CD-4935.pdf

La versión digital de esta tesis está protegida por la Ley de Derechos de Autor del
Ecuador.
Los derechos de autor han sido entregados a la “ESCUELA POLITÉCNICA
NACIONAL” bajo el libre consentimiento del (los) autor(es).
Al consultar esta tesis deberá acatar con las disposiciones de la Ley y las
siguientes condiciones de uso:
· Cualquier uso que haga de estos documentos o imágenes deben ser sólo para
efectos de investigación o estudio académico, y usted no puede ponerlos a
disposición de otra persona.
· Usted deberá reconocer el derecho del autor a ser identificado y citado como el
autor de esta tesis.
· No se podrá obtener ningún beneficio comercial y las obras derivadas tienen
que estar bajo los mismos términos de licencia que el trabajo original.
El Libre Acceso a la información, promueve el reconocimiento de la originalidad
de las ideas de los demás, respetando las normas de presentación y de citación
de autores con el fin de no incurrir en actos ilegítimos de copiar y hacer pasar
como propias las creaciones de terceras personas.
Respeto hacia sí mismo y hacia los demás.
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA ELÉCTRICA Y
ELECTRÓNICA
ELABORACIÓN DE UN PLAN DE DISPONIBILIDAD DE
TECNOLOGÍAS DE INFORMACIÓN (TI) PARA LA FUNDACIÓN
PARA EL AVANCE Y REFORMAS DE OPORTUNIDADES GRUPO
FARO
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN
ELECTRÓNICA Y REDES DE INFORMACIÓN
VELASCO TORO CÉSAR ALEJANDRO
[email protected]
DIRECTOR: ING. WILLIAMS FERNANDO FLORES CIFUENTES
[email protected]
Quito, Enero 2013
DECLARACIÓN
Yo, César Alejandro Velasco Toro, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentado para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluye en este documento.
A través de la presente declaración cedo mis derechos de propiedad intelectual
correspondientes a este trabajo, a la Escuela Politécnica Nacional,
según lo
establecido por la Ley de Propiedad Intelectual, por su reglamento y por
la
normatividad institucional vigente.
__________________________
César Alejandro Velasco Toro
i
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por César Alejandro Velasco
Toro, bajo mi supervisión.
__________________________
Ing. Fernando Flores
DIRECTOR DE PROYECTO
ii
AGRADECIMIENTO
A Dios, por haberme dado salud para lograr mis objetivos, por fortalecer mi
corazón e iluminar mi mente.
A mi madre Miriam, por haberme apoyado en todo momento, por sus
consejos, sus valores, por creer en mí, pero más que nada, por su amor y apoyo
incondicional.
A mi padre César, por su apoyo moral y económico durante toda mi carrera
universitaria.
A mis hermanas Johana y Mishel, por las bromas, y los buenos deseos les
quiero mucho.
A mi Director del Proyecto, el Ingeniero Fernando Flores, por su valiosa
colaboración en la elaboración de este trabajo.
En fin, a todas aquellas personas que de una u otra forma, y de manera
desinteresada, me brindaron toda la ayuda necesaria con la finalidad de lograr
el desarrollo de un buen trabajo.
iii
DEDICATORIA
Este documento es un esfuerzo que involucra a muchas personas cercanas a mí.
Por ello dedico esta tesis a mi mamá, mi papá, mis hermanas que gracias a sus
consejos y palabras de aliento he crecido como persona, y principalmente a mi
hija que es el motor de mi vida, y que me obliga a ser cada día mejor.
A todos mis familiares y amigos, quienes me han brindado su apoyo en las caídas
y con los que hemos celebrado las victorias en todo el proceso de la realización
de este documento.
Cami, eres el amor de mi vida,
recuerda que siempre te voy a
amar y que cuentas conmigo.
iv
CONTENIDO
CAPÍTULO I FUNDAMENTOS TEÓRICOS…….……………………………..………1
1.1DETERMINACIÓN DE LOS REQUISITOS DE DISPONIBILIDAD ................ 2
1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA)..................................... 2
1.1.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .... 3
1.1.1.2 Evaluar el impacto Financiero – Operacional................................... 3
1.1.1.2.1 Evaluación del impacto financiero ................................................. 3
1.1.1.2.2 Evaluación del impacto estratégico ............................................... 3
1.1.1.3 Identificación de procesos críticos de la organización. ..................... 4
1.1.1.4 Identificación de sistemas y aplicaciones críticas de TI por proceso
del negocio ...................................................................................................... 4
1.1.1.5 Identificación de tiempos máximos de caída (MTD) ......................... 4
1.1.1.6 Identificación del tiempo objetivo de recuperación (RTO) ................. 5
1.1.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ........... 5
1.1.1.7.1 Evaluación de RTO y WRT ........................................................... 5
1.1.1.8 Análisis del daño a consecuencia de la interrupción de un servicio
de TI
………………………………………………………………………………6
1.1.2 REQUISITOS DE DISPONIBILIDAD ........................................................ 6
1.1.2.1 Resumen de disponibilidad de servicio TI ......................................... 6
1.2 DISEÑO PARA LA DISPONIBILIDAD .......................................................... 7
1.2.1 ELABORACIÓN DE LA INFRAESTRUCTURA TI .................................... 8
1.2.1.1 Elementos de la red .......................................................................... 9
1.2.1.2 Almacenamiento ............................................................................... 9
1.2.1.3 Impresión y Digitalización ................................................................. 9
1.2.1.4 Administración de TI ....................................................................... 10
1.2.1.5 Consideraciones para el entorno de la infraestructura de TI .......... 10
1.2.1.6 Consideraciones para el hardware y software. ............................... 11
1.2.1.6.1 Consideraciones de hardware ..................................................... 11
1.2.1.6.2 Consideraciones de software ...................................................... 11
1.2.2 ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES
(SPOF).............................................................................................................. 11
1.2.1.2 Análisis del impacto del fallo de un componente (CFIA) ................. 11
v
1.2.1.3 Análisis por arboles de fallos (FTA) ................................................ 13
1.2.3 GESTIÓN Y ANÁLISIS DE RIESGO ...................................................... 15
1.2.3.1 Método de análisis y gestión de riesgos (CRAMM) ........................ 16
1.2.3.1.1 Identificación y valoración de activos .......................................... 16
1.2.3.1.2 Identificación y valoración de amenazas ..................................... 16
1.2.3.1.3 Identificación y valoración de vulnerabilidades............................ 17
1.2.3.1.4 Evaluación de niveles de riesgos ................................................ 18
1.2.3.1.5 Tratamiento de riesgo ................................................................. 18
1.3 DISEÑO DE LA RECUPERACIÓN .............................................................. 19
1.4 CONSIDERACIONES DE SEGURIDAD...................................................... 21
1.4.1
LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS ...................
21
1.4.2
GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO ......................
21
1.4.3
SEGURIDAD DE LA INFORMACIÓN ................................................................
22
1.4.4 SEGURIDAD FÍSICA Y DEL ENTORNO ................................................ 22
1.4.5 GESTIÓN DE COMUNICACIONES Y OPERACIONES ......................... 23
1.4.6 GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS DE
CÓMPUTO. ...................................................................................................... 23
1.4.7 SEGURIDAD DE LA RED ...................................................................... 23
1.4.8 MONITORIZACIÓN................................................................................ 23
1.5 MANTENIMIENTO DEL PLAN .................................................................... 24
CAPÍTULO
2
ANÁLISIS
DE
LA
SITUACIÓN
ACTUAL
DE
LA
ORGANIZACIÓN…………………………………………………………….………….25
2.1ANTECEDENTES ......................................................................................... 25
2.2DESCRIPCIÓN DE LA ORGANIZACIÓN ..................................................... 26
2.2.1 CONSTITUCIÓN GRUPO FARO ..................................................................... 27
2.2.1.1 Miembros fundadores ..................................................................... 27
2.2.1.2 Consejo ejecutivo............................................................................ 27
2.2.1.3 Consejo asesor ............................................................................... 27
2.2.1.4 Colaboradores ................................................................................ 29
2.2.2 DATOS GENERALES ............................................................................ 30
2.2.3 MISIÓN, VISIÓN, PERSPECTIVA.......................................................... 30
2.2.3.1 Misión ............................................................................................. 30
2.2.3.2 Visión .............................................................................................. 31
vi
2.2.3.3 Perspectiva ..................................................................................... 31
2.2.4 ESTRUCTURA ORGANIZACIONAL ...................................................... 32
2.3 PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE LA
ORGANIZACIÓN ............................................................................................... 36
2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN ........... 36
2.3.1.1 Estructura del departamento ti de la organización .......................... 37
2.3.1.2 Áreas relacionadas con el departamento de TI .............................. 38
2.3.1.3 Descripción de los Perfiles y Responsabilidades del Área de TI .... 38
2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI ...................................... 40
2.3.2.1 Servidores ....................................................................................... 40
2.3.2.2 Equipos ........................................................................................... 43
2.3.2.3 Otros dispositivos............................................................................ 47
2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO ..................... 47
2.3.4 DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL
DEPARTAMENTO DE TI .................................................................................. 48
2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI ............. 50
2.4 NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO FARO ............. 52
CAPÍTULO
3
ELABORACIÓN
DEL
PLAN
DE
DISPONIBILIDAD
DE
TI…………………………..………………………………………………………………54
3.1 MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL NEGOCIO 57
3.1.1 ACTIVIDADES DEL NEGOCIO .............................................................. 61
3.2 ELEMENTOS DE CONFIGURACIÓN (CI) .................................................. 64
3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDW ARE ......................... 65
3.2.1.1 Desktops ......................................................................................... 65
3.2.1.2 Laptops ........................................................................................... 66
3.2.1.3 Impresoras ...................................................................................... 68
3.2.1.4 Switches ......................................................................................... 68
3.2.1.5 Servidores ....................................................................................... 69
3.2.1.6 Access Points ................................................................................. 69
3.2.1.7 Modem ............................................................................................ 69
3.2.1.8 Unidades de Almacenamiento ........................................................ 70
3.2.1.9 Sistema de Energía Ininterrumpida................................................. 72
3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE ......................... 72
vii
3.2.2.1 Herramientas Ofimáticas ................................................................ 73
3.2.2.2 BPMS Aura Portal ........................................................................... 74
3.2.2.3 Sistemas Operativos ....................................................................... 74
3.3 DETERMINACIÓN DE REQUERIMIENTOS DE DISPONIBILIDAD ........... 75
3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO ........................................... 75
3.3.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .. 75
3.3.1.2 Evaluar el impacto Financiero – Operacional................................. 77
3.3.1.2.1 Evaluación del impacto financiero ............................................... 77
3.3.1.2.2 Evaluación del impacto estratégico ............................................. 80
3.3.1.3 Identificación de procesos fundamentales de la organización. ...... 83
3.3.1.4 Identificación de Servicios de TI, por procesos del negocio. .......... 87
3.3.1.5 Identificación de tiempos máximos de caída (MTD). ..................... 88
3.3.1.6 Identificación del Tiempo objetivo de recuperación RTO. ............... 91
3.3.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ......... 92
3.3.1.8 Análisis del daño a consecuencia de la interrupción de un servicio
de TI
101
3.3.2 REQUERIMIENTOS DE DISPONIBILIDAD ......................................... 103
3.4 DISEÑO DE LA DISPONIBILIDAD............................................................ 105
3.4.1 DESCRIPCIÓN DE LA INFRAESTRUCTURA ..................................... 105
3.4.1.1 Elementos de la red ...................................................................... 105
3.4.1.2 Administración de TI ..................................................................... 106
3.4.1.3 Respaldo y Almacenamiento ........................................................ 107
3.4.1.3.1 Respaldo ................................................................................... 107
3.4.1.3.2 Back-up ..................................................................................... 107
3.4.1.4 Impresión y Digitalización ............................................................. 107
3.4.1.5 Consideraciones para el Hardware y el Software ......................... 108
3.4.1.5.1 Requerimientos de Hardware .................................................... 108
3.4.1.5.2 Especificaciones de Software.................................................... 109
3.4.1.6 Consideraciones para la sala principal de equipos de Infraestructura
TI
…………………………………………………………………………...109
3.4.1.6.1 Sala principal de equipos .......................................................... 110
3.4.1.7 Análisis de Puntos individuales de fallo de componentes ............. 112
3.4.1.7.1 Análisis por arboles de Fallos FTA. ........................................... 112
viii
3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA .............. 115
3.4.1.8 Análisis y gestión de riesgos. ........................................................ 122
3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM ................... 122
3.4.1.8.1.1 Valoración de activos ............................................................. 122
3.4.1.8.1.2 Identificación y valoración de amenazas ............................... 123
3.4.1.8.1.3 Valoración de las amenazas .................................................. 125
3.4.1.8.1.4 Identificación de las vulnerabilidades .................................... 126
3.4.1.8.1.5 Valoración de las vulnerabilidades ........................................ 128
3.4.1.8.1.6 Evaluación de niveles de riesgos........................................... 131
3.4.1.8.1.7 Control y opciones de control de riesgos. ............................. 133
3.5 DISEÑO DE LA RECUPERACIÓN ............................................................ 136
3.5.1 MEDIDA DE RECUPERACIÓN DE INCIDENTE .................................. 137
3.5.2 MÉTRICAS DE RECUPERACIÓN ....................................................... 140
3.5.3 RESPALDO O BACK-UP ............................................................................ 141
3.5.3.1 Aspectos de las copias de seguridad. ........................................... 141
3.5.4 GESTIÓN DE SISTEMAS .................................................................... 142
3.5.5 RESTAURACIÓN DEL SERVICIO ....................................................... 143
3.6CONSIDERACIONES DE SEGURIDAD..................................................... 148
3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS
………………………………………………………………………………...148
3.6.1.1 Capacidades ................................................................................. 148
3.6.2
GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO ....................
149
3.6.2.1 Seguridad de la información. ........................................................ 149
3.6.2.2 Gestión interna de soporte ............................................................ 149
3.6.3 PLAN DE CONTINGENCIAS INFORMÁTICAS ................................... 150
3.6.3.1 Estratégias Informáticas ............................................................... 150
3.6.4
SEGURIDAD FÍSICA Y DE ENTORNO ............................................................
