportunamente debe destinar recursos financieros, humanos, técnicos y materiales [13], para que el equipo que lleva a cabo las actividades y controles del Plan de Continuidad del Negocio pueda desempeñar sus funciones con normalidad. 2.2.2.2 Competencia Para seleccionar las personas que se encuentran a cargo del Plan de Continuidad se define lo siguiente: · Coordinador de Continuidad del Negocio o Experiencia laboral mínima de 2 años dentro del Departamento de TI de la empresa o Haber recibido capacitaciones referentes a Continuidad del Negocio por entidades reconocidas. · Coordinador Alterno de Continuidad del Negocio o Experiencia laboral mínima de 2 años dentro del Departamento de TI de la empresa o Haber recibido capacitaciones referentes a Continuidad del Negocio por entidades reconocidas. · Equipo de Gestión de Riesgos o Personal capacitado en metodologías de gestión de riesgos o Experiencia laboral en el campo mínima de 1 año 67 o Conocimientos de las normas de la familia ISO 27001 · Equipo de Recuperación o Experiencia laboral en el campo mínima de 1 año o Conocimientos específicos en tareas de recuperación en área de las TICs · Equipo de Brigadistas o Haber recibido capacitaciones por parte de las autoridades competentes (bomberos, defensa civil, equipo de paramédicos) o Capacidad de reacción ante desastres naturales inesperados · Equipo de Apoyo o Experiencia laboral en el área de TICs mínima de 1 año o Conocimiento de las operaciones del Departamento de TI de la empresa o Proactivo 2.2.2.3 Toma de Conciencia y Comunicación El equipo que conforma la Comisión de Continuidad debe conocer la Política de Continuidad, con la finalidad de hacer cumplir la declaración que se encuentra en ella y tomar acciones contra el personal que no la cumpla. A su vez, cada miembro de la Comisión de Continuidad debe estar consciente del rol que desempeña dentro del equipo y estar siempre preparado ante cualquier eventualidad para dar una breve solución a cualquier incidente que llegara a suceder o a su vez evitar que dicho incidente ocurra con las acciones necesarias. La Comisión de Continuidad también se debe encargar de transmitir información relevante sobre las actividades que se desarrollan en el Plan de Continuidad del Negocio, a través de capacitaciones para el personal del Departamento de TI, quienes son los principales involucrados. Adicionalmente, para el personal entrante se debe brindar inducción con la finalidad de que todos puedan cumplir de manera satisfactoria las cláusulas definidas en el Plan de Continuidad del Negocio. 68 2.3 OBJETIVOS DEL PLAN DE CONTINUIDAD 2.3.1 CLÁUSULA 6: PLANEACIÓN 2.3.1.1 Objetivos Es necesario definir los objetivos que se pretenden alcanzar con la aplicación del Plan de Continuidad del Negocio. · Mantener el nivel operativo de las funciones de los procesos críticos del Departamento de TI. · Reducir la posibilidad de pérdida y divulgación de información sensible. · Proteger al personal, clientes y terceras partes en caso de que un evento inesperado cause daños. · Garantizar la protección de los activos críticos del Departamento de TI. · Garantizar y optimizar las acciones a realizar ante un desastre. · Mantener la imagen corporativa del Departamento de TI. Se deben tomar en cuenta todos los riesgos que pueden causar inconvenientes a la operatividad de las funciones del Departamento de TI. Con una mitigación efectiva de los mismos, las operaciones críticas del departamento no se verán afectadas. La planificación se la debe realizar de manera rigurosa para cumplir a cabalidad los objetivos antes mencionados, todo esto con el compromiso constante de las partes interesadas. 2.3.1.2 Factores Críticos de Éxito En base a los objetivos planteados se realiza un análisis y en la Tabla 26 se presentan los factores críticos de éxito por cada uno de ellos. 69 Tabla 26. Factores Críticos de Éxito OBJETIVOS FACTORES CRÍTICOS DE ÉXITO Mantener el nivel operativo de las funciones de los procesos críticos del Departamento de TI. de información sensible. Proteger al personal, clientes y terceras partes en caso de que un evento inesperado cause daños. Garantizar la protección de los activos de TI que son esenciales para el desarrollo SISE, así como la información utilizada por el mismo. Subir el sistema a la nube y solicitar al proveedor del servicio una disponibilidad de 99.99% (“4 nueves”) mensual. Reducir la posibilidad de pérdida y divulgación Implementar un centro de datos alterno que almacene el sistema core de las actividades del Departamento de TI. Garantizar y optimizar las acciones a realizar ante un desastre. Mantener la imagen corporativa del Departamento de TI. Implementar acuerdos de confidencialidad. Controles de medios extraíbles. Realizar simulacros planificados ante desastres naturales, terrorismo y fallas técnicas. Implementar un centro de datos alterno que almacene el sistema "core" SISE, así como la información utilizada por el mismo. Subir el sistema a la nube y solicitar al proveedor del servicio del 95% mensual. Definir roles y responsabilidades. Crear políticas que garanticen confidencialidad, integridad y disponibilidad. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 2.4 METODOLOGÍA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO El estándar ISO 22301:2012 “Seguridad Social: Sistemas de Continuidad del Negocio - Requisitos” es un estándar internacional para la Gestión de la Continuidad del Negocio, el cual fue desarrollado con la finalidad de ayudar a las organizaciones a minimizar el riesgo ante desastres. Actualmente el estándar ISO 22301 reemplaza a la Norma BS 25999. Los requerimientos especificados en la ISO 22301 son genéricos y pueden ser aplicables para todo tipo de organización independiente de su tamaño o naturaleza. El estándar ISO 22301 aplica el ciclo PDCA (Plan, Do, Check, Act por sus siglas en inglés) a la planeación, establecimiento, implementación, operación, monitoreo, 70 revisión, ejercicios, mantenimiento y mejora continua de la efectividad del Sistema de Gestión de Continuidad del Negocio de una organización. El estándar ISO 22301 tiene como referencias consistentes a otros estándares como son: ISO 9001:2008, ISO 14001:2004, ISO/IEC 27001:2005 e ISO/IEC 20000-1:2005 [30]. Figura 10. Ciclo PDCA Aplicado al Proceso de la Continuidad del Negocio Fuente: Norma ISO 22301:2012 Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa El PDCA aplicado a la Continuidad del Negocio [14] se puede describir de la siguiente manera: - PLAN: es esta sección se aplican las cláusulas 4, 5, 6 y 7 de la Norma correspondientes a Contexto de la Organización, Liderazgo, Planeación y Soporte. - DO: en esta fase se aplica la cláusula 8 correspondiente a Operación. - CHECK: en esta fase se aplica la cláusula 9 que corresponde a Evaluación del desempeño. 71 - ACT: en esta fase se aplica la cláusula 10 que corresponde al Mejoramiento Continuo. 2.4.1 CLÁUSULA 8: OPERACIÓN 2.4.1.1 Análisis de Impacto del Negocio y Evaluación del Riesgo Como parte del proceso de Continuidad del Negocio es necesario realizar un Análisis de Impacto del Negocio [15] para evaluar los riesgos y su impacto en los procesos críticos. · Procesos de TI Dentro del Departamento de TI existe el Macroproceso Tecnología de Información el cual consta de los siguientes subprocesos: o PR-153 Desarrollo e Implementación de Aplicativos o PR-154 Gestión de Cambio o PR-155 Gestión de Incidentes o PR-156 Gestión de Problemas o PR-1511 Gestión de Centro de Servicio o PR-1513 Gestión de Configuraciones o PR-1515 Gestión de Proyectos de TI o PR-1516 Gestión de Niveles de Servicios o PR-1517 Selección de Proveedores de TI o PR-1518 Contratación de Proveedores de TI o PR-1519 Evaluación de Proveedores o PR-1520 Seguimiento y Control de Proveedores de TI o PR-1521 Gestión de Peticiones de Servicios · Selección de los Procesos Críticos de TI Un paso para poder determinar el alcance del Plan de Continuidad es determinar los procesos críticos, de esta manera se establecen indicadores los cuales nos ayudarán 72 a determinar los procesos que tienen un alto impacto dentro de las funciones de la empresa. Se toman en cuenta cuatro tipos de indicadores para la selección de los procesos críticos: o Suspensión de operaciones o Pérdida de ingresos o Necesidad de los clientes/Servicio al cliente o Confianza de los accionistas En base a estos criterios se procede a valorar los procesos y determinar su criticidad. Los valores ponderados son establecidos de acuerdo al impacto que tiene en el negocio: o Bajo: 1 o Medio: 2 o Alto: 3 Figura 11. Escala de Criticidad Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa En la Tabla 27 se muestra el proceso de identificación de los procesos críticos del Departamento de TI de EQUIVIDA S.A. Tabla 27. Identificación de Procesos Críticos NECESIDADES DE CÓDIGO PROCESO PROCESO SUSPENSIÓN DE PÉRDIDA DE LOS OPERACIONES INGRESOS CLIENTES/SERVICIO AL CLIENTE CONFIANZA DE LOS TOTAL ACCIONISTAS Desarrollo e PR-153 Implementación de 3 1 1 1 6 2 2 1 2 7 Aplicativos PR-154 Gestión de Cambio 73 NECESIDADES DE CÓDIGO PROCESO PROCESO SUSPENSIÓN DE PÉRDIDA DE LOS OPERACIONES INGRESOS CLIENTES/SERVICIO AL CLIENTE CONFIANZA DE LOS TOTAL ACCIONISTAS PR-155 Gestión de Incidentes 3 2 3 3 11 PR-156 Gestión de Problemas 2 1 2 2 7 3 2 3 3 11 3 3 3 2 11 1 2 1 2 6 3 2 3 3 11 1 1 2 2 6 1 1 2 2 6 1 2 2 2 7 1 1 2 2 6 1 1 3 1 6 PR-1511 PR-1513 PR-1515 PR-1516 PR-1517 PR-1518 PR-1519 PR-1520 PR-1521 Gestión de Centro de Servicio Gestión de Configuraciones Gestión de Proyectos de TI Gestión de Niveles de Servicios Selección de Proveedores de TI Contratación de Proveedores de TI Evaluación de Proveedores Seguimientos y Control de Proveedores de TI Gestión de Peticiones de Servicios Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Una vez realizado el análisis se determinan como procesos críticos los siguientes: o PR-155 Gestión de Incidentes o PR-1511 Gestión de Centro de Servicio o PR-1513 Gestión de Configuraciones o PR-1516 Gestión de Niveles de Servicios · Diagramas de Flujo de los Procesos Críticos A continuación, de la Figura 12 - 15 se muestran los diagramas de flujo de cada uno de los procesos críticos del Departamento de TI que han sido identificados. Fuente: EQUIVIDA S.A. [3] Figura 12. Gestión de Incidentes 74 Fuente: EQUIVIDA S.A. [3] Figura 13. Gestión de Centro de Servicios 75 Fuente: EQUIVIDA S.A. [3] Figura 14. Gestión de Configuraciones 76 Fuente: EQUIVIDA S.A. [3] Figura 15. Gestión de Niveles de Servicio 77 78 · Análisis de Impacto del Negocio o Objetivos del BIA § Analizar el impacto que causa una interrupción [16] en las actividades de los procesos críticos del Departamento de TI. § Determinar los tiempos y estrategias de recuperación ante cualquier eventualidad que cause una interrupción en las actividades. o Impacto Financiero y Estratégico Para determinar el impacto de cada proceso crítico, se establecen los valores del impacto financiero e impacto estratégico. Para el impacto estratégico se toman en cuenta tres criterios de evaluación: efectividad del servicio, confianza del cliente y satisfacción del cliente. La escala de medición para cada uno de estos criterios comprende de la siguiente manera: § Bajo: 1 § Medio: 2 § Alto: 3 Tabla 28. Análisis de Impacto del Negocio PROCESO IMPACTO FINANCIERO (IF) IMPACTO ESTRATÉGICO (IE) Efectividad Confianza Satisfacción del servicio del cliente del cliente Total PONDERACIÓN IF x IE Gestión de 3 8 24 3 3 2 Incidentes Gestión de 2 8 16 Centro de 3 3 2 Servicio Gestión de 3 7 21 3 2 2 Configuraciones Gestión de 2 8 16 Niveles de 3 3 2 Servicios Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa El criterio de calificación de acuerdo a la escala da un cierto tipo de impacto, el mismo que cuantifica tanto la parte financiera como la parte estratégica, por esta razón la ponderación se obtiene del producto de los valores totales del impacto estratégico por el impacto financiero. Tomando en cuenta los 79 resultados obtenidos se establece el orden de importancia de los procesos evaluados: 1. Gestión de Incidentes 2. Gestión de Configuraciones 3. Gestión de Niveles de Servicios 4. Gestión de Centro de Servicios o Determinación del RPO, RTO, WRT y MTD El primer paso para el desarrollo de la determinación de los tiempos de recuperación y tolerancia es obtener los procesos críticos y sus actividades relacionadas. En la Figura 16 se muestra la relación entre el RPO, RTO, WRT y MTD. Figura 16. Relación entre RPO, RTO, WRT y MTD [17] MTD RPO RTO WRT Tiempo Normal Se produce el desastre Recuperación Reanudar el proceso Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Para determinar el punto objetivo de recuperación (RPO), el tiempo objetivo de recuperación (RTO) y el tiempo de trabajo de recuperación (WRT) para cada uno de los procesos críticos se realiza entrevistas a los responsables de cada proceso. Esta información nos permitió también obtener las estrategias de recuperación. Para obtener el tiempo de inactividad máximo tolerable (MTD) se aplica la fórmula [17]: MTD= RTO + WRT. Gestión de Niveles de Servicios Gestión de Configuraciones Gestión de Centro de Servicio Gestión de Incidentes Proceso - Risk Control Service - Virtual, VLK, 2008 Server - Expression Engine - Virtual, VLK, 2003 Server - Correo Exchange - Intranet - VECTOR - Blade 3, Físico, IBMVIOS, AIX Servidores - ThinkPad T430 - ThinkCentre M71z - ThinkPad X121e - ThinkPad T440s - ThinkCentre M73z Computadoras Infraestructura - Físico, VMWare, ESXi, VMWARE - SISE Aplicaciones - Inventarios - Manuales de procedimientos - Manuales de Usuario de las aplicaciones - Bases de Datos - Reportes Datos - Andrea Bandera - Javier Chicaiza Personal Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Actualizar catálogo de servicios Implementar acción de mejora de servicios Solicitar parametrización de un nuevo servicio Analizar el SLA Actualizar CMDB Notificar la actualización vía mail Monitorear CMDB Aviso de alta o baja de elementos de configuración Recopilar información Registrar la solicitud del cliente interno Asignar la solicitud a un Gestor correspondiente Solucionar la solicitud Emitir un diagnóstico de la incidencia Resolver la incidencia Receptar la solicitud de incidencia Analizar la incidencia Actividades Activos de TI Tabla 29. Tiempos de Recuperación 1 hora 1 hora 0.5 horas 0.5 horas RPO 1 hora 1 hora 0.5 horas 0.5 horas RTO 1 hora 2 horas 0.5 horas 0.5 horas WRT 2 horas 3 horas 1 hora 1 hora MTD= RTO+WRT 80 81 · Evaluación de Riesgos Esta sección se encuentra detallada en el apartado 1.4.4 de este documento. 2.4.1.2 Estrategia de Continuidad del Negocio Para determinar las estrategias de Continuidad del Negocio se toman en cuenta los factores tecnológicos, ambientales, humanos y los servicios que son tercerizados. Las estrategias de continuidad son aplicadas a los procesos críticos del Departamento de TI. · Escenarios de Recuperación Considerando la magnitud del impacto del incidente se puede tomar en cuenta el tipo de recuperación que se requiera implementar. A continuación, se describen los diferentes escenarios de recuperación. o Hot Site (sitio caliente): es un escenario que tiene el equipo necesario para que la empresa continúe con el desempeño normal de sus actividades. Este escenario incluye los espacios necesarios de una oficina, muebles y demás activos de tecnología, es decir se tiene una réplica del ambiente de operación. o Warm Site (sitio cálido): este escenario permite preinstalar los equipos y el ancho de banda necesario para que en caso de un desastre solamente se deba configurar el software y restablecer los sistemas del negocio. o Cold Site (sitio frío): este escenario es un espacio que contiene instalaciones eléctricas y aire acondicionado pero carece de los equipos necesarios para restablecer las operaciones de manera inmediata. o Mirror Site (sitio espejo): este escenario no es más que una réplica de las estaciones de operación del sitio original, es decir debe ser una copia exacta, que incluya los mismos equipos, mismas conexiones, etc. Este escenario es el más usado al momento de realizar un Plan de Continuidad del Negocio. o Mobile Site (sitio móvil): este escenario contiene los equipos necesarios para implementar un centro de operación alternativo en caso de un desastre. 82 En la Tabla 30 se muestra un resumen de los escenarios de recuperación con los indicadores más importantes al momento de tomar una decisión. Tabla 30. Escenarios de Recuperación [18] SITIO COSTO HARDWARE TELECOMUNICACIONES TIEMPO LOCALIZACIÓN Cold Site Bajo No Ninguno 45 días Fijo Warm Site Medio Parcial Parcial 10 días Fijo Hot Site Alto Completo Parcial 15 días Fijo Mobile Site Alto Variable Variable 8 días No fijo Mirror Site Muy Alto Completo Completo 30 días Fijo Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa De acuerdo a lo descrito en la Tabla 30, se realiza un análisis en base a los costos y tiempo estimado que conlleva implementar estos escenarios, determinando que no son la mejor opción para ser tomados en cuenta. · Estrategias de Continuidad del Negocio o Acuerdos recíprocos con otras organizaciones: estos acuerdos consisten en convenios realizados con otras empresas para que en caso de un desastre se pueda trasladar ciertos empleados y equipos para continuar con sus actividades de manera temporal. o Almacenamiento en la nube: esta es una solución cada vez más atractiva para las organizaciones ya que los datos residen en la Web. Los proveedores del servicio de almacenamiento en la nube tienen distintos centros de almacenamiento de datos con lo que garantizan que la información se almacene de manera segura y esté disponible siempre que el usuario lo requiera. Las características del servicio se definen al momento en que la empresa firma el contrato con el proveedor del servicio. o Servicios en la nube [19] § Saas (Software as a Service/Software como Servicio): es una solución en la cual los usuarios usan un navegador para acceder al software con 83 los programas y datos del usuario que residen en la nube. Esta solución elimina la necesidad de aplicaciones in-house. § Paas (Platform as a Service/Plataforma como Servicio): esta solución provee todas las fuentes requeridas para construir aplicaciones y servicios directamente desde Internet, sin la necesidad de descargar o instalar software. § Iaas (Infraestructure as a Service/Infraestructura como Servicio): este servicio ofrece el hardware para que la organización pueda ponerlo en donde lo necesite. IaaS permite rentar recursos como: · - Servidores - Equipos de red - Memoria - Ciclos de CPU - Espacio de almacenamiento Selección de la Estrategia de Continuidad del Negocio Una vez analizadas las estrategias, se llega a la conclusión de que las mejores son: o Acuerdos recíprocos con otras organizaciones o Almacenamiento en la nube Estas estrategias han sido elegidas debido a dos factores: los bajos costos de implementación y aprovechar las diferentes alianzas estratégicas con las empresas que forman parte del Grupo Futuro. Esto facilita la compartición de recursos tanto de infraestructura y personal. 2.4.1.3 Procedimientos para Continuidad del Negocio [20] · Implementación de un Centro de Datos Alterno Este procedimiento se describe en base a la estrategia “Acuerdos recíprocos con otras organizaciones”. 1. Establecer términos y condiciones entre las partes interesadas. 84 2. Analizar los términos y condiciones. 3. Firmar el acuerdo. 4. Replicar información del centro de datos una vez al día al finalizar la jornada laboral. · Almacenamiento en la Nube 1. Analizar los Acuerdos de Nivel de Servicio (Service Level Agreement, SLA por sus siglas en inglés) del proveedor. 2. Contratar el servicio. 3. Instalar la aplicación. 4. Subir el contenido a la nube. 5. Mantener la aplicación actualizada. · Procesar Fallas de Hardware Para la descripción de este procedimiento serán tomados en cuenta los siguientes activos: o Laptops o Desktops o Switches o Servidores 1. Reportar el daño al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa el equipo y reporta el tipo y la gravedad del daño. 4. Verificar si el equipo cuenta con garantía. a. Si tiene garantía se reporta el daño al proveedor del equipo donde éste determina si aplica o no la garantía. i. Si aplica la garantía el proveedor se encarga de reparar el equipo. ii. Si no aplica la garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional. 85 b. Si no tiene garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional. 5. En caso de que el tiempo de reparación del equipo sea extenso se procede al reemplazo del equipo, siempre y cuando sea posible hacerlo, caso contrario se recurre a la estrategia establecida. En el paso 4 se menciona “Verificar si el equipo cuenta con garantía”, este paso no es aplicable para el caso de los switches ya que es factible reparar o sustituir el equipo de manera inmediata. · Procesar Fallas de Software 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa la falla y en caso de: a. Sistema operativo i. Revisar la causa del problema ii. Si el daño es mayor, se deben obtener los respaldos necesarios y formatear el equipo. iii. Instalar el sistema operativo, las aplicaciones y archivos respaldados. iv. Probar que el problema haya sido solucionado. b. Software de ofimática y antivirus i. En caso de que las licencias no se hayan renovado se las debe adquirir de manera inmediata. ii. Reinstalar el software. iii. Verificar su funcionamiento. · Procesar Fallas de Aplicaciones 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa la falla y reporta el problema al encargado de la aplicación. 86 a. Si fallan las aplicaciones en el servidor: i. Obtener respaldos para proceder a la depuración del servidor. ii. Reparar el daño. iii. Instalar las aplicaciones en el servidor. iv. Configurar el servidor con los respaldos obtenidos. b. Si fallan las aplicaciones en los equipos personales i. Detectar la causa del problema. ii. Solucionar la falla lo más pronto posible. 4. Hacer las pruebas para comprobar que el problema ha sido solventado. Si el tiempo de reparación del servidor es alto, se recurre a la estrategia establecida en la sección 2.4.1.2.3 de este documento. · Procesar Problemas de Energía Eléctrica El Departamento de TI cuenta con 25 dispositivos de alimentación ininterrumpida (Uninterruptible Power Supply, UPS por sus siglas en inglés), los cuales mantienen la energía mientras se activa el generador. En el caso de una falla de la red eléctrica de la Empresa Eléctrica Quito: 1. Verificar el estado del generador eléctrico a. El encargado de mantenimiento debe comprobar que se encuentre el tanque cargado, lo que garantiza 8 horas de energía. b. Si al generador le hace falta combustible se lo debe llenar de manera inmediata. 2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador entre en operación. 3. El generador entra automáticamente en funcionamiento en 10 segundos a partir del corte de energía. En el caso de que la falla eléctrica sea: 1. Interna 87 a. Reportar la falla a un especialista eléctrico. b. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador entre en operación. c. El generador entra automáticamente en funcionamiento en 10 segundos a partir del corte de energía. d. El especialista eléctrico verifica el origen de la falla. e. Se procede a reparar la falla f. Se realiza una revisión del funcionamiento de los equipos. 2. En el caso de una falla interna y no funcionan los UPS a. Reportar la falla a un especialista eléctrico. b. El generador entra automáticamente en funcionamiento en 10 segundos a partir del corte de energía. c. El especialista eléctrico verifica el origen de la falla y la repara. d. El técnico del Departamento de TI revisa si algún equipo tuvo daños. i. Si los equipos tienen alguna falla producida por el corte de energía se procede a la reparación o sustitución del mismo. 