150
3.6.4.1 Identificadores de usuario y contraseñas ...................................... 151
3.6.5 QUEDA PROHIBIDO ........................................................................... 151
3.6.5.1 Software ........................................................................................ 151
3.6.5.2 Recursos de red............................................................................ 151
3.6.5.3 Conectividad a internet ................................................................. 152
3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD .................... 152
ix
3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD
INFORMÁTICA. .............................................................................................. 152
3.7MANTENIMIENTO DEL PLAN ................................................................... 152
3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS ................................. 153
3.7.1.1 Periodicidad .................................................................................. 153
3.7.1.2 Responsabilidad ........................................................................... 153
3.7.1.3 Involucrados.................................................................................. 153
3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD............................................... 153
3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD ................................... 154
3.7.4 MÉTODOS Y TÉCNICAS ............................................................................ 155
CAPÍTULO 4 CONCLUSIONES Y RECOMENDACIONES………………………156
4.1 CONCLUSIONES ...................................................................................... 156
4.2 RECOMENDACIONES .............................................................................. 157
BIBLIOGRAFÍA……………………………………………………….……………….159
ANEXOS…………………………………………………………………………..……161
x
ÍNDICE DE FIGURAS
Capítulo 1
Figura 1. 1 Relación entre niveles de disponibilidad y costos totales. .................. 8
Figura 1. 2 CFIA .................................................................................................. 12
Figura 1. 3 Análisis y Gestión de Riesgos ........................................................... 15
Capítulo 2
Figura 2. 1
Personal Grupo FARO 2011 ........................................................ 26
Figura 2. 2
Ubicación Grupo FARO ............................................................... 30
Figura 2. 3
Organigrama GRUPO FARO ...................................................... 32
Figura 2. 4
Áreas relacionadas al departamento de TI .................................. 38
Capítulo 3
Figura 3. 1
Actividades proactivas y reactivas .................................................. 56
Figura 3. 3
Análisis del Árbol de Fallos del Internet fuera de servicio. ........... 114
Figura 3. 4
Diagrama de Red de Grupo FARO con especificación de CIs. .... 116
xi
ÍNDICE DE TABLAS
Capítulo 2
Tabla 2. 1
Relaciones internas del Administrador de TI .................................. 39
Tabla 2. 2
Relaciones Externas del Administrador de TI. ................................ 39
Tabla 2. 3
Características hardware Servidor Grupo FARO ............................ 42
Tabla 2. 4
Lista de equipos administrados por el departamento de TI. ........... 46
Tabla 2. 5
Otros dispositivos administrados por el departamento de TI. ......... 47
Tabla 2. 6
Descripción de los servicios soportados por el departamento de TI 49
Tabla 2. 7
Listado de Procesos del Departamento de TI. ............................... 52
Capítulo 3
Tabla 3. 1
Servicios de TI administrados por el departamento de Tecnología. 61
Tabla 3. 2
Funciones y Procesos del negocio, y su relación con TI ................ 64
Tabla 3. 3
Equipos Desktop administrados por el departamento de TI ........... 66
Tabla 3. 4
Equipos Laptop administrados por el departamento de TI .............. 67
Tabla 3. 5
Impresoras Matriciales y de tinta administradas por el departamento
de TI .......................................................................................
.68
Tabla 3. 6
Impresoras en Red administradas por el departamento de TI ........ 68
Tabla 3. 7
Switches administrados por el departamento de TI ........................ 68
Tabla 3. 8
Servidores administrados por el departamento de TI ..................... 69
Tabla 3. 9
Access Point administrados por el departamento de TI .................. 69
Tabla 3. 10 Modem administrado por el departamento de TI ............................ 70
Tabla 3. 11 Unidades de almacenamiento administradas por el departamento de
TI ..................................................................................................... 72
Tabla 3. 12 UPS administrado por el departamento de TI ................................. 72
Tabla 3. 13 Herramientas ofimáticas administradas por el Departamento de TI 73
Tabla 3. 14 Frecuencia de uso de las herramientas ofimáticas administradas por
el departamento de TI ..................................................................... 74
Tabla 3. 15 Herramientas de BMP administradas por el departamento de TI ... 74
xii
Tabla 3. 16 Sistemas Operativos administrados por el departamento de TI ..... 75
Tabla 3. 17 Funciones y procesos de la organización ....................................... 77
Tabla 3. 18 Ponderación Impacto Financiero .................................................... 78
Tabla 3. 19 Evaluación del Impacto Financiero ................................................. 80
Tabla 3. 20 Ponderación del Impacto estratégico .............................................. 80
Tabla 3. 21 Evaluación del impacto estratégico................................................. 82
Tabla 3. 22 Impactos Financiero y Operación ................................................... 86
Tabla 3. 23 Procesos del negocio y servicios de TI utilizados ........................... 88
Tabla 3. 24 Escala MTD y equivalencia ............................................................. 88
Tabla 3. 25 Suma de Impactos y escala de equivalencia MTD ......................... 89
Tabla 3. 26 Definición de MTDs......................................................................... 91
Tabla 3. 27 Escala de equivalencia RTO ........................................................... 92
Tabla 3. 28 RTO en actividades de recuperación de Servicios de TI ................ 92
Tabla 3. 29 RTO y WRT por proceso de Negocio ........................................... 101
Tabla 3. 30 Análisis causado por la interrupción de un Servicio TI. ................. 103
Tabla 3. 31 Requerimientos de Disponibilidad y recuperación de los servicios 104
Tabla 3. 32 Requerimientos mínimos para servidores ..................................... 108
Tabla 3. 33 Requerimientos mínimos para estación de trabajo Desktop ......... 108
Tabla 3. 34 Requerimientos mínimos para estación de trabajo Laptop ........... 109
Tabla 3. 35 Mejores condiciones físicas para Sala principal de Equipos ......... 110
Tabla 3. 36 Mejores condiciones físicas para el cuarto de servidores ............. 111
Tabla 3. 37 Mejores condiciones físicas para el entorno de oficina ................. 112
Tabla 3. 38 Matriz de la configuración del Análisis del Impacto de Fallo de un
componente de Grupo FARO ........................................................ 121
Tabla 3. 40 Valoración de activos de TI ........................................................... 123
Tabla 3. 41 Valoración de amenazas .............................................................. 126
Tabla 3. 42
Identificación de vulnerabilidades ................................................ 128
Tabla 3. 43 Valoración de las vulnerabilidades................................................ 130
Tabla 3. 44 Evaluación de niveles de riesgos .................................................. 132
Tabla 3. 45 Control de riesgos ......................................................................... 134
Tabla 3. 46 Opciones de control de Riesgos ................................................... 136
Tabla 3. 47 Medidas de recuperación de incidentes........................................ 138
Tabla 3. 48 Métricas de recuperación. ............................................................. 141
xiii
RESUMEN
En la actualidad, debido a la difusión de aplicaciones en Internet, se ha hecho
latente la necesidad de diseñar e implementar un plan de disponibilidad, y al no
contar con dichas especificaciones se limita la capacidad operativa de la
organización.
La
información
es
lo
más
importante
dentro
de
un
establecimiento,
independientemente del tipo de actividad a la cual se dedique, por ello, la
necesidad de mantenerla la mayor cantidad de tiempo disponible, y con mayor
razón para esta institución, la cual la mayoría de sus aplicaciones se encuentran
en Internet, debido a que se utiliza la plataforma de Google Apps
@grupofaro.org, en la que se encuentran los servicios de correo electrónico
(Gmail), calendario en línea (Google Calendar), Google Docs, Google Sites, y
Google Chat para mensajería interna, los cuales son utilizados permanentemente
por los usuarios.
El proyecto se basa en la oficina central de Grupo FARO, en el departamento de
Tecnologías de Información, ya que aquí se encuentran los ejes de Dirección,
Subdirección, Administración, Ambiente y Sociedad, Investigación, Gobernanza
de lo público entre otras, y se manejan diferentes aplicaciones como Internet,
Correo electrónico, servidor de archivos, Impresiones, etc; por tal motivo es de
vital importancia contar con una red de datos disponible y segura.
La elaboración busca implementar las soluciones tecnológicas más adecuadas a
la institución, que en conjunto con las normas y procedimientos descritos en las
políticas de seguridad aseguren que los servicios TI estén disponibles y
funcionen correctamente siempre que los clientes y usuarios deseen hacer uso
de ellos.
xiv
PRESENTACIÓN
En el primer capítulo
se describirá los conocimientos teóricos pertinentes al
proyecto, los que se aplicarán en la Elaboración del Plan de Disponibilidad para
Grupo FARO, basados en el capítulo Gestión de Disponibilidad de la librería
Diseño del Servicio. ITIL V3.
En el segundo capítulo se realizará una descripción completa de la organización,
así como el mapeo de los servicios que soporta la empresa y los procesos del
departamento de TI, lo cual nos dará una visión de los factores que requiere
Grupo FARO, en la disponibilidad de TI
A continuación en el tercer capítulo se determinarán los requisitos de
disponibilidad identificando las actividades Vitales del Negocio y su relación con
las TI mediante encuestas al personal Administrativo, además de presentar una
lista de todos los dispositivos de hardware y software que forman parte de la
infraestructura de TI.
Posteriormente, se realizará el Análisis de Puntos individuales de fallo de
componentes aplicando los mejores métodos descritos en la librerías, además del
Análisis de Riesgo y en base a los resultados se especificarán criterios acerca de
la gestión de riesgo, recuperación de los servicios, métricas de recuperación y
consideraciones de seguridad.
Se realizarán pruebas con interrupciones específicas a un servicio crítico, y
gracias a los criterios presentados anteriormente, evaluar los resultados del Plan
de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta
al mismo.
Para finalizar en el cuarto capítulo se indicarán varias conclusiones obtenidas al
realizar el proyecto, y además recomendaciones de cómo aprovechar de la mejor
manera posible este Plan
xv
1
CAPÍTULO 1
FUNDAMENTOS TEÓRICOS
Debido a que nuestras vidas, tanto personales como profesionales, dependen
cada vez más de la tecnología, la cual ha aumentado su velocidad y aplicaciones
de una manera vertiginosa, la gestión de Disponibilidad es responsable de
optimizar y monitorizar los servicios de TI, para que estos funcionen
ininterrumpidamente y de manera fiable y todo ello a un costo razonable.
En el presente capítulo, se describe el procedimiento, el cual está de acuerdo a la
Gestión de Disponibilidad de TI, descrito en la librería ITIL V3 y las actividades
que se recomiendan seguir para la elaboración del Plan de Disponibilidad de
Tecnologías de Información (TI).
Las actividades descritas en este capítulo para la elaboración del Plan de
Disponibilidad, son las siguientes.
·
Determinación de los requisitos de disponibilidad.
o Análisis de Impacto en El Negocio (BIA)1.
o Requerimientos de Disponibilidad.
·
Diseño para Disponibilidad.
o Elaboración de la infraestructura TI.
o Análisis de puntos individuales de fallo de componentes (SPOF).2
o Gestión y análisis de riesgo.
·
Diseño de la Recuperación.
o Medida de recuperación de Incidente
o Métricas de recuperación.
o Respaldo o Back-up.
o Restauración del Servicio.
·
Consideraciones de Seguridad.
o Lineamientos para la adquisición de bienes informáticos.
1
Business Impact Analysis (BIA)
2
Single Point Of Failure (SPOF)
2
o Gestión interna de instalación de equipos de cómputo.
o Seguridad de la información.
o Gestión interna de soporte.
o Plan de contingencias informáticas.
o Estrategias informáticas.
o Seguridad física y de entorno.
o Identificadores de usuario y contraseñas .
o Queda prohibido.
o Actualizaciones de la política de seguridad.
o Beneficios de implantar políticas de seguridad informática.
·
1.1
Mantenimiento del Plan.
DETERMINACIÓN
DE
LOS
REQUISITOS
DE
DISPONIBILIDAD
Es de suma importancia cuantificar los requisitos de Disponibilidad debido a que
son la base para evaluar la capacidad operativa, que se posee en la
Infraestructura de TI y estimar el soporte que la organización de TI debe
proporcionar para satisfacer las necesidades de Disponibilidad del negocio.
Antes de establecer los Requisitos de Disponibilidad de TI del negocio se deben
desarrollar las siguientes actividades:
·
Análisis de Impacto en El Negocio (BIA).
·
Requerimientos de Disponibilidad.
1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA)
El Análisis de Impacto en el negocio define la relación entre la tecnología
existente, los servicios ofrecidos por el departamento de TI y los procesos de
negocio que los utilizan.
Entre los objetivos principales al realizar el Análisis se tienen:
·
Identificar las Funciones y Procesos Críticos de la organización.
·
Determinar prioridad de cada proceso.
3
·
Evaluar el Impacto financiero y estratégico.
·
Identificar los Sistemas y Aplicaciones Críticas de TI.
·
Determinar los tiempos máximos tolerables de interrupción (MTD)
3
y
priorizar los procesos del negocio.
·
Especificar los tiempos Objetivos de Recuperación (RTO)4.
·
Identificar el Tiempo de recuperación del Trabajo (WRT)5.
·
Apoyar el proceso de determinar estrategias adecuadas de recuperación.”6
1.1.1.1
Identificar las Funciones y Procesos Críticos de la Organización.
En esta sección se identifican todas las funciones y procesos críticos de la
organización.
Las funciones son las áreas contempladas en el plan de disponibilidad, a las
cuales se las asocia con los procesos los cuales son las actividades específicas
realizadas en cada área de negocio.
1.1.1.2
Evaluar el impacto Financiero – Operacional
1.1.1.2.1
Evaluación del impacto financiero
El impacto financiero será evaluado de forma cualitativa, puesto que por criterios
de seguridad financiera, las cifras reales no son publicables para la organización.
El objetivo es tener una idea de la magnitud del impacto de pérdida financiera, si
los procesos del negocio fuesen interrumpidos.
1.1.1.2.2
Evaluación del impacto estratégico
La evaluación del impacto estratégico u operacional, se realiza para evaluar el
nivel de daño que afectaría a la organización debido a un fallo en los servicios de
TI, pero en sentido de los factores mostrados a continuación.
3
4
MTD : Maximum Tolerable Downtime
RTO: Recovery Time Objective
WRT: Work Recovery Time
6
Fuente: Tesis Elaboración del plan de disponibilidad de ti para la Empresa Reliance
5
4
Para la realización de la ponderación, se basará en el grado de magnitud de
impacto sobre: Falta de confiabilidad operacional, satisfacción a los usuarios,
eficacia del servicio.
1.1.1.3
Identificación de procesos críticos de la organización.
Los procesos críticos de la organización, se basan en una evaluación cuantitativa,
de los resultados anteriores, mediante la suma de los resultados de Impacto
Financiero e Impacto estratégico.
Un proceso será considerado como crítico, si:
·
Retrasa las actividades del personal de la organización.
·
Afecta a la correcta elaboración de las tareas del personal.
·
Discontinua la marcha de las operaciones de la organización.
Y cuantitativamente según los siguientes valores
•
En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3,
(impacto alto).
•
Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto
medio), ó 4 (impacto alto).
1.1.1.4
Identificación de sistemas y aplicaciones críticas de TI por proceso del
negocio
En esta sección se identificará todo proceso de la empresa, que utilice servicios
de TI, los cuales pueden ser sistemas, aplicaciones y recursos, administrados por
el Departamento de TI.
1.1.1.5
Identificación de tiempos máximos de caída (MTD)
Uno de los objetivos fundamentales del BIA, es determinar el Maximum Tolerable
Downtime (MTD), el cual es el tiempo máximo sin servicio que una organización
puede soportar y seguir cumpliendo con sus objetivos de negocio.
Con este cálculo se intenta obtener valores cuantitativos con relación al impacto
financiero – operacional que un evento adverso pueda tener sobre la
organización.
5
La identificación de los MTD’s, se procede en función a la suma total de los
puntos de los impactos financiero y estratégico.
1.1.1.6
Identificación del tiempo objetivo de recuperación (RTO)
“El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en
otras palabras cuanto puede permanecer la Organización sin ejecutar una
actividad, el uso de una aplicación (hardware y/o software) o información
relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El
RTO se utiliza para decidir cada cuanto se deben realizar respaldos de
información o backups; también es útil para decidir que infraestructura es
requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de
similares especificaciones al existente en la Organización, o un call center
paralelo en una ubicación diferente a la que se utiliza de manera permanente.”7
1.1.1.7
Identificación del tiempo de recuperación de trabajo (WRT).
El WRT (Work Recovery Time) es el tiempo disponible para recuperar datos
perdidos una vez que los sistemas están reparados dentro del Tiempo Máximo de
Inactividad MTD.
1.1.1.7.1
Evaluación de RTO y WRT
Para la evaluación de los tiempos de RTO, se debe tener claro el tiempo que el
área de Tecnología de la organización se demora en la recuperación de los
sistemas y recursos críticos,
esto se debe a que los servicios entregados y
administrados por esta área son de alta criticidad para las actividades del negocio.
La escala para el RTO se la valora en función del tiempo.
La suma de los tiempos del RTO y WRT serán iguales o menores que el MTD,
jamás pueden ser mayores.
7
Camelo, Leonardo. Análisis de Impacto de Negocios / Business Impact Analysis (BIA).
http://seguridadinformacioncolombia.blogspot.com/2010/05/analisis-de-impacto-de-negocios.html.
6
1.1.1.8
Análisis del daño a consecuencia de la interrupción de un servicio de TI
En este tema se especifican las consecuencias que se tendrían en la organización
a causa de un incidente que involucre a un servicio o recurso de TI.
1.1.2
REQUISITOS DE DISPONIBILIDAD
En esta sección del documento se especifica la base para determinar la
capacidad de la Infraestructura de TI, implementada actualmente y el soporte que
la organización de TI debe proporcionar para satisfacer las necesidades de
Disponibilidad del negocio.
Para plantear los requisitos del negocio de Disponibilidad de TI se considera lo
siguiente:
·
Una definición de las actividades vitales para el negocio que dependan de
los servicios TI.
·
Una definición del tiempo de caída del servicio TI, es decir, las condiciones
bajo las cuales el negocio considera que el servicio TI no está disponible.
·
El impacto sobre el negocio ocasionado por la pérdida del servicio.
·
Las horas de servicio necesarias, esto es, cuándo se va a proporcionar el
servicio.
·
1.1.2.1
Las necesidades de seguridad específicas.
Resumen de disponibilidad de servicio TI
En este punto del documento se representa un resumen de los servicios TI con
los siguientes criterios:
·
Tipo de servicio.
·
Nombre del servicio.
·
Disponibilidad.
·
Tiempo de recuperación.
·
Tipo de Soporte.
·
Utilidad.
·
Mantenimiento.
·
Responsable.
7
1.2
DISEÑO PARA LA DISPONIBILIDAD
El Diseño para la disponibilidad es una actividad relacionada con la elaboración
técnica de la infraestructura de TI, orientada a evitar la pérdida de disponibilidad
de los servicios de TI, además de aportar criterios con la relación de proveedores
internos y externos necesarios para satisfacer las necesidades de Disponibilidad
de un servicio de TI.
Los principales beneficios al elaborar un buen Plan de Disponibilidad son:
·
Reducción de costos asociados con cada nivel de disponibilidad.
·
Notar una mejor calidad de Servicio por parte del usuario.
·
Aumentar progresivamente los niveles de disponibilidad.
·
Reducir número de incidentes.
Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio
en el desarrollo de los nuevos servicios TI de forma que estos cumplan los
estándares plasmados en el Plan de Disponibilidad.
Un diferente nivel de disponibilidad puede requerir cambios drásticos en los
recursos utilizados o en las actividades necesarias para suministrar un
determinado servicio TI.
Las actividades que deben realizarse para el diseño de la disponibilidad son:
8
·
Elaboración de la Infraestructura TI.
·
Análisis de Puntos Individuales de Fallo de Componentes (SPOF)8
·
Análisis de Impacto de Fallo de Componentes (CFIA)9.
·
Análisis por Árboles de Fallos (FTA)10.
·
Gestión y Análisis de Riesgo.
SPOF: Single Point of Failure
CFIA: Component Failure Impact Analysis
10
FTA: Fault Tree Analysis
9
8
1.2.1
ELABORACIÓN DE LA INFRAESTRUCTURA TI
El objetivo la elaboración de la Infraestructura TI es realizar recomendaciones
para el mejoramiento de la misma, contando con un mapeo de los elementos ya
disponibles en la organización y con sugerencias en la adquisición de nuevos
elementos tanto de hardware, software y técnicas, que permitan tener una
elevada disponibilidad de servicios de TI.
La
Infraestructura de
TI la
componen hardware,
software
y servicios
profesionales, necesarios para el correcto desempeño de las múltiples
aplicaciones de tecnología de información, y que permite a la organización la
automatización y apoyo de los procesos de negocio.
Para establecer una mayor disponibilidad de los servicios de TI, es necesario
también una gran inversión en cuanto a las soluciones existentes, como se
muestra a continuación.
Figura 1. 1
11
Relación entre niveles de disponibilidad y costos totales. 11
Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
9
1.2.1.1
Elementos de la red
Los elementos de la red, son todos los componentes mediante los cuales se tiene
la posibilidad de ingresar electrónicamente desde puntos locales y remotos a las
aplicaciones con las que se trabaja en la organización, plataformas de impresión,
bases de datos, recursos de la red, brindando al usuario un mayor soporte, control
y disponibilidad de los servicios de TI, de manera segura y confiable.
Los beneficios que ofrecen los recursos de la Red a los usuarios son los
siguientes:
·
Ingreso a plataformas internas, desde puntos remotos.
·
Acceso a la información mediante las tres propiedades indispensables de
la información: Confidencialidad, Integridad, Disponibilidad.
·
1.2.1.2
Compartición de recursos dispersos a lo largo de la infraestructura.
Almacenamiento
Son las herramientas de preservación, respaldo y disponibilidad de la información,
las cuales ayudan a salvaguardar uno de los principales activos de la
organización, la información, y así, encaminar la continuidad del negocio.
Los beneficios que se obtienen con los componentes de almacenamiento son los
siguientes:
·
Posibilidad de respaldos automáticos y en línea.
·
Protección de la información del negocio.
·
Disponibilidad de información en caso de contingencia.
1.2.1.3
Impresión y Digitalización
Es el conjunto de
equipos
y
herramientas
de
captura,
digitalización
y
presentación de información impresa en papel.
Los beneficios que se obtiene con los componentes de impresión y digitalización
son los siguientes:
10
·
Organización en el almacenamiento de la información.
·
Disponibilidad de contratos, solicitudes, oficios, informes, que permiten una
manipulación más directa con el usuario.
·
Disponer de una mejor manera el espacio físico utilizado anteriormente
para el almacenamiento de la información.
·
Posibilidad de tener una copia digitalizada de los documentos físicos
de alta importancia, y así también ahorrar papel y colaborar con el medio
ambiente.
1.2.1.4
Administración de TI
Son todas aquellas herramientas tecnológicas que permiten controlar diversos
aspectos como: inventarios, activos, prevención de riegos, ancho de banda,
monitoreo, prevención de riesgos y fallas, etc.
Los beneficios que se obtienen con los elementos de administración de TI son los
siguientes:
·
Gestión de activos.
·
Mejor control y administración de recursos de TI, para evitar las fallas en
los sistemas.
·
Ahorro de tiempo al distribuir software de manera centralizada.
·
Administración de plataformas de hardware y software.
·
Productividad al verificar que el software cargado en los clientes
corresponda a su función.
1.2.1.5
Consideraciones para el entorno de la infraestructura de TI
En esta sección se especificarán las mejores condiciones necesarias para la sala
principal de Equipos de Tecnologías de Información como: acceso, ubicación,
visibilidad, piso interno, etc.
11
1.2.1.6
Consideraciones para el hardware y software.
1.2.1.6.1
Consideraciones de hardware
En este punto se especificarán las características mínimas necesarias que
deberán tener los dispositivos informáticos a nivel de hardware, para mantener la
disponibilidad de los servicios de TI.
1.2.1.6.2
Consideraciones de software
En este punto se especificarán las características mínimas necesarias que
deberán tener los aplicativos y herramientas de ofimática, para mantener la
disponibilidad de los servicios TI.
1.2.2
ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES
(SPOF)
“Un Punto Único de Fallo es un riesgo potencial planteado por una falla en el
diseño, la ejecución o la configuración de cualquier componente de la
infraestructura de TI, o sistema en el que un fallo o mal funcionamiento hace que
todo el sistema deje de funcionar, y se tenga así un impacto negativo sobre el
negocio y los usuarios.”12
Cada vez que un sistema se expande (añadiendo una estación de trabajo a una
red, o añadiendo nuevas aplicaciones a una red de computadores) el número de
lugares donde un Punto Único de Fallo puede ocurrir, también se expandirá.
1.2.1.2 Análisis del impacto del fallo de un componente (CFIA)
Component Failure Impact Analysis (Análisis del Impacto de Fallo de
Componentes). Esta técnica consiste en identificar el impacto que tiene en la
disponibilidad de los servicios TI el fallo de cada elemento de configuración
involucrado.
12
Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios
TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
12
El desarrollo del CFIA nos proporciona:
1. Identificar los Elementos de Configuración (CI) que pueden causar un
incidente o falla.
2. Buscar elementos de configuración que no tienen back-up.
3. Evaluar el riesgo de las fallas en cada Elemento de configuración.
4. Justificar inversiones futuras
5. Tiempos de recuperación de los componentes.
Figura 1. 2 CFIA
13
Para la realización del CFIA se procede a seleccionar un Servicio de TI, y obtener
la lista de Elementos de Configuración de los elementos de la infraestructura
detallada anteriormente.
13
Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
13
Si no hay ninguna Base de Datos de Gestión de Configuración CMDB 14, entonces
pedir a documentación, diagramas, y conocimiento en general de las tecnologías
de información a quien corresponda.
A continuación, se lista en una columna, los elementos de configuración CI los
Servicio de TI en la fila superior.
A continuación se realiza el siguiente procedimiento para cada Elemento de
Configuración debajo de cada servicio.
·
Marcar una "X" en la columna en caso de que el fallo en dicho CI provoque
un incidente e inoperatividad del servicio.
·
Marcar una "A" cuando el CI tiene un respaldo alternativo inmediato que
pueda proporcionar el servicio.
·
Marcar una "B" cuando el CI tiene un respaldo alternativo, no tan inmediato
para proporcionar el servicio.
Ahora disponemos de una matriz básica de la CFIA. Cada "X" y "B" es una
responsabilidad potencial.
Para finalizar se debe realizar una matriz que representa a los Elementos de
Configuración, el efecto que produce en las diferentes áreas del negocio, y el total
de usuarios que son afectados por la pérdida de servicios de TI.
1.2.1.3 Análisis por arboles de fallos (FTA)
El Análisis del Árbol de Fallos consiste en analizar cómo se propagan los fallos a
través de la infraestructura y así tener claro su impacto en la disponibilidad del
servicio.
“Las ventajas fundamentales del FTA son:
14
·
Permite realizar cálculos de la Disponibilidad.
·
Permite realizar las operaciones sobre el árbol de fallos resultante.
·
Permite elegir el nivel deseado de detalle del análisis.
CMDB: Central Management Data Base.
14
Para el desarrollo del FTA, se distingue los siguientes sucesos:
·
Sucesos Básicos: Puntos terminales del árbol de fallo, como la pérdida
de suministro eléctrico o un error del operador. Los sucesos básicos
no
se investigan con más profundidad. Si
los sucesos básicos se
investigan con más profundidad, automáticamente se convierten en
sucesos resultantes.
·
Sucesos Resultantes: Nodos intermedios del árbol de fallos que resultan
de una combinación de sucesos. Habitualmente, el punto superior del
árbol de fallos es el fallo del servicio TI.
·
Sucesos Condicionados: Sucesos que solo ocurren bajo ciertas
condiciones,
como por
ejemplo,
el
fallo del equipo
de aire
acondicionado solo afectara al servicio TI si la temperatura de los
equipos supera los valores de servicio.
·
Sucesos Desencadenantes: Sucesos que lanzan otros sucesos, por
ejemplo, el equipo de
detección
de
la
pérdida
del suministro
eléctrico puede lanzar el cierre automático de servicios TI.
Estos sucesos se combinan mediante operadores lógicos, como:
·
AND: El evento resultante solo sucede cuando todos los sucesos entrantes
ocurren simultáneamente.
·
OR: El evento resultante ocurre cuando suceden uno o más de los eventos
entrantes.
·
OR exclusivo: El evento resultante solamente ocurre cuando se satisface la
condición de entrada.
·
Inhibidor: El evento resultante solamente ocurre cuando no se satisface la
condición de entrada”.15
15
Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
15
1.2.3
GESTIÓN Y ANÁLISIS DE RIESGO
“Análisis del Riesgo: Identifica y determina el nivel de (medida) los riesgos
calculados a partir de los valores estimados de los activos y los valores estimados
de las amenazas y las vulnerabilidades de tales activos.