3. Si el daño producido a los equipos es grave y el tiempo de recuperación es extenso se procede a implementar la estrategia de recuperación elegida. · Procedimientos ante Desastres Naturales Dentro de este procedimiento se toman en cuenta los siguientes escenarios: o Incendios o Inundaciones o Terremotos 1. El equipo de brigadistas es el encargado de realizar las siguientes actividades: a. Reportar el desastre ante las autoridades competentes. (Bomberos) b. Iniciar el proceso de evacuación de las instalaciones. c. Controlar el desastre. 88 d. Verificar que los empleados se encuentren en buenas condiciones. e. Revisar las instalaciones. f. Reportar al Departamento de TI sobre el estado de los equipos. 2. Los técnicos del Departamento de TI deberán: a. Revisar el estado de los equipos b. Reportar los daños c. Realizar las reparaciones de los equipos en caso de ser posible. En caso de daño y pérdida total de los equipos se inicia la acción con la estrategia elegida. · Procesar Fallas en los Servicios Contratados Esta falla se refiere a los servicios contratados con el Proveedor de Servicio de Internet (Internet Service Provider, ISP por sus siglas en inglés). 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico para la revisión de la falla. a. En caso de ser una falla interna el técnico asignado soluciona el problema. b. Si es una falla mayor, reporta al proveedor del servicio. i. Conectar los routers móviles (MiFi) hasta que el problema sea solucionado. 3. Restablecer el servicio. · Procesar Fallas Humanas y Organizacionales Este tipo de fallas hacen referencia a incidentes provocados por el hombre, por lo que es necesario contar con un Oficial de Seguridad Informática y políticas. En caso de existir un Oficial de Seguridad. 1. Reportar o anticipar el incidente de seguridad informática al Oficial de Seguridad. 2. El Oficial de Seguridad analiza el caso. 89 3. Definir acciones tanto preventivas como correctivas. En caso de no existir un Oficial de Seguridad. 1. Elaboración del perfil para contratación. 2. Llamado a postulación del cargo. 3. Evaluación y entrevista de los postulantes. 4. Notificación de resultados. 5. Contratación. 6. Asumir responsabilidades. 7. En caso de fallas: a. Reportar o anticipar el incidente de seguridad informática al Oficial de Seguridad. b. El Oficial de Seguridad analiza el caso. c. Definir acciones tanto preventivas como correctivas. Para la elaboración de políticas. 1. Definición del alcance de la política 2. Creación de las políticas por parte del Oficial de Seguridad. 3. Revisión y aprobación de las políticas. 4. Aplicación de las políticas a través de la socialización de la misma con el personal. 2.4.1.4 Ejercicios y Ensayos La Comisión de Continuidad deberá realizar ejercicios y ensayos para garantizar el correcto funcionamiento de los procedimientos establecidos [21]. · Ejercicios o Orientación: el propósito de este ejercicio es familiarizar al personal con el Plan de Continuidad del Negocio de la organización. Este proceso se lo lleva 90 a cabo mediante reuniones de los diferentes departamentos para una mejor comprensión y coordinación. o Simulacro: el éxito de los simulacros está determinado por la retroalimentación de los participantes y el impacto que tiene en la evaluación y revisión de políticas y procedimientos. o Ejercicio funcional o de simulación: el propósito de este ejercicio es probar la capacidad de una organización para responder a un evento simulado. o Ejercicio a escala global: prueba la capacidad de respuesta global de múltiples organizaciones mediante la simulación de un hecho real lo más cerca posible. · Ensayos Es necesario probar los ejercicios mediante ensayos, los cuales se listan a continuación: o Discusiones: consiste en realizar reuniones en las cuales cada uno de los asistentes expresa sus diferentes puntos de vista ante una situación. o Lluvia de ideas: consiste en planificar sesiones de grupo en las que se propone ideas al azar sobre un tema o problema determinado para alcanzar una idea general que aporte a la mejora de los ejercicios. o Caso de estudio: consiste en presentar casos de aplicación reales, donde se pueden determinar aciertos y fallas de los procedimientos. o Talleres de capacitación: consisten en brindar al personal de la empresa charlas que les permita conocer el funcionamiento de la empresa con el fin de que los empleados tengan claros los objetivos del negocio. o Junta básica: los participantes discuten los problemas como un grupo, el líder resume las conclusiones. o Junta avanzada: los problemas a resolver necesitan una respuesta rápida, en esta junta el facilitador guía la discusión. 91 2.4.2 CLÁUSULA 9: EVALUACIÓN DEL DESEMPEÑO 2.4.2.1 Monitoreo y Medición Las variables [22] a ser tomadas en cuenta para este paso son tiempos, costos y efectividad. · Tiempo o Tiempo de revisión y diagnóstico de los equipos o Tiempo que el técnico del Departamento de TI tarda en dar el soporte o Tiempo que el técnico del servicio contratado tarda en dar el soporte o Tiempo que se tarda en reemplazar el equipo o Tiempo que se tarda en configurar el equipo nuevo o Tiempo que toma instalar las aplicaciones o Tiempo total de los procesos de recuperación · Costos o Costos de reparación de los equipos o Costos de compra de nuevos equipos o Costos de logística o Costo total · Efectividad o Duración del proceso inactivo o Fallas en la aplicación del plan o Tiempo que toma realizar el simulacro o Consideración de los tiempos RTO, RPO y MTD 2.4.2.2 Análisis y Evaluación A través de los procedimientos, ejercicios y ensayos establecidos anteriormente, se realiza un análisis tomando en cuenta los parámetros de medición: · Tiempo · Costo 92 · Efectividad Una vez realizado el análisis se procede a la evaluación [23] donde los resultados obtenidos pueden ser acertados o fallidos. En caso de ser resultados excelentes se tendrán reuniones cada mes con la finalidad de mantener actualizados los procedimientos. En caso de tener errores, estos deben ser corregidos inmediatamente actualizando los procedimientos. Los procedimientos corregidos serán sometidos a los procesos de análisis y evaluación tomando en cuenta los parámetros de medición antes mencionados. 2.4.2.3 Auditoría Interna La auditoría interna es un proceso que debe estar controlado directamente por la Gerencia ya que se debe garantizar el cumplimiento de los objetivos de la empresa. Los encargados de la parte de auditoría interna deben realizar esta actividad de manera permanente para agregar valor y optimizar el desempeño de las operaciones dentro del Departamento de TI y a su vez mejorar la eficacia de los procesos que se llevan a cabo dentro del mismo. Los auditores internos obtienen información como buenas prácticas, mejoras, cumplimiento de los requisitos y problemas; y están en la obligación de sugerir el mejoramiento de los procedimientos que se desarrollan con el Plan de Continuidad en caso de que sea necesario corregir alguno de estos. 2.4.2.4 Revisión Gerencial Los auditores internos deben reportar directamente sus actividades a la Gerencia ya que es oportuno que los directivos conozcan cómo se están llevando a cabo los procedimientos de Continuidad del Negocio. En base a los resultados obtenidos de la auditoría se puedan tomar las mejores decisiones que aporten al desarrollo del plan. 93 2.4.3 CLÁUSULA 10: MEJORAMIENTO 2.4.3.1 No Conformidad y Acción Correctiva Los auditores internos están ligados a este punto ya que son los que evalúan directamente el cumplimiento de los requisitos. En caso de alguna falta ante ellos se da la no conformidad. Esta falta puede ser: documentación incompleta, incumplimiento de las fechas de auditoría, falta de algún requisito de la norma o alguna inconsistencia en las hojas de ruta. Esto se debe reportar a la gerencia y a su vez proponer las acciones correctivas dependiendo del requisito que no ha sido cumplido satisfactoriamente. 2.4.3.2 Mejora Continua El proceso de mejora continua sigue el ciclo PDCA, lo que garantiza que los objetivos sean identificados de la mejor manera definiendo los indicadores que van a permitir establecer el punto inicial de donde se los puede cuantificar [24]. Identificados estos objetivos, podemos llevar a cabo las acciones planificadas y realizar un análisis de los resultados, los cuales pueden ser evaluados con los objetivos establecidos y determinar si se han alcanzado. Caso contrario, se debe analizar el error que no permitió conseguirlos. Todo el personal debe estar involucrado con el proceso de mejora continua con la finalidad de no ocultar información ni acontecimientos que afecten las actividades del Departamento de TI. El aporte de sus propias experiencias en cuanto a las actividades que realiza dentro del departamento es fundamental para poder realizar un estudio de los procesos y procedimientos que se quieren mejorar. El ciclo de mejora continua no tiene fin ya que cada vez es necesario mantener las evaluaciones de los procesos para realizar cambios en caso de que existan anomalías que puedan afectar el desarrollo de las actividades. Esto garantiza un cumplimiento de los objetivos planificados en la primera fase del Plan de Continuidad del Negocio. 94 2.5 GENERACIÓN DEL DOCUMENTO El documento [25] cuenta con la siguiente estructura: · Carátula · Índice de contenidos · Introducción · Objetivos · Política · Gestión de riesgos · Análisis de impacto del negocio – BIA · Estrategias de continuidad · Grupos para la Continuidad del Negocio · Auditoría interna · Mejora continua · Términos y definiciones Ver el documento en el Anexo 1. 95 CAPÍTULO III APLICACIÓN DEL PLAN DE CONTINUIDAD En este capítulo se recopila información necesaria para proceder a la aplicación del Plan de Continuidad del Negocio, posteriormente se analizan los resultados y se realiza una evaluación de la aceptación, colaboración y cumplimiento de los objetivos del Plan. 3.1 RECOPILACIÓN DE DATOS DEL CASO DE APLICACIÓN En esta sección se reúnen los datos necesarios como: actividades, activos y medidas de defensa de cada proceso que es tomado en cuenta para el caso de aplicación. En la Tabla 31 se resume una ficha técnica con información de la empresa EQUIVIDA S.A. y el Departamento de TI. Tabla 31. Datos del Caso de Aplicación Nombre de la empresa Línea de negocio Número de sucursales Sucursal del caso de estudio Dirección Teléfono Gerente General Número de personas de la empresa Dependencia de aplicación del caso de estudio Gerente de la dependencia Número de personas del Departamento de TI Número de laptops instaladas Número de desktops instaladas Número de switches instalados Número de servidores Número de aplicaciones Procesos críticos EQUIVIDA S.A. Seguros de vida para personas 3 Quito (Matriz) Av. Amazonas N40-100 y Gaspar de Villarroel (593)224 66 62 Martha Tufiño 220 Gerencia de Innovación y Desarrollo Tecnológico María Isabel Quiroz 35 142 80 12 31 23 Gestión de Incidentes Gestión de Centro de Servicios 96 Aplicaciones críticas Gestión de Configuraciones Gestión de Niveles de Servicio SISE Intranet VECTOR Risk Control Service Correo Exchange Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 3.1.1 GESTIÓN DE INCIDENTES Este proceso resuelve cualquier incidente que cause una interrupción o degradación en el servicio de manera rápida. Actividades del proceso 1. Receptar la solicitud de incidencia 2. Analizar la incidencia 3. Emitir un diagnóstico de la incidencia 4. Resolver la incidencia Aplicaciones que usa el proceso · SISE · Intranet · VECTOR · Risk Control Service · Correo Exchange Activos usados por el proceso · Laptops o ThinkPad T440s: Intel® Core™ i5 4300U 1,9 GHz, HDD 500 GB, RAM 4 GB. o ThinkPad T430: Intel® Core™ i5 3320M 2,6 GHz, HDD 500 GB, RAM 4 GB. 97 · Desktop o ThinkCentre M73z: Intel® Core™ i5 4570S 2,9 GHz, HDD 500 GB, RAM 8 GB. · Datos o Bases de datos o Reportes o Manuales de usuario de las aplicaciones