Gestión
del Riesgo:
Cubre la identificación, selección
y adopción
de
contramedidas justificadas por los riesgos identificados para los activos en
términos de su impacto potencial sobre los servicios si ocurriera un fallo, y
la reducción de tales riesgos a un nivel aceptable.”
En esta sección se realizará la búsqueda de cada una de las vulnerabilidades que
posee la organización a los fallos de la configuración y la capacidad de la
organización TI enfocados en el análisis a las configuraciones de cada uno de los
activos tecnológicos de la organización.
Análisis y Gestión de Riesgos es una técnica que se puede utilizar para identificar
y cuantificar los riesgos además de
medidas justificadas que se pueden
implementar para proteger la disponibilidad de los sistemas informáticos.
Para este análisis se utiliza el método CRAMM16 (Método de Análisis y Gestión de
Riesgos), la cual es una técnica que consiste en identificar los riesgos y
vulnerabilidades de la infraestructura para implementar contramedidas que los
reduzca.
Figura 1. 3
16
Análisis y Gestión de Riesgos
17
CRAMM: Central Computer and Telecommunications Agency
Risk Analysis and Management Method
Estructura de la figura tomada de: Office of Government Commerce (OGC). ITIL la Llave para la
17
16
1.2.3.1
Método de análisis y gestión de riesgos (CRAMM)
CRAMM proporciona un armazón para calcular el riesgo del recurso, valor y
vulnerabilidades, llamado el Análisis de Riesgo. El armazón también le ayuda a
evitar, reducir, o escoger aceptar estos riesgos, llamado la Gestión de Riesgo.
La idea es que analizando recursos, uno puede comprender el daño potencial
causado por una falla en la Confidencialidad, Integridad o Disponibilidad. CRAMM
puede mitigar el riesgo a un costo efectivo con un análisis estructurado de costos.
Los pasos para realizar un correcto análisis de riesgos, son las siguientes.
1.2.3.1.1
Identificación y valoración de activos
En primer lugar, se define el alcance de la revisión (datos, activos, software, etc).
Aquí se puede utilizar la Base de datos de gestión de configuración CMDB, pero
si no la tenemos se debe preguntar acerca de los datos importantes, software o
activos físicos.
1.2.3.1.2
Identificación y valoración de amenazas
En esta sección se procede a identificar, clasificar y valorar las amenazas las
cuales son agentes capaces de explotar los fallos de seguridad que denominamos
puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los
activos de una empresa.18
Para ello nos basaremos en la siguiente tabla:
Nivel
Definición
Alta
La amenaza está altamente promovida, y es suficientemente capaz
de llevarse a cabo
Media
La amenaza es posible
Baja
La amenaza no posee suficiente motivación y capacidad
Tabla 1. 1 Probabilidad de ocurrencia de un evento determinado
Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
18
http://inf-tek.blogia.com/2009/060203-8.3-amenazas-y-vulnerabilidades.php
17
1.2.3.1.3
Identificación y valoración de vulnerabilidades.
En esta sección se procede a identificar, clasificar y valorar las vulnerabilidades
(puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad,
disponibilidad e integridad de la información de un individuo o empresa) 19
Para la identificación de las vulnerabilidades sobre la plataforma de tecnología
nos basamos en los siguientes campos:
Amenaza Humana:
·
Robo.
·
Hackers.
·
Artefactos explosivos.
·
Fugas de gas o agua.
·
Incendios.
Amenaza Natural
·
Inundaciones.
·
Sismos.
·
Lluvias torrenciales.
·
Incendios.
·
Terremotos.
Amenaza Tecnológica
·
Sabotaje computacional.
·
Acceso al centro de cómputo.
·
Escasez de energía.
·
Fallas en la red.
·
Acceso a la red por parte de personas ajenas a la entidad.
·
Falla en los dispositivos de almacenamiento del Servidor.
18
·
Falla en los dispositivos de almacenamiento de las computadoras.
·
Fallo en el hardware de los equipos.
·
Configuración incorrecta de aplicaciones.
·
Sobredimensionamiento de clientes inalámbricos en la red.
·
Virus.
·
Falla de capacitación de TI.
1.2.3.1.4
Evaluación de niveles de riesgos
“Un riesgo es la probabilidad de que suceda un evento, impacto o consecuencia
adversos. Se entiende también como la medida de la posibilidad y magnitud de
los impactos adversos, siendo la consecuencia del peligro, y está en relación con
la frecuencia con que se presente el evento.”20
EL proceso de evaluación del riesgo permite a una organización alcanzar los
requerimientos estándar sobre su plataforma tecnológica, con el fin de generar un
plan de implementación de controles que aseguren un ambiente informático
seguro.
El objetivo de la evaluación es identificar y evaluar los riesgos. Los riesgos son
calculados por una combinación de valores de las amenazas, el valor de los
activos y las vulnerabilidades.
1.2.3.1.5
Tratamiento de riesgo
El tratamiento de riesgo se define, como el conjunto de decisiones tomadas con
cada activo de información.
Para el manejo del riesgo se pueden tener en cuenta algunas de las siguientes
opciones, las cuales pueden considerarse cada una de ellas independientemente,
interrelacionadas o en conjunto.
20
Villalva, Juan. Riesgos. http://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtml, 20-072010
19
Aceptar el riesgo: Se basa en aceptar el riesgo, y no tomar medidas para
anularlo, reducirlo o transferirlo.
Anular el riesgo: Reside en eliminar completamente el riesgo mediante cambios
y mejoras sustanciales en los procesos operacionales.
Reducir el riesgo: Se trata de reducir la probabilidad de un riesgo al nivel más
bajo nivel posible. Los métodos generalmente son los más sencillos, económicos
y aplicables.
Transferir el riesgo: Reside en repartir la responsabilidad con otra área o servicio
externo, de igual manera, al transferir el riesgo, éste es minimizado.
1.3
DISEÑO DE LA RECUPERACIÓN
Uno de las características principales de la disponibilidad de la información es la
recuperación de la información, debido a que debe asegurarse un diseño efectivo
para garantizar el retorno a las operaciones normales del negocio cuando fallen
los servicios, tan pronto como sea posible.
Actividades:
Medida de recuperación de incidente
La gestión de la Disponibilidad tiene relación con la Gestión del Incidente,
para determinar parámetros de conocimiento acerca de los fallos y asegurarse la
no repetición de los mismos.
Para determinar de una manera clara la medida de recuperación de incidente es
recomendable:
·
Definir procedimientos claros para la medida de recuperación de cada
servicio.
·
Definir los roles y responsabilidades claros de los encargados de la
recuperación.
20
Métricas de Recuperación.
En este punto se elaborará una especificación de ciertos parámetros, los cuales
se evaluarán en función del tiempo lo que proporcionará una estimación oportuna
de los procesos para los cuales la recuperación tomará mayor cantidad de tiempo,
y la priorización de los mismos.
Respaldo o Back-Up.
En esta sección, se procede a especificar los parámetros de recuperación,
periodicidad, medio, de los componentes de hardware, software y datos en los
que se basan los servicios de Tecnologías de la Información.
Gestión de Sistemas
Para aumentar los niveles de disponibilidad de la información, se debe proveer al
departamento de TI de herramientas de gestión de sistemas. El correcto uso de
estas herramientas ayuda con la detección y diagnóstico de los fallos permitiendo
una recuperación más eficiente.
Restauración del servicio.
En esta sección se especificarán las acciones a realizar para la recuperación de
un servicio de TI de la organización.
Además se elaborará un ejemplo de interrupción del servicio, y los procedimientos
a realizarse para su restauración.
21
1.4
CONSIDERACIONES DE SEGURIDAD
Los sistemas de información son esenciales para las organizaciones y deben ser
protegidos.
La seguridad de TI consiste en garantizar que los recursos de software y
hardware de una organización se usen responsablemente ya sea por el Área de
Tecnologías de Información como todas las áreas de la organización.
La seguridad informática se resume, por lo general, en tres objetivos principales:
·
Integridad: certificar que los datos no han sido modificados por personas no
autorizadas.
·
Confidencialidad: garantizar el acceso a la información únicamente por los
individuos autorizados.
·
Disponibilidad: asegurar el acceso a la información por personal autorizado
en el momento que lo requieran.
1.4.1
LINEAMIENTOS
PARA
LA
ADQUISICIÓN
DE
BIENES
INFORMÁTICOS
Es muy importante para el departamento de Tecnologías de Información de la
organización, tener claramente definido la persona responsable de la adquisición
de los bienes informáticos, así como las características tanto de hardware como
de software de los equipos a ser adquiridos.
Además de los elementos de software permitido a ser instalados en los equipos.
1.4.2
GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO
En esta sección se determinarán los lineamientos a los que la instalación,
ubicación y disposición de un equipo de cómputo nuevo o reasignado se debe
acoger tales como: área, diagramas de ubicación, suministro eléctrico e
infraestructura de cableado.
22
El objetivo es impedir daños, pérdidas, interrupción de actividades tanto del Área
de Tecnologías de Información, como de las otras Áreas Transversales mediante
la protección del equipamiento de las amenazas indicadas anteriormente.
1.4.3
SEGURIDAD DE LA INFORMACIÓN
La Seguridad de la Información se basa en cuidar y proteger la información, en el
interior de la organización mediante la aplicación de medidas preventivas y
reactivas coordinadas por el personal de Tecnologías de la información.
“La seguridad de la información comprende diversos aspectos entre ellos la
disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la
integridad, confidencialidad, recuperación de los riesgos.
Precisamente la reducción o eliminación de riesgos asociado a una cierta
información es el objeto de la seguridad de la información y la seguridad
informática. Más concretamente, la seguridad de la información tiene como
objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no
autorizada de información.” 21
1.4.4
SEGURIDAD FÍSICA Y DEL ENTORNO
El objetivo principal es impedir el acceso físico no autorizado, daños e
interferencia en las instalaciones e información de la organización, así como
impedir pérdidas, exposiciones al riesgo de los activos mediante la protección de
la información crítica.
Para la protección contra amenazas externas y del ambiente, se recomienda que
se diseñe y aplique medios de protección contra daños potenciales causados por
fuego, inundación, terremoto, y otras formas del hombre en áreas protegidas.
21
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
23
1.4.5
GESTIÓN DE COMUNICACIONES Y OPERACIONES
El objetivo es asegurar la operación correcta y segura de los recursos de
tratamiento de información.
Se recomienda establecer responsabilidades y procedimientos para la gestión y
operación de todos los recursos para el tratamiento de la información.
1.4.6
GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS
DE CÓMPUTO.
El objetivo es mantener la integridad y la disponibilidad de los servicios,
aplicaciones y medios externos de la información.
Se recomienda establecer procedimientos rutinarios de respaldo para realizar
copias de seguridad y probar su puntual recuperación, basándose en una
evaluación de riesgos para determinar los activos de información más relevantes.
1.4.7
SEGURIDAD DE LA RED
El objetivo es asegurar la protección de la información en redes y la protección de
la infraestructura de soporte.
1.4.8
MONITORIZACIÓN
El objetivo es detectar las actividades de manipulación de información no
autorizadas.
Se recomienda monitorear los sistemas y los eventos de la seguridad de
información registrados. El registro de los operadores y los registros de fallos
deberían ser usados para garantizar la identificación de los problemas del sistema
de información.
El monitoreo del sistema debería ser utilizado para verificar la efectividad de los
controles adoptados.
24
1.5 MANTENIMIENTO DEL PLAN
Es de vital importancia para una organización, proyectar el mantenimiento del
Plan de Disponibilidad, el cual debe ser elaborado con proyección a futuro, y con
opciones de mejora continua.
Uno de los resultados principales del proceso de Gestión de la Disponibilidad es
la creación de un Plan de Disponibilidad, el cual debe ser a largo plazo para la
mejora proactiva de la disponibilidad considerando las limitaciones de costo
impuesto.
25
CAPÍTULO 2
ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA
ORGANIZACIÓN.
En
el
presente
capítulo
se
realiza
una
descripción
general
de
la
organización GRUPO FARO, en la cual se aplicara el desarrollo del Plan de
Disponibilidad de Tecnologías de la Información (TI), mediante el uso de las
buenas prácticas de la librería ITIL.
2.1
ANTECEDENTES
“El 17 de diciembre 2004, doce ciudadanos crearon Grupo FARO debido a la
necesidad de contar con un espacio independiente (a partidista) que apoye las
capacidades institucionales del Estado, la sociedad civil y el sector privado para
generar políticas públicas más cercanas a los y las ciudadanas.
En poco tiempo, Grupo FARO atrajo gente emprendedora que tenía en mente
aportar al bien público desde diferentes visiones políticas, conocimiento y
experiencia.
Cuando Grupo FARO nació, la inestabilidad política era tal que era casi imposible
promover políticas públicas a largo plazo. Por ello, desarrolló gran flexibilidad para
adaptarse a instituciones inestables y promover un espacio de dialogo plural e
informado en un país fragmentado política e ideológicamente.
Ahora, ha llegado el tiempo de construir sobre lo avanzado y, sin dejar de ser
flexibles, innovadores y creativos, comenzar a pensar y actuar de forma
estratégica. Grupo FARO tiene hoy el desafío de comenzar a creer en la
posibilidad de ver el futuro como la historia que quiere escribir. Se siente
orgulloso de lo avanzado y humilde frente a los desafíos que le quedan por
delante. A pesar de ello, Grupo FARO crece firme y convencido de que la visión
se cumplirá con el aporte de ciudadanos y ciudadanas unidos a favor del bien
público.”22
22
http://www.grupofaro.org/node/172
26
2.2 DESCRIPCIÓN DE LA ORGANIZACIÓN
“Grupo FARO surgió de la necesidad de contar con un espacio independiente y
apartidista que apoye las capacidades institucionales del Estado ecuatoriano, a la
sociedad civil y al sector privado pues los tres sectores deben tener una
equitativa y activa participación en la creación de políticas públicas más cercanas
a los ciudadanos.
Figura 2. 1 Personal Grupo FARO 2011 ”23
“Grupo FARO (Fundación para el Avance para las Reformas y las Oportunidades)
tomó su nombre de la torre vigía localizada en las costas y usada para guiar a las
embarcaciones
Grupo FARO orienta sus esfuerzos al fortalecimiento de la “esfera pública”,
entendida como el espacio donde se encuentra el Estado, la sociedad civil y el
sector privado para la deliberación de los desafíos comunes, la generación de
soluciones innovadoras y la acción colectiva para implementarlas.
En suma, el nombre Grupo FARO, es símbolo de colaboración, de generación de
conocimiento.”24
23
24
Quiénes somos http://www.grupofaro.org/node/518
Qué significa Grupo FARO - http://www.grupofaro.org/node/517
27
2.2.1 CONSTITUCIÓN GRUPO FARO
2.2.1.1 Miembros fundadores
¨Los miembros fundadores de Grupo FARO en el año 2004 fueron:
Orazio Bellettini.
Elizabeth Linn Coombs.
Brunella Bellettini.
María José Gil Llorenti.
Jorge Alberto Ramírez.
Fernando Straface.
Álvaro Vivanco.
Diego Grijalva.
Vinicio KarAtamaint.
Camilo Páez Quevedo.
María Paula Romo.
Carolina Vizcaíno¨.25
2.2.1.2 Consejo ejecutivo
“El Consejo Ejecutivo está compuesto por los (as) directores (as) de las diferentes
áreas y ejes de trabajo de la organización. Entre sus funciones se encuentran
definir los lineamientos estratégicos y operativos de la organización durante la
ejecución de sus actividades a lo largo del año, así como ejercer un liderazgo que
inspire a los y las integrantes de la organización a innovarse permanentemente
para contribuir con soluciones a los principales desafíos de Ecuador y América
Latina.”26
2.2.1.3 Consejo asesor
“El Consejo Asesor está conformado por un grupo de profesionales, ecuatorianos
y extranjeros, que se han destacado en sus respectivas áreas de conocimiento.
Apoyan los fines y gestión de Grupo FARO.
25
26
Miembros Fundadores - http://www.grupofaro.org/node/178
Consejo ejecutivo - http://www.grupofaro.org/node/576
28
Se trata de un cuerpo asesor y consultivo cuya función es participar activamente
en los procesos que apoyen el cumplimiento de su misión, visión y teoría de
cambio. Asimismo, participan en la planificación y actualización de la agenda de
investigación de Grupo FARO.
Sus integrantes son los siguientes:
Manuel Alcántara, Director del Centro de Estudios Latinoamericanos del Instituto
Ortega y Gasset de la Universidad Autónoma de Madrid.
Paúl Carrillo, Economista graduado en la Universidad Católica del Ecuador,
Master y PhD en Economía en la Universidad de Virginia. Se desempeñó como
Investigador del Banco Central del Ecuador y actualmente es Profesor Asociado
de Microeconomía y Economía Regional de la George Washington University.
Merilee Grindle, Profesora la Cátedra Edward Mason de Desarrollo Internacional
en la Escuela Kennedy de Gobierno en la Universidad de Harvard y Directora del
Centro David Rockfeller de Estudios para América Latina.
Ricardo Hausmann, Director del Centro de Estudios Internacionales de la
Universidad de Harvard y Profesor de Desarrollo Internacional de la Escuela
Kennedy de Gobierno de la Universidad de Harvard.
Grace Jaramillo, Máster en políticas públicas y relaciones internacionales de la
Universidad de Pittsburgh - EEUU. Investigadora, articulista de diario EL
COMERCIO y actual coordinadora del programa de relaciones internacionales de
la Facultad Latinoamericana de Ciencias Sociales (FLACSO).
Yolanda Kakabadse, Su vínculo con la conservación ambiental comenzó
oficialmente en 1979, cuando fue nombrada Directora Ejecutiva de Fundación
Natura en Quito. Fue Presidente de la Unión Mundial para la Conservación
(UICN) desde 1996 hasta 2004 y Miembro del Directorio del Instituto de Recursos
Mundiales (WRI), durante el mismo período. Fue co-Presidente del Grupo de
Trabajo sobre Sustentabilidad Ambiental del Proyecto del Milenio, 2002 – 2005.
29
Robert Klitgaard, Profesor de la Cátedra Ford de Desarrollo y Seguridad
Internacional y Presidente de la Universidad de Claremont.
Andrés Mejía, Ph.D. en Ciencias Políticas de la Universidad de Norte Dame,
2004 e investigador en el Instituto de Ciencias del Desarrollo, Universidad Sussex,
UK.
David Robalino, Máster en Economía en la Universidad de Sorbona, Francia y un
PhD en Análisis de Políticas Públicas en la Pardee Rand GraduateSchool.
Actualmente se desempeña como Investigador Principal del Banco Mundial en
temas de reformas a los sistemas de seguridad social.
Andrés Velasco, Profesor Titular de la Cátedra Sumitomo de Economía
Internacional en la Escuela de Gobierno John F. Kennedy School de la
Universidad de Harvard y fundador de la Corporación Expansiva.”27
.
2.2.1.4 Colaboradores
Los faristas son personas que tienen todas las competencias (conocimientos,
destrezas, y actitudes) necesarias para cumplir la misión, la visión, y los objetivos
de Grupo FARO, con el fin de hacer que la organización continúe formándose y
desarrollándose.
Estas competencias están divididas en tres áreas centrales: investigación,
desarrollo de capacidades, y comunicación e incidencia política y; en cuatro
ejes de intervención: ambiente y sociedad, equidad y oportunidades sociales,
gobernanza de lo público y sociedad de la información.
27
Consejo Asesor - http://www.grupofaro.org/node/179
30
2.2.2 DATOS GENERALES
Grupo FARO - Centro de Investigación de Políticas Públicas
Dirección:
Gregorio Bobadilla N38-88 y Granda Centeno
Teléfono:
(593 2) 2 456 367 ext. 11
Fax:
(593 2) 2 264 719
Casilla postal:
17-16-135
Mail:
[email protected]
Figura 2. 2
Ubicación Grupo FARO28
2.2.3 MISIÓN, VISIÓN, PERSPECTIVA
La misión, visión, objetivos estratégicos y valores de la empresa que se indican a
continuación, han sido tomados del Documento “La Empresa GRUPO FARO S.A”.
2.2.3.1
Misión
¨Incidir en políticas públicas para construir una sociedad más democrática,
innovadora, sustentable e incluyente a través de la investigación, el diálogo
informado y la acción colectiva.
28
http://www.grupofaro.org/node/726
31
2.2.3.2
Visión
Grupo FARO será reconocido globalmente como un centro de políticas públicas
que promueve en Ecuador y América Latina el desarrollo sostenible basado en el
conocimiento.¨29
2.2.3.3
Perspectiva
Desde la perspectiva de Grupo FARO, los cambios en Ecuador se han producido
por la imposición de un grupo económico, político, ideológico, regional o étnico
sobre el resto de la sociedad. Desde nuestra visión, esto es causado por tres de
los que consideramos los principales problemas de nuestro país:
Fragmentación: el Ecuador se caracteriza por una alta fragmentación política,
social, económica, geográfica, que ha determinado la dificultad de llegar a
consensos.
Nuestra visión es que cambios impuestos, producto de la fragmentación y la
dificultad de actuar por el bien común, no contribuyen al progreso de la sociedad
ni son sostenibles en el tiempo. Creemos que cambios duraderos ocurren cuando
diferentes grupos de la sociedad (públicos y privados) coinciden en la definición
de un problema y, sobre todo, asumen responsabilidades compartidas para
resolverlo.
29
Misión y Visión Grupo FARO. En internet: http://www.grupofaro.org/node/173
32
2.2.4 ESTRUCTURA ORGANIZACIONAL
En la Figura 2.3 se muestra el organigrama de la organización GRUPO FARO.
Figura 2. 3
Organigrama GRUPO FARO30
A continuación se describe a cada una de las áreas de GRUPO FARO:
Consejo directivo
“El Consejo Directivo es el máximo órgano de gobierno de Grupo FARO y está
conformado por un cuerpo colegiado y plural. Sus miembros son personas de
diversa formación e identidad profesional, ideológica, política, religiosa y cultural;
cuya participación agrega valor al trabajo de la organización.
Dirección Ejecutiva
Representa legal y oficialmente a Grupo FARO. Propone estrategias y coordina la
gestión de fuentes de financiamiento; genera espacios de concertación, alianzas y
acuerdos para garantizar el desarrollo óptimo de las actividades de la
organización. Lidera la gestión institucional mediante el direccionamiento
estratégico.
30
http://grupofaro.org/sites/default/files/recursos/archivos/2011/2011-10-27/Diapositiva1.jpg
33
Guía y apoya el establecimiento de políticas y normas que fortalezcan la
institucionalidad y coadyuda al cumplimiento de la misión, vela por el desarrollo de
programas y el cumplimiento de los requisitos establecidos en los convenios.” 31
Subdirección
Se encarga de coordinar la elaboración de los Planes estratégico, operativo
anual de Grupo FARO mediante el seguimiento, monitoreo y evaluación de su
avance.
Informa periódicamente acerca del avance de los planes institucionales y
ejecuciones presupuestarias.
Adicionalmente, se encarga de coordinar la solución de problemas administrativos
y de recursos humanos que dificultan el desarrollo de los proyectos
Área Administrativa Financiera
Administra los recursos financieros y materiales de la Organización; gestiona el
presupuesto, y la contabilidad; y, presta servicios administrativos en el marco de
las leyes y normativas vigentes.
Programar, formular, ejecutar y liquidar el presupuesto de la Organización en el
marco de las disposiciones legales y políticas del organismo, además de conocer
y aprobar los presupuestos de los proyectos
Asesora
al
Director
Ejecutivo
y
unidades
administrativas
en
materia
presupuestaria, contable y financiera.
Área de Investigación
Esta área es la encargada de impulsar, apoyar y monitorear la realización de las
investigaciones de los diferentes ejes de intervención, con el acompañamiento
continuo en las investigaciones que se están creando que, además de generar los
conocimientos necesarios, sean una fuente de evidencia para la concepción de
políticas públicas. Está compuesta por su Directora y una investigadora del área,
a medida que transcurra el tiempo la dirección va a tener la posibilidad de crecer y
tener más investigadores que consoliden el trabajo que se realiza.
31
http://www.grupofaro.org/node/338
34
Además apoya en el proceso de investigación para que sea relevante dentro de la
esfera pública de Ecuador, no sólo que trasciendan el campo específico de cada
uno de los ejes de intervención sino que con su fundamento sea fuente de
evidencia para incidir en políticas públicas.
Área de Desarrollo de Capacidades
Se encarga de normar y coordinar acciones para desarrollar capacidades tanto
para
el personal de la Organización como para los actores sociales que
participan en la ejecución de programas y proyectos, de tal forma que se
fortalezcan sus habilidades individuales y de grupo para realizar tareas, resolver
problemas, establecer y alcanzar objetivos de forma sustentable.
Área de Comunicación e Incidencia Política
El área de Comunicación e incidencia política difunde las ideas, las propuestas
y/o resultados de sus investigaciones entre los actores internos (personal de GF)
y externos (grupos de interés). Propone e implementa estrategias, procesos y
políticas comunicacionales para promocionar y fortalecer la imagen institucional.
Es una de las áreas transversales que desde este enfoque único apoya a las
áreas transversales y temáticas para cumplir la misión y visión organizacional.
Propicia alianzas con los distintos niveles de gobierno, sector privado y sociedad
civil a través de diálogos informados y publicaciones que recogen la investigación
y aporte de Grupo FARO.
La gestión técnica de los investigadores de GF se sostiene con el apoyo de las
estrategias de comunicación porque solo así tienen la capacidad de apoyar la
toma de decisiones de diversos actores públicos, privados y de la sociedad civil.
Por ello, se llevan a cabo diálogos informados, alianzas estratégicas con medios
de comunicación y acercamiento directo con grupos de interés. 32
32
http://www.grupofaro.org/node/335
35
Eje de Ambiente y Sociedad
El eje de Ambiente y Sociedad busca entender y analizar la relación entre el
cambio ambiental y el cambio social. ¿Qué impulsa y provoca estos cambios a
nivel local, nacional, regional o global? ¿Cuál es el impacto que tienen estos
cambios en la sociedad, la economía y la institucionalidad? El propósito de este
eje es incidir efectivamente en las políticas públicas que el país se plantea para
alcanzar el desarrollo sustentable, desde las modalidades de intervención
de Grupo FARO: generación de evidencia (investigación), desarrollo de
capacidades y comunicación.
Eje de Equidad y Oportunidades Sociales
El Eje de Equidad y Oportunidades Sociales propone políticas y prácticas que
permiten acortar las brechas que existen en la población para acceder a los
servicios sociales, en especial en aquellas etapas de mayor vulnerabilidad del ser
humano (infancia, enfermedad y desarraigo). El objetivo es que todas las
personas
alcancen
su
potencial
en
libertad
y
solidaridad.
Durante los últimos años, las políticas sociales han adquirido gran relevancia, lo
que se puede evidenciar con la alta inversión que ha recibido el sector.
También realiza monitoreo de las políticas públicas sociales tanto en sus aspectos
técnicos como políticos para promover un diálogo informado que permita lograr
propuestas creativas para resolver estos problemas.
Eje de Gobernanza de lo Público
Investiga el rol del Estado y su relación con los miembros de la sociedad civil,
la empresa privada y el sector público. Promueve la transparencia y el acceso a la
información pública de forma oportuna, actualizada y ciudadana como el primer
paso para un mayor involucramiento de la ciudadanía en las decisiones de su
gobierno. Su estrategia de intervención, a través de éste y otros ejes temáticos
de Grupo FARO, es la transparencia.33
33
http://www.grupofaro.org/node/58
36
Eje de Sociedad de la Información
Es un eje cuyo objetivo es buscar, generar una cultura de información y
conocimiento para generar en la sociedad participación proactiva en los
procedimientos y procesos democráticos. Promueve el acceso igualitario a la
información para la generación del conocimiento y la participación proactiva y
democrática de los actores sociales. Un país capaz de generar conocimiento
podrá potenciarlo como motor de desarrollo social, económico y político.34
Personal de apoyo operativo (recepción)
Se encarga del área de recepción, así como de la logística de los eventos internos
de Grupo FARO. Además de colaborar con Administración Financiera mediante la
entrega y verificación de firmado de cheques y comprobantes de retención.
2.3
PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE
LA ORGANIZACIÓN
2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN
El departamento de TI es dirigido por el Administrador de Red, el cual está
encargado de
brindar asesoría y soporte a todas las áreas administrativas y
transversales de GRUPO FARO.