desarrolladas o Manuales de procedimientos o Inventarios o Formularios o Acuerdos o Información archivada · Switches o Switch Marca 3COM Modelo 4500G o Switch Marca 3COM Modelo 5500G o Switch Marca 3COM Modelo 2900G o Switch Marca HP Modelo HPV1910 · Personal o José Almeida, Arquitecto de Infraestructura o Javier Chicaiza, Arquitecto de Servicios de Aplicación o Gustavo Ortiz, Coordinador de Servicios de Infraestructura o Juan Salcedo, Desarrollador de Servicios o Isvel López, Jefe de Arquitectura o María Isabel Quiroz, Gerente de Innovación y Tecnología Medidas de defensa Tabla 32. Estado de las Medidas de Defensa – P. Gestión de Incidentes INFRAESTRUCTURA Defensa del perímetro Reglas y filtros de cortafuegos Antivirus Autenticación • • Usuarios administrativos Usuarios internos • • Gestión y control Informes sobre incidentes y respuesta • 98 Antivirus - Servidores • • Sistema de detección de intrusiones (IDS) • Antivirus - Equipos de escritorio • • Directrices de contraseñas Directrices de contraseñas-Cuenta de administrador Directrices de contraseñas-Cuenta de usuario • APLICACIONES Implementación y uso Diseño de aplicaciones • • Aplicación y recuperación de datos Fabricante de software independiente (ISV) Autenticación Autorización y control de acceso Registro Validación de datos de entrada • • • • OPERACIONES Directrices de seguridad Entorno • Host de gestión Copias de seguridad y recuperación Archivos de registro Uso aceptable • • Gestión de cuentas de usuarios • Copias de seguridad Clasificación de datos Planificación de recuperación ante desastres y reanudación de negocio Dispositivos de copia de seguridad Copias de seguridad y restauración • • • • • PERSONAL Requisitos y evaluaciones Requisitos de seguridad Evaluaciones de seguridad Directrices y procedimientos • • Comprobaciones del historial personal Directrices de recursos humanos Relaciones con terceros Formación y conocimiento • • • Conocimiento de seguridad • • Carencias severas • SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 3.1.2 GESTIÓN DE CENTRO DE SERVICIO Este proceso es el encargado de receptar y direccionar los requerimientos del cliente interno hacia otros procesos de TI. Actividades del proceso 1. Registrar la solicitud del cliente interno 2. Asignar la solicitud al gestor correspondiente 3. Atender la solicitud 99 Aplicaciones que usa el proceso · SISE · Intranet · VECTOR · Risk Control Service · Correo Exchange Activos usados por el proceso · Laptops o ThinkPad T440s: Intel® Core™ i5 4300U 1,9 GHz, HDD 500 GB, RAM 4 GB. · Desktop o ThinkCentre M73z: Intel® Core™ i5 4570S 2,9 GHz, HDD 500 GB, RAM 8 GB. o ThinkCentre M71z: Intel® Core™ i5 2400S 2,5 GHz, HDD 500 GB, RAM 4 GB. · Datos o Bases de datos o Reportes o Manuales de usuario de las aplicaciones desarrolladas o Manuales de procedimientos o Inventarios o Formularios o Acuerdos o Información archivada · Switches o Switch Marca 3COM Modelo 4500G o Switch Marca 3COM Modelo 5500G o Switch Marca 3COM Modelo 2900G o Switch Marca HP Modelo HPV1910 100 Personal · o Silverio Albuja, Gestor del Centro de Servicios o José Almeida, Arquitecto de Infraestructura o Javier Chicaiza, Arquitecto de Servicios de Aplicación o Gustavo Ortiz, Coordinador de Servicios de Infraestructura o Paulina Oviedo, Jefe de Servicios de Tecnología o Juan Salcedo, Desarrollador de Servicios o Andrea Bandera, Especialista de Proyectos o María Isabel Quiroz, Gerente de Innovación y Tecnología Medidas de defensa Tabla 33. Estado de las Medidas de Defensa – P. Gestión de Centro de Servicio INFRAESTRUCTURA Defensa del perímetro Autenticación • • • Reglas y filtros de cortafuegos Antivirus - Equipos de escritorio Antivirus - Servidores Gestión y control • • Usuarios administrativos Usuarios internos • Seguridad física APLICACIONES Implementación y uso Diseño de aplicaciones • • • Equilibrio de carga Aplicación y recuperación de datos Fabricante de software independiente (ISV) Autenticación Autorización y control de acceso Registro Validación de datos de entrada • • • • OPERACIONES Entorno Host gestión de • Directrices de seguridad Clasificación de datos Gestión de actualizaciones y revisiones • Documentación de la red Copias de seguridad y recuperación • Copias de seguridad • PERSONAL Requisitos y evaluaciones Requisitos de seguridad Evaluaciones de seguridad Directrices y procedimientos • • Comprobaciones del historial personal Directrices de recursos humanos Relaciones con terceros Formación y conocimiento • • • Conocimiento de seguridad • • Carencias severas • SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 101 3.1.3 GESTIÓN DE CONFIGURACIONES Este proceso proporciona información precisa y fiable al resto de la organización de todos los elementos que conforman la estructura de TI. Actividades del proceso 1. Aviso de alta o baja de elementos de configuración 2. Recopilar información 3. Monitorear CMDB 4. Actualizar CMDB 5. Notificar la actualización vía correo electrónico Aplicaciones que usa el proceso · SISE · Intranet · VECTOR · Risk Control Service · Correo Exchange Activos usados por el proceso · Laptops o ThinkPad X121e: AMD® Fusion E-240 1,5GHz, HDD 320 GB, RAM 8 GB. · Desktop o ThinkCentre M71z: Intel® Core™ i5 2400S 2,5 GHz, HDD 500 GB, RAM 4 GB. · Datos o Bases de datos o Reportes o Manuales de usuario de las aplicaciones desarrolladas o Manuales de procedimientos 102 o Inventarios o Formularios o Acuerdos o Información archivada · Switches o Switch Marca 3COM Modelo 4500G o Switch Marca 3COM Modelo 5500G o Switch Marca 3COM Modelo 2900G o Switch Marca HP Modelo HPV1910 · Personal o Silverio Albuja, Gestor del Centro de Servicios o José Almeida, Arquitecto de Infraestructura o Javier Chicaiza, Arquitecto de Servicios de Aplicación o Gustavo Ortiz, Coordinador de Servicios de Infraestructura o Paulina Oviedo, Jefe de Servicios de Tecnología o Juan Salcedo, Desarrollador de Servicios o Andrea Bandera, Especialista de Proyectos o Isvel López, Jefe de Arquitectura o Carina Muñoz, Gestor de Servicios TI o María Isabel Quiroz, Gerente de Innovación y Tecnología Medidas de defensa Tabla 34. Estado de las Medidas de Defensa – P. Gestión de Configuraciones INFRAESTRUCTURA Defensa del perímetro Autenticación Acceso remoto • • • • • Sistema de detección de intrusiones (IDS) • Reglas y filtros de cortafuegos Antivirus Antivirus - Equipos de escritorio Antivirus - Servidores Usuarios administrativos Usuarios internos Usuarios de acceso remoto Directrices de contraseñas Directrices de contraseñasCuenta de administrador Directrices de contraseñasCuenta de usuario Cuentas inactivas • • • • • • • Gestión y control Informes sobre incidentes y respuesta Seguridad física • • 103 APLICACIONES Implementación y uso Diseño de aplicaciones • • • Equilibrio de carga Aplicación y recuperación de datos Fabricante de software independiente (ISV) Autenticación Directrices de contraseñas Autorización y control de acceso Registro Validación de datos de entrada Metodologías de desarrollo de seguridad de software • • • • • • OPERACIONES Entorno Host de gestión Directrices de seguridad • Clasificación de datos • Gestión de actualizaciones y revisiones Documentación de la red Copias de seguridad y recuperación • Archivos de registro • • Eliminación de datos • Flujo de datos de la aplicación • Planificación de recuperación ante desastres y reanudación de negocio Protocolos y servicios • • Copias de seguridad • Uso aceptable • Gestión de actualizaciones Gestión de cambios y configuración • • Gestión de cuentas de usuarios • • • Dispositivos de copia de seguridad Copias de seguridad y restauración Regulación Directrices de seguridad • PERSONAL Requisitos y evaluaciones Requisitos de seguridad • Evaluaciones de seguridad • Directrices y procedimientos Comprobaciones del historial personal Directrices de recursos humanos Relaciones con terceros Formación y conocimiento • Conocimiento de seguridad • • • SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar • Carencias severas • Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 3.1.4 GESTIÓN DE NIVELES DE SERVICIO Este proceso pone la tecnología al servicio de los clientes y vela por la calidad de los servicios de tecnología alineados a los procesos del negocio. 104 Actividades del proceso 1. Implementación de mejora de servicios 2. Solicitar parametrización de un nuevo servicio 3. Actualizar catálogo de servicios Aplicaciones que usa el proceso · SISE · Intranet · VECTOR · Risk Control Service · Correo Exchange Activos usados por el proceso · Laptops o ThinkPad T440s: Intel® Core™ i5 4300U 1,9 GHz, HDD 500 GB, RAM 4 GB. o ThinkPad X121e: AMD® Fusion E-240 1,5GHz, HDD 320 GB, RAM 8 GB. · Desktop o ThinkCentre M73z: Intel® Core™ i5 4570S 2,9 GHz, HDD 500 GB, RAM 8 GB. o ThinkCentre M71z: Intel® Core™ i5 2400S 2,5 GHz, HDD 500 GB, RAM 4 GB. · Datos o Bases de datos o Reportes o Manuales de usuario de las aplicaciones desarrolladas o Manuales de procedimientos o Inventarios o Formularios 105 o Acuerdos o Información archivada · Switches o Switch Marca 3COM Modelo 4500G o Switch Marca 3COM Modelo 5500G o Switch Marca 3COM Modelo 2900G o Switch Marca HP Modelo HPV1910 · Personal o Javier Chicaiza, Arquitecto de Servicios de Aplicación o Gustavo Ortiz, Coordinador de Servicios de Infraestructura o Juan Salcedo, Desarrollador de Servicios o Carina Muñoz, Gestor de Servicios TI o María Isabel Quiroz, Gerente de Innovación y Tecnología Medidas de defensa Tabla 35. Estado de las Medidas de Defensa – P. Gestión de Niveles de Servicio INFRAESTRUCTURA Defensa del perímetro Reglas y filtros de cortafuegos Antivirus Autenticación • • Gestión y control • • • Usuarios administrativos Usuarios internos Usuarios de acceso remoto • Seguridad física APLICACIONES Implementación y uso Diseño de aplicaciones • • • Equilibrio de carga Aplicación y recuperación de datos Fabricante de software independiente (ISV) • • • Autenticación Registro Validación de datos de entrada OPERACIONES Entorno Host de gestión Directrices de seguridad • Protocolos y servicios Uso aceptable • • Gestión de actualizaciones y revisiones Flujo de datos de la aplicación Copias de seguridad y recuperación • Copias de seguridad • PERSONAL Requisitos y evaluaciones Requisitos de seguridad Evaluaciones de seguridad • • Directrices y procedimientos Comprobaciones del historial personal Directrices de recursos humanos Formación y conocimiento • • Conocimiento de seguridad • 106 Relaciones con terceros • SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar • Carencias severas • Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 3.2 APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO Los procesos críticos identificados tienen medidas de defensa que necesitan ser mejoradas y en otros casos implementadas debido a sus carencias, en las Tablas 36 - 39 se indican las medidas de defensa y posteriormente las mejores prácticas recomendadas para corregir dichas falencias. Tabla 36. Medidas de Defensa de Gestión de Incidentes GESTIÓN DE INCIDENTES Infraestructura Gestión y control Necesitan Mejorar Medidas de defensa • Defensa del perímetro Autenticación Aplicaciones Diseño de aplicaciones Operaciones Directrices de seguridad Copias de seguridad y recuperación Infraestructura Defensa del perímetro Implementación y uso Aplicaciones Diseño de aplicaciones Entorno Directrices de seguridad Carencias Severas • Operaciones Copias de seguridad y recuperación Requisitos y evaluaciones Personal Reglas y filtros de cortafuegos Usuarios internos Informes sobre incidentes y respuesta Registro Validación de datos de entrada Gestión de cuentas de usuario Dispositivos de copia de seguridad Sistema de detección de intrusiones Aplicación y recuperación de datos Fabricante de Software independiente Autenticación Autorización y Control de acceso Host de gestión Clasificación de datos Archivos de registro Planificación de recuperación ante desastres