Entre las tareas del área de tecnologías de información, están las siguientes
·
Crear y administrar una política de seguridad, acerca de accesos y uso del
sistema y aplicaciones, permisos y seguridad física.
·
Administración de usuarios: Creación y mantenimiento de cuentas,
actualización de permisos de acceso a bases de datos y aplicaciones.
·
El mantenimiento de sistema operativo: Revisar actualizaciones y asegurar
el normal funcionamiento del sistema, programar las actividades de
mantenimiento.
·
Administrar periféricos: Asegurar accesos y el normal funcionamiento de
estaciones de trabajo e impresoras.
34
http://www.grupofaro.org/node/57
37
·
Administrar licencias del software de servidor y periféricos.
·
Gestionar oportunamente la recuperación y puesta en marcha del sistema
en caso de fallas de hardware, energía o comunicaciones.
·
Monitor de rendimiento del sistema.
·
Crear y mantener el sistema de archivos del servidor central.
·
Instalar el software nuevo y sus actualizaciones.
·
Crear y ejecutar la política de copias de seguridad y recuperación.
·
Administrar la red de comunicaciones: accesos, configuración y normal
operación.
2.3.1.1
Estructura del departamento ti de la organización
Cuenta con una persona que se encarga de administrar la Infraestructura de la
Red, de
realizar
Backups,
mantenimiento
de
Hardware
y
Software,
adquisición de insumos y equipos informáticos, soporte a usuarios, creación de
cuentas de usuario e implementación de proyectos tecnológicos.
El departamento Ti se encarga del Área tecnológico y de dar soporte a los
usuarios. El área de TI es la responsable de dar apoyo a los usuarios en las
aplicaciones tanto en soporte en software como office, correo electrónico a
aplicaciones internas de FARO además de
proporcionar la infraestructura
tecnológica.
En GRUPO FARO, existen aproximadamente 50 equipos de computación, donde
alrededor de 25 son computadores portátiles (laptops), 15 son computadores de
escritorio (desktops) y 9 computadores Mac.
El departamento de TI es dirigido bajo políticas de control y seguridad que le
permiten operar dentro de los formatos apropiados en relación a la administración
de la información.
38
2.3.1.2
Áreas relacionadas con el departamento de TI
Departamento
de TI
Administración
Dirección
Comunicación e
Incidencia
Política
Subdirección
Investigación
Ejes de
proyectos
Ambiente y
Sociedad
Gobernanza de
lo público
Equidad y
oportunidades
Sociedad de la
Información
Figura 2. 4 Áreas relacionadas al departamento de TI
Los principales departamentos relacionados con el departamento de Tecnologías
de Información
son el departamento Administrativo- financiero, dirección y
subdirección, comunicación e incidencia política, investigación. Están altamente
conectados y obtienen los mayores recursos TI.
En menor grado pero no menos importantes los ejes de: Ambiente y Sociedad,
Gobernanza de lo público, Equidad y oportunidades sociales, Sociedad de la
Información.
2.3.1.3
Descripción de los Perfiles y Responsabilidades del Área de TI
Administrador de Tecnologías de Información
Misión del Cargo: Administrar y controlar proyectos y recursos tecnológicos
siguiendo las políticas y estándares de la corporación para asegurar y mejorar la
operación del negocio.
39
Relaciones de Trabajo:
Relaciones Internas
Área
N
B
I
Administración
N: Ninguna
C
x
Dirección
X
Comunicación
X
Investigación
X
Ejes Proyectos
X
B: Básica
I: Importante
Tabla 2. 1
C:Crítica
Relaciones internas del Administrador de TI
Relaciones Externas
Entes
N
B
I
Proveedores
Clientes
x
X
Proyectos Externos
N: Ninguna
B: Básica
Tabla 2. 2
C
x
I:Importante
C:Crítica
Relaciones Externas del Administrador de TI.
Responsabilidad y Funciones:
•
Programar planes de mantenimiento de infraestructura (RED, Servidores,
Comunicaciones) y aplicaciones para mantener funcionamiento de los
mismos.
•
Programar implementaciones tecnológicas definidas por la corporación
para mejorar y mantener la operación.
•
Supervisar el apropiado desenvolvimiento de las operaciones dentro del
área, con la finalidad de garantizar el fiel cumplimiento de los controles
internos &Sistema Contable.
•
Supervisión de servicios tercerizados para garantizar la normal operación
del negocio.
•
Supervisar las actividades de desarrollo e infraestructura para lograr
eficiencia en los procesos.
40
•
Programar los planes de contingencia sobre servidores y acceso a red con
la finalidad de mantener operativo el negocio.
•
Programar nuevo requerimiento de usuario o necesidades internas de
información para mejorar la gestión y la toma decisión.
•
Reportar, investigar y manejar de manera puntual actos y condiciones
deficientes e identificar aspectos y riesgos.
Educación: Ingeniero en Sistemas y/o Analista de Sistemas
Conocimiento: CCNA Cisco; Servidores Windows Server 2008; Plataforma
Microsoft Office 2007; Instalación y Recuperación de Hardware y Software;
mantenimiento correctivo y preventivo de hardware.
Experiencia: Mínima 2 años en cargos similares.
Habilidades: Trabajo bajo presión, Habilidad numérica, Habilidad analítica,
Trabajo
en
equipo,
Trabajo
Individual,
Responsabilidad,
Interacción
y
Comunicación Social y Orientación a los resultados.
2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI
El Área de TI de la GRUPO FARO detalla el inventario de los equipos que posee
a cargo.
2.3.2.1
Servidores
Nombre PC
SRV-AP
Nombre Usuario
Administrador
Sistema Operativo
Nombre SO
Microsoft® Windows Server® 2008
Standard
Versión SO
6.0.6001
Memoria Física Libre
2274 MB
41
Memoria Paginación Libre
6418 MB
Memoria Virtual Libre
8502 MB
Processor MainBoard
Procesador
Nombre CPU
Intel(R)
Xeon(R)
CPU
E5620
@
2.40GHz
Frecuencia de reloj
2399Mhz
Max. Frecuencia de reloj
2399Mhz
Reloj Externo
133Mhz
Nº Serie
BFEBFBFF000206C2
CPU ID
Intel64 Family 6 Model 44 Stepping 2
MemoryDevice
Memoria Total
6132 MB
Memoria Usada
3859 MB
Memoria Libre
2273 MB
Memoria Usada Porcentaje
62%
Memoria Física
Descripción
PhysicalMemory 2
Disp. Localizado
PROC 1 DIMM 3
Velocidad
1333Mhz
Unidad de disco
Nombre
HP LOGICAL VOLUME SCSI Disk
Device
Capacidad
500GB
Tipo Bus
SCSI
Particiones
2
Unidad de CD-ROM
Nombre
hp DVDROM DH20N ATA Device
42
Letra
E:
Estado
OK
Network
Conexión de área local
Nombre del Producto
Gigabit Ethernet Broadcom NetXtreme
Dirección MAC
1C:C1:DE:E8:07:38
Conexión de área local 2
Nombre del Producto
Gigabit Ethernet Broadcom NetXtreme
Fichero Driver
b57nd60a
Manufactura
Broadcom
Dirección MAC
1C:C1:DE:E8:07:39
Tabla 2. 3
Características hardware Servidor Grupo FARO
Equipos
4 GB
Acer Aspire 4830T
2.53 GHz Intel Core i3-380M dualcore processor
Estefanía Charvet
3 GB
Intel Core i3
TOSHIBA Satélite L655 sp41351
Mireya Villacis
2 GB
1 GB
CORE i5
Intel Core 2 duo
Portatil HP
Mac
Sigrid Vásconez
6GB of DDR3
4GB
Procesador Intel Core i7 2600 -3,4GHZ
Intel Core i5-2410M (2.3 GHz
3GB
3GB
4GB
2GB
3GB
MEMORIA RAM
Intel Core 2 duo 2.66 GHz
Intel Core 2 duo 2.66 GHz
Intel Core 2 Duo 3.6Ghz
Intel Pentium 4 2,2 GHz
Intel core i5- 2410M 2.3Ghz
PROCESADOR
Daniel Bravo
Asus K53SVAS1
Maritza Aguirre
Genérico
HP a64301a
Mayra Cabezas
Estefania de la Cruz
HP a64301a
Loredanna Medina
Genérico
TOSHIBA Satélite L305-55924
Alejandra Valdivieso
Jazzmin Armas
Asus K53SVAS1
MARCA
Francisco Sanchez
RESPONSABLE
500 GB
320 GB
500 GB
120 GB
640GB
1000GB
500GB
500GB
500´GB
160 GB
640 Gb
DISCO
DURO
Windows 7 Home Premium
Windows 7 Home Premiun
WINDOWS 7 PROFESSIONAL
MAC OS X 10.5
Windows 7 Home Premium (64 bit)
Windows 7 Ultimate 64 bits
Windows Vista Home edición
Windows Vista Home edición
Windows 7 home Premium
Windows Xp Professional SP3
Windows 7 Home Premium (64 bit)
SISTEMA OPERATIVO
En la Tabla 2.4 se presenta la una lista de equipos administrados por el departamento de TI de GRUPO FARO.
2.3.2.2
43
Portatil HP
Maria Dolores Lizarzaburu
IMAC
Liseth Estevez
Genérico
Genérico
Genérico
COMPAQ
Andrea Zumárraga
Diana Bolaños
Mónica Orozco
Asus
Pasante 1
Alejandro Moya
COMPAQ
Gateway
Daniel Almeida
Francisco Delgado
Intel Core 2 duo
Toshiba Satellite L505DSP6013R
Gabriela Erazo
Intel Core 2 Duo
Intel Pentium III Xeon
Intel core 2 duo
AMD Seprón
Intel core duo de 1,6 Ghz
Intel Core 2 Duo
Core i3 3,06Ghz,
ntel ® Core ™ 2
Intel Core 2 duo
Intel core 2 Duo
PROCESADOR
MAC
Daniela de la Torre
MARCA
RESPONSABLE
2 GB
2 GB
2 GB
4 GB
4 GB
2 GB
4 GB
1 GB
3 GB
2 GB
320 GB
320 GB
500 GB
320 GB
320 GB
320 GB
500 GB
120 GB
320 GB
250 GB
320 GB
DURO
RAM
2 GB
DISCO
MEMORIA
WINDOWS 7 PROFESSIONAL
Windows Xp Professional SP3
Windows Xp Professional SP3
WINDOWS 7 PROFESSIONAL
WINDOWS 7 PROFESSIONAL
WINDOWS 7 PROFESSIONAL
MAC OS X 10.6
Windows Xp Professional SP3
WINDOWS 7 PROFESSIONAL
MAC OS X 10.5
Windows 7 Home Premium
SISTEMA OPERATIVO
44
COMPAQ
Asus
Asus
MAC
MAC
Toshiba
Toshiba
María Paz Jervis
Andrea Ordoñez
Adriana Viteri
Julio Echeverría
Alicia Arias
Josue Lopez
Paul Medina
Procesador Core i7
Intel Core i3
Procesador Intel Core i5 2.3Ghz
Procesador Intel Core i5 2.3Ghz
Intel core duo de 1,6 Ghz
Intel core duo de 1,6 Ghz
Intel Core 2 Duo
Intel ATOM N450
ASPIRE ONE 532H-2238
NAV50
Esteban Tinoco
Intel core 2 duo
Intel core duo de 1,6 Ghz
TOSHIBA
Procesador Intel Core i5 2.3Ghz
Centrino Pentium 4 1,7 GHz
Intel Pentium III Xeon
PROCESADOR
Asus
Ma. Carmen Pantoja
Julio López
MAC
Genérico
Juan Jose Herrera
Mabel Andrade
Genérico
MARCA
David Avilés
RESPONSABLE
4 GB
3 GB
4 GB
4 GB
4 GB
4 GB
2 GB
2 GB
4 GB
2 GB
4 GB
512 MB
600 GB
320 GB
320 GB
320 GB
320 GB
320 GB
320 GB
250 GB
320 GB
320 GB
320 GB
80 GB
320 GB
DURO
RAM
2 GB
DISCO
MEMORIA
WINDOWS 7 PROFESSIONAL
WINDOWS 7 PROFESSIONAL
MAC OS X 10.6
MAC OS X 10.6
WINDOWS 7 PROFESSIONAL
WINDOWS 7 PROFESSIONAL
WINDOWS 7 PROFESSIONAL
Windows Xp Professional SP3
WINDOWS 7 PROFESSIONAL
Windows Xp Professional SP3
MAC OS X 10.6
Windows Xp Professional SP3
Windows Xp Professional SP3
SISTEMA OPERATIVO
45
MAC
Iván Borja
MAC
LIBRE -- Mabel Andrade
Tabla 2. 4
Genérico
MAC
LIBRE
AUDITORIA
Dell XPSm140
Asus
TOSHIBA
ACER
DELL
Anabel Castillo
María Gabriela Flores
Francisco Enríquez
HP Pavilon DV4
SONY
Guillermo Jimbo
Paul Salazar
ACER
Alexandra Rivadeneira
1 GB
512 MB
512 MB
512 MB
4 GB
4 GB
4 GB
3 GB
2 GB
4 GB
4 GB
4 GB
80 GB
40 GB
40 GB
60 GB
320 GB
500 GB
500 GB
320 GB
250 GB
640 GB
640 GB
320 GB
250 GB
DURO
RAM
2 GB
DISCO
MEMORIA
Windows Xp Professional SP3
MAC OS X 10.4
MAC OS X 10.4
Windows Xp Professional SP3
Windows 7 Home Premium
Windows 7 Ultimate
Windows Vista home editon
Windows Vista home editon
MAC OS X 10.6
Windows 7 Ultimate
Windows 7 Home Premium
MAC OS X 10.6
Windows Xp Professional SP3
SISTEMA OPERATIVO
Lista de equipos administrados por el departamento de TI.
Intel core 2 duo
Intel dual core
Intel dual core
Procesador Pentium 1,7 Ghz,
Intel core duo de 1,6 Ghz
Intel Core i3
Intel Core 2 duo
Intel Core 2 duo
Intel Core 2 duo
Intel Core i5 480M - 2,66 Ghz
Intel Core i5 2.3Ghz
Intel Core i5 2.3Ghz
Intel ATOM N450
ASPIRE ONE 532H-2238
NAV50
MAC
PROCESADOR
MARCA
Orazio Bellettini
Jorge Agama
RESPONSABLE
46
47
2.3.2.3
Otros dispositivos
En la Tabla 2.5 se muestra el inventario de otros dispositivos administrados por el
departamento de TI de la empresa GRUPO FARO.