y reanudación de negocio Requisitos de seguridad Evaluaciones de seguridad Comprobaciones del historial personal Conocimiento de seguridad Directrices y procedimientos Formación y conocimiento Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Tabla 37. Medidas de Defensa de Gestión de Centro de Servicio 107 GESTIÓN DE CENTRO DE SERVICIO Necesitan Mejorar • Infraestructura Defensa del perímetro Autenticación Gestión y control Aplicaciones Diseño de aplicaciones Medidas de defensa Implementación y uso Aplicaciones Diseño de aplicaciones Carencias Severas • Operaciones Entorno Directrices de seguridad Gestión de actualizaciones y revisiones Requisitos y evaluaciones Reglas y filtros de cortafuegos Usuarios internos Seguridad Física Registro Validación de datos de entrada Equilibrio de carga Aplicación y recuperación de datos Fabricante de software independiente (ISV) Autenticación Autorización y control de acceso Host de gestión Clasificación de datos Documentación de la red Requisitos de seguridad Evaluaciones de seguridad Comprobaciones del historial personal Directrices y procedimientos Formación y Conocimiento de seguridad conocimiento Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Personal Tabla 38. Medidas de Defensa de Gestión de Configuraciones GESTIÓN DE CONFIGURACIONES Infraestructura Gestión y control Necesitan Mejorar Medidas de defensa • Defensa del perímetro Autenticación Aplicaciones Diseño de aplicaciones Operaciones Directrices de seguridad Copias de seguridad y recuperación Infraestructura Defensa del perímetro Autenticación Carencias Severas • Implementación y uso Aplicaciones Diseño de aplicaciones Reglas y filtros de cortafuegos Usuarios internos Informes sobre incidentes Seguridad física Registro Validación de datos de entrada Gestión de cuentas de usuarios Dispositivos de copia de seguridad Sistema de detección de intrusos (IDS) Usuarios de acceso remoto Equilibrio de carga Aplicación y recuperación de datos Fabricante de software independiente (ISV) Autenticación Directrices de contraseñas Autorización y control de acceso Metodologías de desarrollo de seguridad de software 108 Entorno Directrices de seguridad Operaciones Gestión de actualizaciones y revisiones Copias de seguridad y recuperación Requisitos y evaluaciones Personal Directrices y procedimientos Host de gestión Host de gestión-Servidores Host de gestión - Dispositivos de red Clasificación de datos Eliminación de datos Protocolos y servicios Documentación de la red Flujo de datos de la aplicación Gestión de actualizaciones Archivos de registro Planificación de recuperación ante desastres y reanudación de negocio Requisitos de seguridad Evaluaciones de seguridad Comprobaciones del historial personal Conocimiento de seguridad Formación y conocimiento Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Tabla 39. Medidas de Defensa de Gestión de Niveles de Servicio Medidas de defensa GESTIÓN DE NIVELES DE SERVICIO Necesitan Mejorar Infraestructura • Defensa del perímetro Autenticación Gestión y control Aplicaciones Diseño de aplicaciones Infraestructura Autenticación Aplicaciones Carencias Severas • Operaciones Implementación y uso Diseño de aplicaciones Entorno Directrices de seguridad Gestión de actualizaciones y revisiones Requisitos y evaluaciones Personal Directrices y procedimientos Reglas y filtros de cortafuegos Usuarios internos Seguridad física Registro Validación de datos de entrada Usuarios de acceso remoto Equilibrio de carga Aplicación y recuperación de datos Fabricante de software independiente (ISV) Autenticación Host de gestión Protocolos y servicios Flujo de datos de la aplicación Requisitos de seguridad Evaluaciones de seguridad Comprobaciones del historial personal Conocimiento de seguridad Formación y conocimiento Fuente: Herramienta MSAT Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 109 Una vez presentado el resumen de las falencias en las medidas de defensa de los procesos críticos, se listan las mejores prácticas recomendadas para cada uno de los factores que son: infraestructura, aplicaciones, datos y personal [26]. Infraestructura · Defensa del perímetro o Reglas y filtros de cortafuegos § Los firewalls se deben colocar en todo el perímetro de la red. Las reglas implementadas en los firewalls deben ser muy restrictivas y establecerse host a host y servicio a servicio. § Al crear reglas de firewall y listas de control de acceso (ACL por sus siglas en inglés), se debe enfocar primero en la protección de los dispositivos de control y de la red frente a ataques. § El firewall debe estar configurado con denegación predeterminada, permitiendo únicamente el tráfico necesario. o Sistema de detección de intrusos § Los sistemas de detección de intrusos basados en host y en red deben implantarse para detectar y notificar cualquier ataque que se produzca contra los sistemas corporativos. · Autenticación o Usuarios internos § Para las cuentas de usuario, se debe implementar una directriz que requiera el uso de contraseñas complejas que cumplan los siguientes criterios: § - Caracteres alfanuméricos - Uso de mayúsculas y minúsculas - Al menos un carácter especial - Longitud mínima de 8 caracteres Para limitar aún más el riesgo de un ataque a contraseñas, se debe implementar los siguientes controles: 110 - Caducidad de contraseña - Bloqueo de cuenta después de 3 intentos de inicio de sesión erróneos o Usuarios de acceso remoto § Implementar controles de contraseña complejos para todos los usuarios de acceso remoto. § Implementar una fase adicional de autenticación para las cuentas a las que se ha concedido acceso remoto. § Es importante proteger el entorno mediante el uso de prácticas de gestión de cuentas seguras, buenas prácticas de registro y capacidad de detección de intrusos. · Gestión y control o Informes sobre incidentes y respuestas § Establecer procedimientos para la creación de informes de incidentes y sus respuestas, problemas o preocupaciones sobre seguridad. § Designar un equipo de respuesta de emergencia que incluya representantes de varias áreas, incluidas: tecnología, recursos humanos y legal para responder a todos los incidentes y problemas de seguridad. § Los Planes de Recuperación ante Desastres y de Continuidad del Negocio deben estar bien documentados y actualizados para asegurar la recuperación en un período de tiempo aceptable. o Seguridad física § Establecer controles de acceso físico como protección contra personas no autorizadas que acceden al edificio y a información confidencial. § Evaluar todos los controles de acceso físico para garantizar que son adecuados y que se cumplen. § Todos los equipos informáticos se deben proteger contra robos. 111 § Los servidores y los equipos de red deben asegurarse en ubicaciones cerradas con acceso controlado. Aplicaciones · Diseño de aplicaciones o Registro § Activar archivos de registro en todas las aplicaciones del entorno. Los datos de archivos de registro son importantes para los análisis de incidentes, tendencias y auditorías. § La aplicación debe registrar los intentos de autenticación que tienen éxito y los fallidos, además de los cambios de datos de la aplicación, incluidas las cuentas de usuarios. o Validación de datos de entrada § La aplicación puede permitir la entrada de datos en distintos puntos a partir de fuentes externas, por ejemplo: usuarios, aplicaciones de cliente o alimentación de datos. Comprobar que los datos de entrada tengan una sintaxis y semántica correctas. § Comprobar si los datos cumplen con la longitud de cadenas y los juegos de caracteres. o Autenticación § La aplicación debe utilizar un mecanismo de autenticación proporcional a las necesidades de seguridad de los datos o de su funcionalidad. § Las aplicaciones que dependen de contraseñas deben requerir el uso de contraseñas complejas. § Crear contraseñas de administradores más estrictas que las de las cuentas normales. o Autorización y Control de Acceso § Las aplicaciones deben utilizar mecanismos de autorización que permitan sólo a los usuarios o clientes autorizados el acceso a datos y funciones confidenciales. 112 § Las aplicaciones deben mantener controles de acceso basados en roles, tanto para la base de datos como para la interfaz de la aplicación. § Registrar todos los intentos de acceso sin autorización adecuada. o Directrices de contraseñas § Tener entre 8 y 14 caracteres e incluir caracteres alfanuméricos y especiales. § Establecer una longitud mínima, un historial, un límite de duración y una caducidad para reforzar la defensa. § Configurar la caducidad de las contraseñas de la siguiente manera: - Duración máxima de 90 días - Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión § Las contraseñas de administradores deben ser más estrictas que las que se emplean para cuentas normales. § Activar una práctica de bloqueo de la cuenta después de 3 intentos fallidos en todas las cuentas de usuario. o Metodologías de desarrollo de software seguro § Establecer el uso de metodologías de desarrollo de software seguro para aumentar la confidencialidad, integridad y disponibilidad de las aplicaciones. § El personal de desarrollo debe recibir formación sobre la metodología elegida de desarrollo de software seguro. Esto incluye administradores de desarrollo, desarrolladores y personal de control de calidad. § El uso de herramientas de prueba mejora la capacidad del equipo para escribir código seguro. · Implementación y uso o Aplicación y recuperación de datos § Realizar copias de seguridad regularmente. 113 § Probar el mecanismo de copias de seguridad y recuperación que restaura la aplicación a un estado normal de operación. o Fabricante de software independiente § Los fabricantes de software independiente (ISV por sus siglas en inglés) deben ofrecer revisiones y actualizaciones periódicas, en las que se explique su finalidad y las consecuencias derivadas de su uso en términos de funcionalidad, configuración y seguridad. § Describir los mecanismos de seguridad de la aplicación y proporcionar la documentación actualizada. o Equilibrio de carga § Se debe utilizar equilibradores de carga de hardware en el primer nivel de los servidores Web para obtener una mayor disponibilidad. Operaciones · Directrices de seguridad o Gestión de cuentas de usuario § Crear una cuenta de usuario individual para el acceso a los recursos de TI. § Los usuarios no deben compartir cuentas, las cuentas se crearán con los privilegios necesarios. § Los administradores de las redes y los servidores deben tener una cuenta con privilegios (administrativa) y otra sin privilegios. § A medida que cambia el personal, se debe revisar y modificar los privilegios de la cuenta. o Clasificación de datos § Definir un esquema de clasificación de datos corporativos. § Proporcionar a todo el personal una guía y un proceso de formación adecuados acerca de la clasificación de datos. § Definir requisitos de manejo y protección útiles correspondientes a los niveles de clasificación de datos. 114 o Eliminación de datos § Crear procedimientos formales para que los usuarios conozcan la manera adecuada para eliminar información electrónica y en formato impreso. o Protocolos y servicios § Documentar las normas y las prácticas permitidas con respecto a los protocolos y servicios admitidos por la empresa. · Entorno o Host de gestión § Cuando se utilizan paquetes de gestión, las estaciones de trabajo se deben reforzar y proteger físicamente. · Copias de seguridad y recuperación o Dispositivos de copia de seguridad § Establecer directrices detalladas para administrar el almacenamiento y la gestión de los dispositivos de copias de seguridad. Estas directrices deben abordar temas como: - Almacenamiento dentro de las instalaciones o fuera de ellas § - Rotación de los dispositivos - Controles de seguridad - Controles de acceso para empleados Los dispositivos extraíbles de copias de seguridad deben almacenarse en armarios cerrados, a prueba de fuego, a los que sólo tengan acceso los empleados autorizados. § El almacenamiento fuera de las instalaciones propicia la recuperación adicional de datos en caso de producirse algún desastre. o Archivos de registro § Configurar para grabar las actividades planificadas sin sobrescribir entradas. 115 § Establecer un proceso automático de rotación de los archivos de registro cada día, así como la descarga de los archivos a un servidor seguro en la red de gestión. § Revisar periódicamente los archivos de registro para detectar actividades sospechosas. o Planificación de Recuperación ante Desastres y Continuidad del Negocio § Desarrollar, documentar, implementar y someter estos planes a revisiones, pruebas y actualizaciones periódicas. · Gestión de actualizaciones y revisiones o Documentación de la red § Los diagramas actuales de las relaciones físicas y lógicas de las redes internas y externas tienen que estar disponibles. § Actualizar los diagramas conforme se produzcan cambios en el entorno. o Flujo de datos de la aplicación § Los diagramas de la arquitectura de las aplicaciones deben mostrar los principales componentes y los flujos de datos fundamentales del entorno, además de los sistemas por los que pasa el tráfico de información. § Actualizar los diagramas conforme surjan cambios en la aplicación o el entorno donde se alberga la aplicación. o Gestión de actualizaciones § Comprobar las actualizaciones y revisiones en un entorno de laboratorio antes de su instalación definitiva. § Probar cada uno de los sistemas para detectar conflictos que provoquen desinstalar la actualización. Personal · Requisitos y evaluaciones o Requisitos de seguridad 116 § Identificar al personal con experiencia en el tema de la seguridad para incluirlos en todas las reuniones y decisiones relacionadas. § Los requisitos de seguridad, definidos por representantes comerciales y técnicos, se deben documentar y publicar para que el personal los pueda consultar y contrastar para diseños futuros. o Evaluaciones de seguridad § Las evaluaciones por parte de terceros aportan una perspectiva objetiva muy valiosa para las medidas de seguridad de una empresa. Estas evaluaciones pueden resultar beneficiosas para cumplir las normativas y los requisitos de los clientes, socios y fabricantes. · Directrices y procedimientos o Comprobaciones del historial personal § Comprobar el historial personal para descubrir posibles problemas, con objeto de reducir el riesgo al que se exponen la empresa y los empleados. § El proceso de contratación de personal debe incluir una evaluación del historial laboral y cualquier antecedente penal del aspirante. · Formación y conocimiento o Conocimiento de seguridad § Comunicar las medidas de seguridad a los empleados para contribuir a la seguridad global de la empresa. § Poner en práctica directrices para regular la utilización de los recursos corporativos por parte de los empleados. § Proporcionar información actualizada y cursos para asegurar que todos los empleados conozcan las prácticas y los riesgos más recientes. 117 § Realizar comprobaciones periódicas para asegurarse de que los empleados han asimilado la información. 3.2.1 ESCENARIOS DE APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO Después de realizar una evaluación de amenazas, de acuerdo a su valoración se toman en cuenta las que tienen un impacto mayor sobre el Departamento de TI, de las Tablas 40 - 46 se resumen los diferentes escenarios de aplicación con sus respectivos indicadores como: amenaza, riesgo, perjuicio, control, responsable y el respectivo procedimiento ante cada escenario [27]. Tabla 40. Escenario 1: Mal Funcionamiento de los Equipos Amenaza Mal funcionamiento de los equipos Riesgo Daño en los activos de TI. El mal funcionamiento de los equipos puede afectar seriamente al Departamento de TI ya que puede interrumpir en el desempeño de las actividades ya sea por fallas de configuración o un mal mantenimiento. Perdida de información. Implementar un cronograma de mantenimiento continuo para los equipos. Evaluaciones de desempeño constante a los equipos del Departamento de TI. Departamento de TI. Para la descripción de este procedimiento serán tomados en cuenta los siguientes activos: · Laptops · Desktops · Switches · Servidores Escenario Perjuicio Control Responsable 1. 2. 3. 4. Procedimiento 5. Reportar el daño al Departamento de TI. Asignar un técnico al problema reportado. El técnico asignado revisa el equipo y reporta el tipo y la gravedad del daño. Verificar si el equipo cuenta con garantía. a. Si tiene garantía se reporta el daño al proveedor del equipo donde éste determina si aplica o no la garantía. i. Si aplica la garantía el proveedor se encarga de reparar el equipo. ii. Si no aplica la garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional. b. Si no tiene garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional. En caso de que el tiempo de reparación del equipo sea extenso se procede al reemplazo del equipo, siempre y cuando sea posible hacerlo, caso contrario se recurre a la estrategia establecida. 118 En el paso 4 se menciona recurrir a la estrategia de “Acuerdos recíprocos con otras organizaciones”, esta estrategia no es aplicable para el caso de los switches ya que es factible reparar o sustituir el equipo de manera inmediata. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Tabla 41. Escenario 2: Fallas de Software Amenaza Software sin licencias Riesgo Documentos digitales pueden ser dañados y no recuperados. Al momento de adquirir cualquier software sin una licencia se puede dar el caso de que un código malicioso pueda afectar el desempeño y configuración de los equipos. Se puede tener problemas de carácter legal debido a asuntos de propiedad intelectual y reglamentaciones del uso de software ilegal. Filtro y pérdida de información importante. Daño irrecuperable en documentos importantes. Verificación de la legalidad del software adquirido. Actualizaciones constantes de las licencias del software. Departamento de TI 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa la falla y en caso de: a. Sistema operativo i. Revisar la causa del problema ii. Si el daño es mayor, se deben obtener los respaldos necesarios y formatear el equipo. iii. Instalar el sistema operativo, las aplicaciones y archivos respaldados. iv. Probar que el problema haya sido solucionado. b. Software de ofimática y antivirus i. En caso de que las licencias no se hayan renovado se las debe adquirir de manera inmediata. ii. Reinstalar el software. iii. Verificar su funcionamiento. Escenario Perjuicio Control Responsable Procedimiento Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Tabla 42. Escenario 3: Fallas de las Aplicaciones Amenaza Fallas de las aplicaciones Riesgo Mal manejo de información y mal uso de las aplicaciones. El levantamiento de requerimientos de las aplicaciones que necesita la empresa puede que se encuentre mal definido por lo que ocasiona un mal funcionamiento o simplemente la aplicación no realiza la acción requerida. Bajo desempeño en las labores del Departamento de TI. Analizar los requerimientos para proceder al desarrollo de los aplicativos. En caso de haber fallas en las aplicaciones corregirlas de manera urgente. Área de Desarrollo del Departamento de TI Fallas de las aplicaciones. 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado. Escenario Perjuicio Control Responsable Amenaza Procedimiento 119 3. 4. El técnico asignado revisa la falla y reporta el problema al encargado quien se encarga de resolver el problema. a. Si fallan las aplicaciones en el servidor: i. Obtener respaldos para proceder a la depuración del servidor. ii. Reparar el daño. iii. Instalar las aplicaciones en el servidor. iv. Configurar el servidor con los respaldos obtenidos. b. Si fallan las aplicaciones en los equipos personales i. Detectar la causa del problema. ii. Solucionar la falla lo más pronto posible. Hacer las pruebas para comprobar que el problema ha sido solventado. Si el tiempo de reparación del servidor es demasiado se recurre a la estrategia establecida. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Tabla 43. Escenario 4: Fallas de los Servicios Contratados (ISP) Amenaza Falla de los servicios contratados (ISP) Riesgo Información de fácil de acceso. Al existir un mal servicio por parte del ISP se pueden tener problemas como conexiones remotas no seguras debido a un tráfico de información sensible sin protección, lo que ocasiona el acceso de usuarios no deseados en las redes internas de la empresa. Filtro de información valiosa para la empresa. Intranet insegura. Sistemas de detección de intrusos NIDS, HIDS. Firewall. DMZ. Jefe de Infraestructura Esta falla se refiere a los servicios contratados con el ISP. 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico para la revisión de la falla. a. En caso de ser un fallo interno el técnico asignado soluciona el problema. b. Si es una falla mayor, reporta al proveedor del servicio. i. Conectar los routers MiFi hasta que el problema sea solucionado. 3. Restablecer el servicio. Escenario Perjuicio Control Responsable Procedimiento Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Divulgación de información confidencial Documentos privados al alcance de todos Los empleados del Departamento de TI y de la empresa en general tienen la facilidad de comentar cualquier tipo de actividad clasificada a terceros, ya que no existen controles sobre este tema. Hacking Información clasificada puede ser accesada. Un hacker puede filtrar información ingresando a la intranet de la empresa fácilmente mediante inyección de código malicioso, ataques a los servidores y ataques de denegación de servicio. Riesgo Escenario El personal interno de la empresa tiene acceso sin restricción a cualquier área de la empresa al igual que cualquier visitante externo ya que no existe un control de seguridad de las personas que ingresan a las instalaciones. Acceso a cualquier área de la empresa sin ninguna restricción. Terrorismo Los empleados no han recibido una correcta inducción sobre el uso de los activos de TI por lo que los recursos son utilizados de manera incorrecta lo que puede causar problemas en cuanto a rendimiento de los activos. Pueden ocasionar daños a los equipos y lesiones de gravedad al personal de la empresa. Amenaza Mal estado Negligencia en de las el manejo de los instalacione activos de TI s Daño en los equipos. Retraso en las Las actividades actividades no se cumplen de la satisfactoriament empresa. e. Pérdidas económicas. Bajo desempeño. Flujo de personal Existe gran fluidez de personal lo que no es conveniente para la empresa porque se pueden ocasionar problemas de divulgación de información. Acceso libre a la información, incumplimient o en los procesos. Tabla 44. Escenario 5: Fallas Humanas y Organizacionales El personal no cumple con sus obligaciones debido a la falta de políticas y procedimientos para el desempeño de sus actividades. Los procesos organizacionale s se llevan a cabo sin control alguno. Falta de políticas El personal no es consciente de las buenas prácticas de seguridad informática lo que puede influir de manera perjudicial para la empresa. Flujo de información de gran importancia para la empresa. Falta de gestión de seguridad informática 120 Jefe de Infraestructura Control Responsable Procedimient o Departamento de TI Software de encriptación de datos. Políticas de contraseñas seguras. Mantener actualizado el software de los servidores. Perjuicio Departamento de TI Restricción a páginas web inseguras. Controles de inicio de sesión. Control a través de cámaras de seguridad. Verificación de identidad de los visitantes externos. Acceso con tarjetas magnéticas de control. Administració n Instalación de software malicioso. Fallas técnicas en los equipos. Robos. Daños a las instalaciones. Terrorismo 1. Reportar o anticipar el incidente de