CANTIDAD
DISPOSITIVO
2
Proyectores
2
Impresora matricial
2
Impresora a tinta
1
Impresora multifuncional
1
Modem
3
Switch
1
UPS
2
Routers Inalámbricos
1
Disco Duro Externo
1
Central Telefónica
Tabla 2. 5
Otros dispositivos administrados por el departamento de TI.
2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO
Internet: El servicio de internet es proporcionado por SATNET, y es
distribuido a la organización sin restricción de ancho de banda.
Red: La topología de la red de la Infraestructura tecnológica de GRUPO FARO es
de tipo estrella por ser la de mayor uso en redes por la confiabilidad y estabilidad
que ofrece.
El cableado estructurado de la red es conformado por cable UTP Categoría 5e,
para la comunicación entre el modem y el proveedor, se usa cable coaxial.
No se cuenta con un firewall, y tampoco con un antivirus corporativo.
Correo electrónico es proporcionado por Google Apps, aprovechando los
beneficios que se obtienen como organización no gubernamental.
48
2.3.4 DESCRIPCIÓN
DE
LOS
SERVICIOS
QUE
SOPORTA
EL
DEPARTAMENTO DE TI
En la Tabla 2.6 se describe los servicios que soporta el departamento de TI de la
empresa RELIANCE.
SERVICIO DE TI
DESCRIPCIÓN
Microsoft Office Word
Herramienta ofimática – procesamiento de texto
Microsoft Office Excel
Herramienta ofimática – hoja de cálculo
Microsoft Office PowerPoint
Herramienta
ofimática
–
elaboración
de
presentaciones.
Correo Electrónico
Aplicación de correo electrónico, usado para
envío y recepción de e-mails, tanto a nivel
interno como externo de la empresa, servicio
proporcionado por Google Apps.
Internet
Red pública usada para la comunicación,
búsqueda y transferencia de información, la cual
permite
la
interconexión
con
otras redes,
provista por TVCABLE.
Google Docs.
Servicio de biblioteca de documentos usado
para crear, guardar y compartir documentos, a
los usuarios del dominio interno @grupofaro.org
Mensajería interna
Chat de comunicación interna de la organización
Servidor de Archivos
Partición disponible para almacenar información
importante, de la cual se obtiene respaldos de
forma periódica.
Scanner
Captura
y
digitalización
de
imágenes,
documentos de texto, y transferencia de los
mismos a una carpeta en red para su acceso.
Impresoras
Impresión de documentos.
Copiadoras
Copiado de documentos.
Fax
Servicio de envío y recepción de documentos
vía telefónica.
49
SERVICIO DE TI
DESCRIPCIÓN
Conferencia
Conferencia mediante central POLYCOM.
UPS
Sistema de alimentación de energía
ininterrumpida, que permite proporcionar
energía a un dispositivo en el caso de
interrupción eléctrica.
DBSYS (Sistema contable )
Sistema contable que permite la elaboración de
contabilidad y presupuestos.
AURAPORTAL (BPMS)
Suite de administración de procesos internos de
la organización.
Antivirus
Aplicación informática que permite prevenir,
detectar y eliminar virus informáticos.
Adobe Reader
Software utilizado para apertura, lectura e
impresión de
documentos electrónicos con la
extensión “ .pdf ”.
Skype
Software
utilizado
para
la
realización
de
videoconferencias a través de la red pública
Internet.
Enlaces de cableado
Comunicación
con
servidores
mediante
cableado UTP cat. 5e.
Enlace Mireles
Comunicación con servidores mediante red
inalámbrica
con seguridad respectiva, SSID
grupo Faro.
Central telefónica
Servicio de telefonía fija.
VNC
Aplicación de asistencia remota a usuarios de la
organización.
Equipos de computación y Material
componentes
Tabla 2. 6
necesario
para
administración
de
infraestructura de TI.
Descripción de los servicios soportados por el departamento de
TI
50
2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI
En la Tabla 2.7 se muestra la lista de procesos del departamento de TI de la
empresa GRUPO FARO.
PROCESO DE TI
Soporte
a
DESCRIPCIÓN
usuarios Proceso
ayudar
PERIODICIDAD
encargado
a
satisfacer
necesidades
de
de Cada
vez
las usuario
que
de
los organización
un
la
lo
usuarios con respecto a la requiere.
correcta utilización de los
equipos de TI tanto a nivel
de hardware y software.
Adquisición de
Proceso
encargado
Software
asesoramiento
adquisición
del Cada vez que un área
y de la organización lo
de
nuevos requiere.
paquetes de software.
Mantenimiento y soporte Proceso
del
sistema
encargado
DBSYS asegurar
que
información
de Diario.
la
administrada
por el sistema DBSYS sea
precisa, consistente y esté
disponible a los usuarios
cuando estos lo necesiten y
en
la
forma
requerida,
especialmente para el área
Administrativa
Financiera
de GRUPO FARO.
51
PROCESO DE TI
DESCRIPCIÓN
Adquisición de equipos Proceso
PERIODICIDAD
encargado del Cada vez que un área
asesoramiento
y de la organización lo
adquisición de hardware, requiere.
mediante la elaboración de
cotizaciones y la elección
de la mejor opción.
Proceso encargado de la Cada
Mantenimiento
software
de revisión
del
vez
que
software solicite
se
un
utilizado en la organización, requerimiento por los
para mantener en estado usuarios.
óptimo el funcionamiento
de
los
equipos
de
computación.
Proceso
Creación de usuarios
encargado
de Cada vez que ingresa
registrar a los ejecutivos en un
Active Directory.
usuario
organización.
Obtención de
El proceso de back-ups Semanalmente.
Backups
consiste
en
sacar
un
respaldo de las unidades
de Red, y de los servidores
que
tienen
aplicaciones
locales como Aura Portal,
Dbsys, etc.
Mantenimiento de red Proceso encargado de la Diario.
cableada
revisión
de
los
equipos
activos red cableada de
GRUPO FARO.
a
la
52
PROCESO DE TI
DESCRIPCIÓN
PERIODICIDAD
Mantenimiento de red Actividades encargadas de Quincenal.
inalámbrica
la revisión de los equipos
activos la red inalámbrica
de GRUPO FARO, para
mantener en estado óptimo
el funcionamiento de los
equipos de computación.
Proceso
Soporte
a
usuarios ayudar
encargado
a
satisfacer
necesidades
de
de Diario.
las
los
usuarios con respecto a la
correcta utilización de los
equipos de TI tanto a nivel
de hardware y software.
Capacitación
Usuarios
de Capacitación realizada a Depende del ingreso
nivel de software usado de nuevo personal,
dentro de GRUPO FARO.
así como del uso de
nuevas
aplicaciones
de software.
Tabla 2. 7
2.4
Listado de Procesos del Departamento de TI. 35
NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO
FARO
Se elaborará un plan de Disponibilidad de Tecnologías de Información, debido a
que no existe ninguna clase de procedimiento a seguir en caso de fallos en la red
de comunicaciones, ni energía eléctrica, y menos una política acerca del manejo
de fallas de disponibilidad con los servicios externos contratados.
35
Autor: Alejandro Velasco GRUPO FARO
53
El principal servicio crítico para la organización es el Internet, debido a que se
utiliza la plataforma de Google Apps @grupofaro.org, en la que se encuentran los
servicios de correo electrónico (Gmail), calendario en línea (Google Calendar),
Google Docs., Google Setes, y Google Chat para mensajería interna, los cuales
son utilizados permanentemente por los usuarios.
Además del Sistema contable Dbsys, el cual se encuentra en el Servidor Físico,
mediante el cual se realizan todas las actividades pertinentes al Área
Administrativa financiera tales como : Elaboración del rol de pagos, cheques,
impuestos, etc.
Otro servicio crítico que se dispone implementar es un BPMS Aura Portal,
mediante el cual se planea modelizar los procesos operativos de la organización y
ponerlos en ejecución automática, al cual ingresarán todos los usuarios de la
organización, mediante la red interna.
·
A continuación se indican los principales factores que requiere GRUPO
FARO en la disponibilidad de TI:
•
Reducir costos de operación y de adquisición de TI.
•
Monitorizar los servicios de TI.
•
Incrementar la calidad y satisfacción de los usuarios.
•
Incrementar la agilidad de TI
para adaptarse a los cambios y
requerimientos constantes del negocio.
•
Mejorar la infraestructura y servicios TI con el objetivo de aumentar los
niveles de disponibilidad.
54
CAPÍTULO 3
ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE
TI.
En este capítulo se determinarán los requisitos de disponibilidad identificando las
actividades Vitales del Negocio y su relación con las TI mediante encuestas al
personal administrativo, mapeando las actividades realizadas con los servicios,
prestados por el departamento de TI.
Posteriormente se realizará el levantamiento de información en lo que se refiere a
hardware y software activo y pasivo de la organización.
Entonces, se realizará el Análisis de Puntos individuales de Fallo de componentes
aplicando los mejores métodos descritos en la librerías, además del Análisis de
Riesgo y en base a los resultados se especificarán criterios acerca de la gestión
de
riesgo,
recuperación
de
los servicios,
métricas de
recuperación
y
consideraciones de seguridad.
Este plan permitirá tener una visión de las actividades a ser realizadas para
mejorar la disponibilidad de los servicios TI, además de la infraestructura
tecnológica actual de la organización.
Se realizarán pruebas con interrupciones específicas a un servicio crítico, y
gracias a los criterios presentados anteriormente, evaluar los resultados del Plan
de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta
al mismo.
Después se determinarán los requisitos de disponibilidad, mediante los cuales se
pueden determinar las necesidades respecto a la Disponibilidad de las
Tecnologías de Información.
Gracias a la determinación de los requisitos de disponibilidad, se podrá evaluar si
la infraestructura de TI de la organización, puede proporcionar los niveles
necesarios de disponibilidad.
55
A continuación se realizará la actividad de diseño.
Las actividades de diseño son:
·
El Diseño de la Disponibilidad.
·
El Diseño de la Recuperación.
·
Consideraciones sobre Seguridad.
·
Mantenimiento del Plan de Disponibilidad.
La gestión de disponibilidad debe garantizar que los niveles de disponibilidad
cumplan lo acordado en los servicios que se entreguen de manera eficiente
mediante una relación costo-beneficio.
Para conseguirlo la Gestión de Disponibilidad puede realizar actividades reactivas
y proactivas.
Actividades reactivas
Las actividades reactivas de la Gestión de Disponibilidad consisten en monitorear,
medir, analizar, reportar y revisar todos los aspectos de la disponibilidad de
componentes y servicios.
En cualquier lugar donde sean detectadas las brechas de disponibilidad, estos
son investigados, y se ejecutan acciones correctivas. Estas operaciones son
incluidas generalmente en los roles operativos.
Actividades proactivas
Para ser eficaz, la gestión de disponibilidad debería tener actividades proactivas,
las cuales se centran en una planificación y en una implicación en la mejora de la
disponibilidad.
Las actividades proactivas de la Gestión de Disponibilidad implican:
·
Análisis y Gestión de Riesgo.
·
Programas de pruebas de disponibilidad.
56
·
Análisis de Impacto de Fallo de Componentes (CFIA).
·
Análisis de Punto Individuales de Fallo (SPOF).
·
Análisis por Árboles de Fallos (FTA).
En la Figura 3.1 se presentan las actividades Reactivas y Proactivas, y como
estas se interrelacionan entre sí.
Figura 3. 1
36
Actividades proactivas y reactivas
36
Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
57
3.1
MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL
NEGOCIO
En la Tabla 3.1 podemos se muestran los Servicios de TI administrados por el
departamento de Tecnología y las Áreas que utilizan dichos servicios.
Las encuestas se realizaron mediante la herramienta Survey Monkey 37, con la
cual se pueden realizar encuestas en línea gratuitamente.
El formato y los resultados de las encuestas, se los puede encontrar en:
Anexo 1: GF- Formato Encuesta ON-LINE.
Anexo 8 - GF-Tabulación encuestas ON-LINE.
ÁREA
SERVICIO DE TI
Dirección ejecutiva
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Antivirus
Internet Inalámbrico
Central telefónica Polycom
Central telefónica
Área
Administrativa
Financiera
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Msm Messenger
Documentos Compartidos
37
http://es.surveymonkey.com/
58
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Impresora Epson Planta Baja
Impresora EPSON LX-300
Impresora Matricial Epson Administración
Sistema Contable DBSYS
Software Impuestos
Antivirus
Acceso Remoto
Internet Cableado
Servidor de archivos (carpetas compartidas)
Área de Investigación
Word
Excel
Power Point
Access
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Antivirus
Adobe Acrobat
Central telefónica Polycom
Skype
Otros
Paquetes estadísticos
Área
de
Capacidades
Desarrollo
de
Word
Power Point
Correo electrónico
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Antivirus
Adobe Acrobat
Acceso Remoto
Internet Inalámbrico
59
Central telefónica
Skype
Área de Comunicación e
Word
Incidencia Política
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Copiadora Ricoh Aficio MP 171
Impresora EPSON LX-300
Adobe Acrobat
Internet Inalámbrico
Skype
Redes sociales, Adobe para diseño gráfico, google analytics,
Eje de Ambiente y Sociedad
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Antivirus
Adobe Acrobat
Internet Inalámbrico
Central telefónica
Skype
Eje de Gobernanza de lo
Word
Público
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Msm Messenger
Documentos Compartidos
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
60
Antivirus
Adobe Acrobat
Internet Inalámbrico
Internet Cableado
Servidor de archivos (carpetas compartidas)
Skype
Eje
de
Equidad
y
Oportunidades Sociales
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Documentos Compartidos
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Antivirus
Adobe Acrobat
Internet Inalámbrico
Central telefónica
Skype
SPSS
Eje
de
Sociedad
Información
de
la
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Msm Messenger
Documentos Compartidos
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Impresora Epson Planta Baja
Impresora EPSON LX-300
Antivirus
Adobe Acrobat
Acceso Remoto
61
Internet Inalámbrico
Central telefónica Polycom
Internet Cableado
Central telefónica
Servidor de archivos (carpetas compartidas)
Skype
Personal de apoyo operativo
Word
(recepción)
Excel
Power Point
Access
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Impresora Epson Planta Baja
Impresora EPSON LX-300
Impresora Matricial Epson Administración
Adobe Acrobat
Internet Inalámbrico
Central telefónica Polycom
Central telefónica
Servidor de archivos (carpetas compartidas)
Tabla 3. 1
Servicios de TI administrados por el departamento de
Tecnología.