seguridad informática al Oficial de Seguridad. En caso de existir un Oficial de Seguridad. Procedimiento s para el retiro de claves del personal saliente. Políticas de control de acceso. Departamento de TI. Equipo de brigadistas. Departament o de Salud y Seguridad Ocupacional. Divulgación de información confidencial. Flujo de personal Control de calidad de los materiales inmobiliarios. Mantenimient o preventivo para las instalaciones de las estaciones de trabajo. Daño de los equipos. Pérdida económica. Amenaza Mal estado Negligencia en de las el manejo de los instalacione activos de TI s Este tipo de fallas hacen referencia a incidentes provocados por el hombre, por lo que es necesario contar con un Oficial de Seguridad Informática, políticas. Control de medios extraíbles. Acuerdos de confidencialida d. Pérdida de información Pérdida de posicionamient o en el mercado. Hacking Divulgación de información confidencial Filtro de información clasificada. Pérdida de posicionamient o en el mercado. Departamento de TI. Creación de políticas para un mejor desempeño de las actividades. Implementació n de auditorías internas para el control de políticas y procedimientos . Pérdida de posicionamient o empresarial. Falta de políticas Departament o de TI. Contratación de un Oficial de Seguridad Informática. Regulacione s en los procesos de seguridad de la información. Control de accesos. Pérdida de información. Falta de gestión de seguridad informática 121 Elaboración del perfil para contratación. Llamado a postulación del cargo. Evaluación y entrevista de los postulantes. Notificación de resultados. Contratación. Asumir responsabilidades. En caso de fallas: a. Reportar o anticipar el incidente de seguridad informática al Oficial de Seguridad. b. El Oficial de Seguridad analiza el caso. c. Definir acciones tanto preventivas como correctivas. 1. 2. 3. 4. Flujo de personal Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Definición del alcance de la política Creación de las políticas por parte del Oficial de Seguridad. Revisión y aprobación de las políticas. Aplicación de las políticas a través de la socialización de la misma con el personal. Para la elaboración de políticas. 1. 2. 3. 4. 5. 6. 7. En caso de no existir un Oficial de Seguridad. Amenaza Divulgación Mal estado Negligencia en de de las Hacking Terrorismo el manejo de los información instalacione activos de TI confidencial s 2. El Oficial de Seguridad analiza el caso. 3. Definir acciones tanto preventivas como correctivas. Falta de políticas Falta de gestión de seguridad informática 122 123 Tabla 45. Escenario 6: Desastres Naturales Terremotos Amenaza Tormentas Inundaciones eléctricas Riesgo Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño. Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño. Escenario Dependiendo del grado del terremoto este puede afectar tanto al área de tecnología como la destrucción total de toda la empresa. Se puede provocar cortos circuitos en las instalaciones, sobrecargas de energía, cortes de luz e incendios. Perjuicio Daño irreparable de los equipos Pérdida de información Pérdida de talento humano. Control Simulacros constantes. Evacuación de las instalaciones. Responsable Procedimiento Daño irreparable de los equipos. Pérdida de información. Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño. Debido a las fuertes lluvias se pueden dar fallas en los sistemas de drenaje por lo que pueden provocar inundaciones leves o graves en las instalaciones incluso se pueden generar cortos circuitos Daño irreparable de los equipos. Pérdida de información. Pérdida de talento humano. Incendios Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño. Los incendios pueden causar daños parciales y totales a las instalaciones de la empresa incluyendo daños a los empleados. Daño irreparable de los equipos. Pérdida de información. Pérdida de talento humano. Pérdida económica. Implementar UPS. Mantenimiento constante a la planta de respaldo. Simulacros. Limpieza de los Extintores de polvo drenajes de agua. químico. Mantenimiento Extintores de constante de las espuma. instalaciones. Equipo de Equipo de Equipo de brigadistas. Equipo de brigadistas. brigadistas. Personal operativo brigadistas. de limpieza. 1. El equipo de brigadistas es el encargado de realizar las siguientes actividades: a. Reportar el desastre ante las autoridades competentes. (Bomberos) b. Iniciar el proceso de evacuación de las instalaciones. c. Controlar el desastre. d. Verificar que los empleados se encuentren en buenas condiciones. e. Revisar las instalaciones. f. Reportar al Departamento de TI sobre el estado de los equipos. 2. Los técnicos del Departamento de TI deberán: a. Revisar el estado de los equipos b. Reportar los daños c. Realizar las reparaciones de los equipos en caso de ser posible. En caso de daño y pérdida total de los equipos se inicia la acción con la estrategia elegida. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 124 Tabla 46. Escenario 7: Fallas Eléctricas Amenaza Riesgo Escenario Perjuicio Control Responsable Procedimiento Fallas eléctricas Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño. Se pueden presentar variaciones en los voltajes provocando daños en los equipos y en las instalaciones de toda la empresa. Daño de los equipos. Pérdida económica. Mantenimiento de las instalaciones eléctricas. UPS para los servidores. Control de uso de energía eléctrica. Oficial de Mantenimiento de la empresa. Equipo de brigadistas. El Departamento de TI cuenta con UPS, los cuales mantienen la energía mientras se activa el generador. En el caso de una falla de la red eléctrica de la Empresa Eléctrica Quito: 1. Verificar el estado del generador eléctrico a. El encargado de mantenimiento debe comprobar que se encuentre el tanque cargado, lo que garantiza 8 horas de energía. b. Si al generador le hace falta combustible se lo debe llenar de manera inmediata. 2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador entre en operación. 3. El generador entra automáticamente en funcionamiento en 10 segundos a partir del corte de energía. En el caso de una falla eléctrica interna 1. Reportar la falla a un especialista eléctrico. 2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador entre en operación. 3. El generador entra automáticamente en funcionamiento en 10 segundos a partir del corte de energía. 4. El especialista eléctrico verifica el origen de la falla. 5. Se procede a reparar la falla 6. Se realiza una revisión del funcionamiento de los equipos. En el caso de una falla interna y no funcionan los UPS 1. Reportar la falla a un especialista eléctrico. 2. El generador entra automáticamente en funcionamiento en 10 segundos a partir del corte de energía. 3. El especialista eléctrico verifica el origen de la falla y la repara. 4. El técnico del Departamento de TI revisa si algún equipo tuvo daños. a. Si los equipos tienen alguna falla producida por el corte de energía se procede a la reparación o sustitución del mismo. Si el daño producido a los equipos es grave y el tiempo de recuperación es extenso se procede a implementar la estrategia de recuperación elegida. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 125 3.2.2 CRONOGRAMA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO La Tabla 47 presenta un cronograma de desarrollo del Plan de Continuidad del Negocio, donde se detallan las tareas, la duración y los responsables. Tabla 47. Cronograma de Aplicación TAREA DURACIÓN Desarrollo del Plan de Continuidad del Negocio 160 horas Inicio y Gestión del Proyecto 32 horas Concientización 8 horas Formación del Comité Responsable 8 horas Definición de recursos necesarios 8 horas Revisión 8 horas Evaluación y Gestión de Riesgos RESPONSABLE Director de Talento Humano Gerente de Innovación y Desarrollo Tecnológico Director Financiero Gerente de Innovación y Desarrollo Tecnológico Gerente General Gerente de Innovación y Desarrollo Tecnológico 64 horas Identificación de Amenazas Identificación de la Vulnerabilidad Determinación de la probabilidad Análisis del impacto 8 horas 8 horas 8 horas 8 horas Equipo de Gestión de Riesgos Equipo de Gestión de Riesgos Equipo de Gestión de Riesgos Equipo de Gestión de Riesgos Determinación del riesgo Recomendaciones de control Documentación de resultados 8 horas 8 horas 8 horas Revisión 8 horas Equipo de Gestión de Riesgos Equipo de Gestión de Riesgos Equipo de Gestión de Riesgos Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio Análisis de Impacto del Negocio (BIA) 32 horas Identificación de procesos críticos 8 horas Equipo de Gestión de Riesgos Responsable de cada proceso Valoración de la criticidad de los procesos 8 horas Equipo de Gestión de Riesgos Responsable de cada proceso Período máximo de interrupción 8 horas Revisión 8 horas Desarrollo de estrategias para la Continuidad del Negocio 16 horas Equipo de Gestión de Riesgos Responsable de cada proceso Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio 126 TAREA DURACIÓN Elección de la estrategia 8 horas Revisión 8 horas Respuestas ante emergencias RESPONSABLE Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio 16 horas Desarrollo de las respuestas para emergencias 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio Equipo de Gestión de Riesgos Equipo de Recuperación Equipo de Brigadistas Equipo de Apoyo Revisión 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa 3.3 ANÁLISIS DE RESULTADOS Una vez aplicado el Plan de Continuidad del Negocio se procede a aplicar las respectivas pruebas, ejercicios y ensayos, para analizar los resultados de acuerdo al factor tiempo, factor financiero y factor organizacional. · Factor Tiempo Tabla 48. Factor Tiempo PARÁMETRO VALOR Tiempo que el servicio pasa inactivo 60 minutos Tiempo que toma en reportar el incidente 2 minutos Tiempo de revisión de los equipos para determinar el problema 5 minutos Tiempo que tarda el proveedor de los equipos en dar una solución al problema 40 minutos Tiempo que tarda el técnico del Departamento de TI en dar una solución al problema 10 minutos Tiempo necesario para conseguir un servidor de características similares al equipo que presenta problemas Tiempo necesario instalar y configurar las aplicaciones en el servidor Tiempo necesario de instalación y configuración de los servicios y aplicaciones críticas de TI 120 minutos 180 minutos 120 minutos 127 PARÁMETRO Tiempo necesario para reiniciar un servidor e iniciar la aplicación Tiempo necesario para la verificación de que el estado de los servicios sean óptimos para los usuarios Tiempo necesario para encender la planta de energía Tiempo aproximado de imprevistos VALOR 10 minutos 10 minutos 0,17 minutos 30 minutos 48.93 minutos Tiempo promedio de fallas Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Respecto al factor tiempo el parámetro que representa un mayor problema es el tiempo que se necesita para instalar y configurar las aplicaciones en el servidor lo que implica que restaurar las aplicaciones tomaría mínimo tres horas. Los tiempos necesarios para conseguir un servidor de características similares, instalación y configuración de los servicios y aplicaciones críticas de TI tomarían por lo menos dos horas. Los demás parámetros son tiempos que dependen de terceros y son tiempos asequibles. El tiempo promedio entre fallas es de 48.93 minutos, el cual es un tiempo aceptable. · Factor Financiero Tabla 49. Factor Financiero PARÁMETRO Costo de almacenamiento en la nube Costo de la adquisición de un servidor con características similares al servidor con daño, en el caso de no tener garantía Costo de alquiler de equipos para acceder a los enlaces de red, en caso de no tener equipos para la sustitución inmediata Costo asesoría de un proveedor VALOR $ 100 anual $ 850 anual $ 2000 anual $ 600 anual Costo de capacitación al personal $ 10000 anual Costo de equipos para aplicar la estrategia de acuerdos recíprocos $ 2500 anual Costo de equipos de internet móvil (MiFi) $ 3600 anual Costo promedio de fallas $ 2807.14 anual Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa En el análisis de costos se detallan los valores de forma anual tomando en cuenta el tiempo de uso de los equipos. El costo promedio de las fallas es de $2807.14 por año. 128 · Factor Organizacional Dentro del factor organizacional se define el recurso humano que es necesario para la aplicación del Plan de Continuidad del Negocio. El Departamento de TI cuenta con el equipo de brigadistas que será el encargado de dar soporte a distintos casos como: Ø Incendios Ø Primeros auxilios Ø Contingencia Ø Evacuación Los equipos de Gestión de Riesgos, Recuperación y Apoyo están conformados por miembros del personal del Departamento de TI. Se debe implementar un Sistema de Salud y Seguridad Ocupacional [28] con el fin de tener un nivel de operación aceptable de las actividades dentro de la empresa y prevenir los riesgos que puedan ser causados garantizando la integridad del personal de la empresa. Para ello se requiere la colaboración del personal ya que debe ser capacitado constantemente. Para la implementación del Sistema de Salud y Seguridad Ocupacional se puede usar la Norma OHSAS 18000 que puede ser aplicada a cualquier tipo de empresa ya que ayuda a fomentar ambientes laborales seguros y saludables [29]. Con la aplicación de este Sistema se garantiza una preparación y respuesta ante situaciones de emergencia teniendo en cuenta los siguientes aspectos: · Creación de una política de Salud y Seguridad Ocupacional · Identificar riesgos de Salud y Seguridad Ocupacional · Definir objetivos del Sistema · Análisis, evaluación y mejora del Sistema 129 3.3.1 ACEPTACIÓN, COLABORACIÓN Y CUMPLIMIENTO DEL PLAN DE CONTINUIDAD DEL NEGOCIO Con el objetivo de cuantificar los resultados, en la Tabla 50 se presenta una serie de indicadores y el nivel de cumplimiento con su respectiva escala donde 10 es el valor más alto y 1 el más bajo. Tabla 50. Indicadores y Nivel de Cumplimiento del BPC ACEPTACIÓN Indicador Se ha realizado un análisis de la situación actual de la organización Se ha realizado el análisis de vulnerabilidades y riesgos Se ha desarrollado una Política de Continuidad Se han definido los roles y responsabilidades El personal ha recibido charlas sobre la Continuidad del Negocio Se ha realizado el análisis de impacto del negocio (BIA) Se han definido procedimientos de continuidad Se han definido estrategias de continuidad Se han definido las variables para monitoreo y medición Se ha elaborado una guía para aplicación del Plan de Continuidad COLABORACIÓN Indicador Se ha socializado el Plan de Continuidad con los empleados Se ha conformado la Comisión de Continuidad Se ha conformado el Equipo de Gestión de Riesgos Se ha conformado el Equipo de Brigadistas Se ha conformado un Equipo de Apoyo Se ha conformado un equipo de Recuperación El personal ha colaborado en el desarrollo del Plan de Continuidad Los directivos se han involucrado en el proceso CUMPLIMIENTO DE LOS OBJETIVOS Indicador Valor 1 2 3 4 5 6 7 8 9 10 X X X X X X X X X X Valor 1 2 3 4 5 6 7 8 9 10 X X X X X X X X Valor 1 2 3 4 5 6 7 8 9 10 Mantener el nivel operativo de las funciones de los procesos críticos del Departamento de TI. X Reducir la posibilidad de pérdida y divulgación de información sensible. X Proteger al personal, clientes y terceras partes en caso de que un evento inesperado cause daños. X 130 Garantizar la protección de los activos de TI que son esenciales para el desarrollo de las actividades del Departamento de TI. Garantizar y optimizar las acciones a realizar ante un desastre. Mantener la imagen corporativa del Departamento de TI. X X X Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa Al finalizar el análisis, se obtuvieron resultados aceptables los cuales garantizan la continuidad de las actividades del Departamento de TI. Tabla 51. Resultados que Garantizan la Continuidad de las Actividades PARÁMETRO PORCENTAJE Aceptación del Plan de Continuidad 100% Colaboración en el desarrollo del Plan 100% Cumplimiento de los objetivos 95% Promedio 98.33% Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa El promedio de los resultados es 98.33%, valor que es aceptable ya que se han conseguido alcanzar los objetivos del Plan de Continuidad en su mayor parte. 131 CAPÍTULO IV CONCLUSIONES Y RECOMENDACIONES Al finalizar el proyecto de titulación podemos indicar que el objetivo Desarrollar un Plan de Continuidad del Negocio para el Departamento de TI para empresas, se ha cumplido en un 100%, haciendo uso de un estándar internacional como es la Norma ISO 22301:2012. Del trabajo realizado se desprenden las siguientes conclusiones y recomendaciones. 4.1CONCLUSIONES · Por medio del análisis de la situación actual y el análisis FODA se pudo determinar las fortalezas y debilidades tanto de la empresa como del Departamento de TI. Adicionalmente, se pudo determinar que la empresa no cuenta con un Plan de Continuidad de TI, por lo que fue necesario el desarrollo del Plan para garantizar la Continuidad del Negocio. · Se ha realizado el Plan de Continuidad del Negocio en base a la Norma ISO 22301:2012 debido a que la norma internacional proporciona una guía completa, determinada por siete cláusulas las cuales se aplican a cualquier tipo de negocio de acuerdo a las necesidades y objetivos del mismo. · Se ha desarrollado el Plan de Continuidad aplicando una guía que provee los procedimientos necesarios para dar una solución breve ante cualquier tipo de incidente reduciendo el impacto sobre la organización, lo que implica una fuerte inversión. Se debe tomar en cuenta que este tipo de inversión es necesario para mantener un Gobierno de TI robusto, lo que genera una ventaja competitiva sobre las organizaciones que carecen del Plan. · Los objetivos de continuidad deben estar muy claros para determinar cuáles son los factores críticos de éxito, ya que van de la mano para poder proporcionar las estrategias de continuidad que son la base para consolidar un Plan de Continuidad exitoso. 132 · Con el análisis de impacto del negocio (BIA) se puede obtener la criticidad de los procesos a través de la ponderación que se realiza con los valores obtenidos del impacto estratégico y el impacto financiero, lo que nos ayuda a determinar el orden de importancia de los procesos evaluados. 4.2RECOMENDACIONES Se recomienda: · Realizar una caracterización del entorno por medio del análisis PESTEL (Político, Económico, Social, Tecnológico, Ecológico y Legal), con la finalidad de complementar el análisis FODA. · Usar la Norma ISO 22301:2012 para el desarrollo del Plan de Continuidad debido a que es una Norma internacional que se ajusta a cualquier tipo de organización, pero también se pueden usar otras normas tales como la BS 25999, ITIL v3, UNE 71599-1 y UNE 71599-2. · Evaluar periódicamente el Plan de Continuidad a través de los ejercicios y ensayos propuestos, con la finalidad de mantener actualizados todos los puntos del mismo además que todos los miembros de la organización incluyendo a los altos directivos, colaboren y participen activamente en la implementación y mejora continua del Plan. · Capacitar constantemente al personal del Departamento de TI con el objetivo que cualquier miembro sea capaz de asumir un rol o responsabilidad en el caso de rotación del personal lo que da opción a obtener una certificación de la Norma ISO 22301 con la finalidad de garantizar la mejora continua del Plan de Continuidad ya que es un beneficio para la organización y sus miembros. 133 BIBLIOGRAFÍA [1] EQUIVIDA S.A., Datos Históricos de EQUIVIDA S.A., Quito, 2012. [2] EQUIVIDA S.A., "Induccón Estratégica TTHH Para Tecnología," Quito, Ecuador, 2014. [3] EQUIVIDA S.A., "Plan Estratégico," Quito, Ecuador, 2014. [4] EQUIVIA S.A., "Catálogo de Productos," Quito, Ecuador, 2014. [5] S. P. Robbins and M. Coulter, Administración, Décima Edición, México: Prentice Hall, 2010. [6] A. Cassidy, A Practical Guide to Information Systems Strategic Planning, Boca Raton, Florida: Taylor & Francis Group, 2006. [7] EQUIVIDA S.A., "Presentación Catálogo de Servicios TI," Quito, Ecuador, 2014. [8] Tecnofor, Formación Oficial ITIL Fundamentos, Madrid: Tecnofor Ibérica, 2011. [9] Instituto Ecuatoriano de Normalización, Tecnología de la Información - Técnicas de Seguridad - Gestión del Riesgo en la Seguridad de la Información. Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27005:2012, Quito, Ecuador: INEN, 2012. [10] A. Servat, "Nuevo Estándar en Continuidad del Negocio ISO 22301:2012," Gestión, pp. 26-31, 2012. [11] L. G. Rojas, "ISACA Costa Rica," 2013. [Online]. Available: http://www.isacacr.org/archivos/Sistema%20Gestion%20Continuidad%20del% 20Negocio%20(ISO%2022301).pdf. [Accessed 30 Septiembre 2015]. [12] Caja Costarricense de Seguro Social, Manual para Elaborar un Plan de Continuidad de la Gestión en Tecnologías de Información y Comunicaciones 134 TIC-ASC-CGN-0001, San José: Dirección de Tecnologías de Información y Comunicaciones, 2007. [13] J. Gaspar Martínez, El Plan de Continuidad de Negocio. Guía Práctica para su Elaboración, Madrid: Díaz de Santos S.A., 2006. [14] J. Botha and R. Von Solms, "A cyclic approach to business continuity planning," Information Management & Computer Security, vol. 12, no. 4, pp. 328-337, 2004. [15] C. Castillo Galindo, "Escuela Bancaria de Guatemala," Octubre 2013. [Online]. Available: http://www.ebg.edu.gt/wp- content/themes/ebg/pdf/corerif/presentacion_02.pdf. [Accessed 03 Noviembre 2015]. [16] M. Á. Mendoza, "We Live Security," 06 Noviembre 2014. [Online]. Available: http://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/. [Accessed 16 Noviembre 2015]. [17] M. Zdrojewski, "Default Reasoning," 10 Diciembre 2013. [Online]. Available: http://defaultreasoning.com/2013/12/10/rpo-rto-wrt-mtdwth/. [Accessed 16 Noviembre 2015]. [18] R. Ferrer, "SISTESEG," [Online]. Available: http://www.sisteseg.com/files/Microsoft_Word__METODOLOGIA_PLAN_RECUPERACION_ANTE_DESASTRES_DRP.pdf. [Accessed 21 Noviembre 2015]. [19] A. T. Velte, T. J. Velte and R. Elsenpeter, Cloud Computing: A Practical Approach, McGraw-Hill, 2010. [20] Ready, "Ready - Prepare, Plan, Stay Informed," Deparment of Homeland Security, [Online]. Available: 135 http://www.ready.gov/business/implementation/continuity. [Accessed 16 Octubre 2015]. [21] L. del Pino Jiménez, Guía de Desarrollo de un Plan de Continuidad de Negocio, Madrid: Escuela Universitaria de Informática, Universidad Politécnica de Madrid, 2007. [22] M. Pitt and S. Goyal, "Business continuity planning as a facilities management tool," Facilities, vol. 22, no. 3, pp. 87-99, 2012. [23] Public Safety Canada, "Public Safety Canada," Goverment of Canada, 2015. [Online]. Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/bsnss-cntntplnnng/index-eng.aspx. [Accessed 15 Noviembre 2015]. [24] K. Lindros and E. Tittel, "CIO," 14 Noviembre 2013. [Online]. Available: http://www.cio.com/article/2381021/best-practices/how-to-create-an-effectivebusiness-continuity-plan.html. [Accessed 2015 Octubre 2015]. [25] 27001 Academy, "Lista de documentación obligatoria para ISO 22301," 27001 Academy, Zagreb, 2014. [26] Microsoft Security Assessment Tool, "Informe Completo EQUIVIDA S.A.," Quito, Ecuador, 2015. [27] J. Gaspar Martínez, Planes de Contingencia: la continuidad del negocio en las organizaciones, Madrid: Díaz de Santos S.A., 2004. [28] bsi, "bsi," 2015. [Online]. Available: http://www.bsigroup.com/es-ES/Seguridady-Salud-en-el-Trabajo-OHSAS-18001/. [Accessed 14 Diciembre 2015]. [29] Calidad y Gestión, "Calidad y Gestión," 2010. [Online]. Available: http://www.calidad-gestion.com.ar/boletin/50_ohsas_18000.html. [Accessed 14 Diciembre 2015]. 136 [30] International Organization for Standarization, Norma ISO 22301:2012 Seguridad de la Sociedad: Sistemas de Continuidad del Negocio - Requisitos, ISO, 2012. 137 ANEXOS Anexo 1 - Plantilla BCP