3.1.1 ACTIVIDADES DEL NEGOCIO
En la Tabla 3.2 se describen las actividades del negocio que se presentan en
cada Área, además de si se relacionan con las Tecnologías de Información, y el
principal servicio de estas. El formato de la encuesta se encuentra en: Anexo 2:
GF-Formato encuesta Funciones e Impactos financiero y operacional.
La tabulación de los datos se encuentra en:
Anexo 7: GF-Tabulación encuestas Grupo FARO.
62
ÁREA DEL NEGOCIO
PROCESO DEL NEGOCIO
RELACIONADA CON
TI
SI
Dirección ejecutiva
Colaboración en el proceso de selección de
NO
1
personal
Auxiliar Contable
Asistente Financiera Contable
Asistente Contable
Analista de Reportes
Levantamiento de fondos
1
Generación de actas de reuniones
1
Revisión de cuentas
1
Revisión, orden y clasificación de archivos
1
Conciliaciones Bancarias
1
Cuadrar Proyectos
1
Secuencia de retenciones
1
Registro de Facturas
1
Emisión de cheques
1
Carga de transferencias
1
Registro de reembolso de gastos
1
Depósitos, Débitos e ingresos
1
Revisión de cuentas
1
Revisión de documentación física
1
Realización de conciliaciones bancarias
1
Revisión del centro de costos
1
Preparación de carpetas para auditorias
1
Control Presupuestario
1
Cronograma de Informes Financieros
1
Informes al donante
1
Revisión de documentación - respaldo
Revisión y preparación de presupuestos
1
1
63
ÁREA DEL NEGOCIO
PROCESO DEL NEGOCIO
RELACIONADA CON
TI
SI
Coordinadora
Supervisar y Coordinar la ejecución de
Financiera -Contable
procesos contables
1
Obtener y revisar informes financieros
1
Declaración de Impuestos y similares
1
Revisión,
ejecución
mensual
del
NO
1
presupuesto institucional
Área de Investigación
Revisión de informes de donantes
1
Revisión de documentos académicos para
1
investigaciones internas
Organización de temas relacionados con
1
eventos
colaboración con tareas administrativas del
1
Área de Investigación
Área de Comunicación
Supervisar
e Incidencia Política
GRUPO FARO
editorial
y
publicaciones
de
1
Supervisar estándares de calidad de los
1
eventos de GRUPO FARO
Desarrollo de reuniones estratégicas para el
1
área de Comunicación
Monitoreo de medios
Relación
con
1
públicos
externos
de
1
comunicación
Revisión y actualización de inventario de
1
Área de Comunicación
elaboración y actualización de Bases de
1
Datos de contactos
Personal
de
apoyo
operativo (recepción y
mensajería)
Verificar estado tributario de las facturas
Recibir
y
entregar
facturas
a
1
sus
1
responsables
Elaborar
solicitudes
correspondientes
de
al
pago
1
presupuesto
institucional
Elaborar
adquisiciones
contrataciones de servicios
de
bienes
y/o
1
64
Mantener
actualizado
el
inventario
de
1
suministros
Entregar y retirar documentación
1
Realizar el mantenimiento y apoyar con la
1
limpieza de oficinas
Efectuar cobros y pagos
Administración de TI
1
Realizar trámites en instituciones financieras
1
Administración de usuarios
1
Mantenimiento preventivo y correctivo de
1
Servidores.
Administración de periféricos
1
Administración de licencias del software del
1
servidor y periféricos
Soporte técnico in situm y remoto.
1
Monitorear el rendimiento del sistema.
1
Mantenimiento del sistema de archivos del
1
servidor central.
Instalación
de
software
y
sus
1
Creación y ejecución de copias de seguridad
1
actualizaciones.
y recuperación.
Tabla 3. 2
3.2
Funciones y Procesos del negocio, y su relación con TI
ELEMENTOS DE CONFIGURACIÓN (CI)
¨Los elementos de configuración son todos, tanto los componentes pertenecientes
a la infraestructura tecnológica de la organización, como los servicios de TI. Los
cuales pueden ser:
Elementos de configuración de hardware: PCs, impresoras, routers, etc. así como
sus componentes: tarjetas de red, teclados, lectores de CDs.
Elementos de configuración de Software: Sistemas Operativos, aplicaciones.
Elementos de configuración de Documentación: manuales, acuerdos de
niveles de servicio.
65
En resumen, todos los componentes que han de ser gestionados por la
organización TI.¨38
3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDWARE
En esta sección se expondrá una lista de los dispositivos de hardware que se
encuentran instalados en la infraestructura tecnológica de Grupo Faro.
Como elementos de configuración, se considerarán los siguientes:
·
Desktops.
·
Laptops.
·
Impresoras.
·
Switches.
·
Servidores.
·
Access Points.
·
Routers.
·
Interfaces de Red.
·
Alimentador de Energía.
3.2.1.1
Desktops
En la Tabla 3. 3, se muestran los ordenadores, administrados por el departamento
de TI de Grupo FARO, con sus respectivas características.
Las Desktops se representan mediante el identificador ¨ DSK ¨.
ID
USUARIO
PROCESADOR
MEMORIA RAM
DISCO
DURO
DSK1
Jazmín Armas
Intel Core 2 Duo 3.6Ghz
4GB
500 GB
DSK2
Belén Abata
Intel Core 2 duo 2.66 GHz
3GB
500GB
DSK3
Alexandra Luje
Intel Core 2 duo 2.66 GHz
3GB
500GB
38
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_configuraciones/introduccion_objetivos_g
estion_de_configuraciones/definiciones_gestion_de_configuraciones.php
66
DSK4
Andrea
Core i3 3,06Ghz,
4 GB
500 GB
Zumárraga
DSK5
Tics
Intel Pentium III Xeon
2 GB
320 GB
DSK6
Tics
Intel Pentium III Xeon
2 GB
320 GB
DSK7
Pasantía
Intel Core i3
3 GB
320 GB
Tabla 3. 3
3.2.1.2
Equipos Desktop administrados por el departamento de TI
Laptops
La Tabla 3. 4contiene una lista de todas las computadoras portátiles que se
encuentran en Grupo Faro.
Las Laptops se representan mediante el identificador ¨ LAP ¨.
ID
USUARIO
LAP1
Hernan Abril
LAP2
Stephanie
PROCESADOR
de
la
MEMORIA
DISCO
RAM
DURO
Intel core i5- 2410M 2.3Ghz
3GB
640 Gb
Intel Pentium 4 2,2 GHz
2GB
160 GB
Cruz
LAP3
Elizabeth Tello
Intel Core 2 duo 2.66 GHz
3GB
500GB
LAP4
Maria Tobar
Intel Core 2 duo 2.66 GHz
3GB
500GB
LAP5
Ana Lucia Tenelema
Procesador Intel Core i7 2600 --
4GB
1000GB
3,4GHZ
LAP6
Yolanda Telpiz
Intel Core i5-2410M (2.3 GHz
6GB
640GB
LAP7
Sigrid Vásconez
Intel Core 2 duo
1 GB
120 GB
LAP8
Daniel Bravo
CORE i5
2 GB
500 GB
LAP9
Mireya Villacis
Intel Core i3
3 GB
320 GB
LAP10
Estefanía Charvet
2.53 GHz Intel Core i3-380M dual-
4 GB
500 GB
Intel core 2 Duo
2 GB
320 GB
core processor
LAP11
Maria
Dolores
Lizarzaburu
LAP12
Daniela de la Torre
Intel Core 2 duo
2 GB
250 GB
LAP13
Gabriela Erazo
Intel Core 2 duo
3 GB
320 GB
LAP14
Daniel Almeida
Intel ® Core ™ 2
1 GB
120 GB
LAP15
Alejandro Moya
Intel core duo de 1,6 GHz
4 GB
320 GB
67
ID
USUARIO
PROCESADOR
MEMORIA
DISCO
RAM
DURO
LAP16
Andrea Zumárraga
Intel core 2 duo
2 GB
500 GB
LAP17
Mónica Orozco
Intel Core 2 Duo
2 GB
320 GB
LAP18
Juan José Herrera
Centrino Pentium 4 1,7 GHz
512 MB
80 GB
LAP19
Mabel Andrade
Procesador Intel Core i5 2.3Ghz
4 GB
320 GB
LAP20
Julio López
Intel core 2 duo
2 GB
320 GB
LAP21
Ma. Carmen Pantoja
Intel core duo de 1,6 Ghz
4 GB
320 GB
LAP22
Esteban Tinoco
Intel ATOM N450
2 GB
250 GB
LAP23
María Paz Jervis
Intel Core 2 Duo
2 GB
320 GB
LAP24
Andrea Ordoñez
Intel core duo de 1,6 Ghz
4 GB
320 GB
LAP25
Marcela Morales
Intel core duo de 1,6 Ghz
4 GB
320 GB
LAP26
Julio Echeverría
Procesador Intel Core i5 2.3Ghz
4 GB
320 GB
LAP27
Alicia Arias
Procesador Intel Core i5 2.3Ghz
4 GB
320 GB
LAP28
Josué López
Intel Core i3
3 GB
320 GB
LAP29
Paul Medina
Procesador Core i7
4 GB
600 GB
LAP30
Jorge Agama
Intel ATOM N450
2 GB
250 GB
LAP31
Orazio Bellettini
Intel Core i5 2.3Ghz
4 GB
320 GB
LAP32
Alexandra Rivad
Intel Core i5 2.3Ghz
4 GB
640 GB
LAP33
Iván Borja
Intel Core 2 duo
2 GB
250 GB
LAP34
Paul Salazar
Intel Core 2 duo
3 GB
320 GB
LAP35
Francisco Enríquez
Intel Core 2 duo
4 GB
500 GB
LAP36
Gabriela Flores
Intel Core i3
4 GB
500 GB
LAP37
Anabel Castillo
Intel core duo de 1,6 Ghz
4 GB
320 GB
LAP38
DELL
Procesador Pentium 1,7 Ghz,
512 MB
60 GB
LAP39
Mabel Andrade
512 MB
40 GB
LAP40
AUDITORIA
Intel core 2 duo
1 GB
80 GB
LAP41
AUDITORIA
Intel core 2 duo
1 GB
80 GB
LAP42
LIBRE
Intel core 2 duo
1 GB
80 GB
Tabla 3. 4
Equipos Laptop administrados por el departamento de TI
68
3.2.1.3
Impresoras
En la Tabla 3. 5 se presentan las impresoras compartidas en red y conectadas
directamente a ciertos equipos de Grupo FARO, además de los usuarios que
tienen acceso a impresión.
ID
Modelo
Tipo
I1
EPSON LX300 - II
Matricial
I2
EPSON L200
Tinta
Tabla 3. 5
Impresoras Matriciales y de tinta administradas por el
departamento de TI
En la se presentan las características de la impresora de red instalada en Grupo
Faro, la cual se comparte mediante TCP/IP para todas las áreas de la
organización.
Las impresoras se representan mediante el identificador ¨ I ¨.
ID
Modelo
Dirección
I3
Ricoh Aficio MP 171 – B/N
192.168.10.143
I4
Ricoh Aficio MPC 400 – Color
192.168.10.146
Tabla 3. 6
3.2.1.4
Impresoras en Red administradas por el departamento de TI
Switches
En la tabla 3.7 se indican los switches administrados por el departamento de TI de
Grupo FARO.
Los switches se representan mediante el identificados ¨ SWI ¨.
ID
Modelo
Número de puertos
SWI1
Dlink – DES 1008 A
8
SWI2
Dlink – DES 1008 A
8
SWI3
Cisco SF200
24
Tabla 3. 7
Switches administrados por el departamento de TI
69
3.2.1.5
Servidores
En la Tabla 3.8 se presentan las características de los equipos servidores
administrados por el departamento de TI de Grupo FARO.
Los servidores se representan mediante el identificados ¨ SRV ¨.
ID
Tipo
Aplicación
Procesador
RAM
Disco
RAID
Duro
SRV1
Físico
WEB Server IIS
Intel64
Family
6
6 GB
500 GB
RAID 1
Model 44 Stepping 2
SRV2
Virtual
Active Directory
-
2 GB
20 GB
-
SRV3
Virtual
SQL
-
2 GB
20 GB
-
SRV4
Físico
Servidor archivos
Intel Core 2 DUO E
4 GB
500 GB
4600 2,4 Ghz
Tabla 3. 8
3.2.1.6
Servidores administrados por el departamento de TI
Access Points
En la Tabla 3.9 se presentan las características de Access-points administrados
por el departamento de TI de Grupo FARO.
Los Access Points se representan mediante el identificados ¨ AP ¨.
ID
Marca
Modelo
Puertos
Puertos
LAN
WAN
AP1
Trendnet
Trendnet 639 GR
4
1
AP2
CISCO
WRT 310 N
4
1
Tabla 3. 9
3.2.1.7
Access Point administrados por el departamento de TI
Modem
En la Tabla 3.10 se presentan las características del Modem administrados por el
departamento de TI de Grupo FARO.
70
El Modem se representa mediante el identificados ¨ M ¨.
ID
Marca
M1
Arris
Tabla 3. 10
3.2.1.8
Modelo
Puertos
Puertos
LAN
teléfono
TM602G / 115 1
2
Modem administrado por el departamento de TI
Unidades de Almacenamiento
En la tabla 3.11 se presenta una lista de equipos de unidades de almacenamiento
tales como discos duros que se encuentran en las máquinas y que son
administrados por el departamento de TI.
Los dispositivos de disco duro, se representan mediante el identificador ¨ HD ¨.
ID
TIPO DE UNIDAD
RESPONSABLE
CAPACIDAD
HD1
Unidad de disco
Hernan Abril
640 Gb
HD2
Unidad de disco
Stephanie de la Cruz
160 GB
HD3
Unidad de disco
Elizabeth Tello
500 GB
HD4
Unidad de disco
Alexandra Luje
500GB
HD5
Unidad de disco
Ana Lucia Tenelema
500GB
HD6
Unidad de disco
Yolanda Telpiz
1000GB
HD7
Unidad de disco
Sigrid Vásconez
120 GB
HD8
Unidad de disco
Daniel Bravo
500 GB
HD9
Unidad de disco
Mireya Villacis
320 GB
HD10
Unidad de disco
Estefanía Charvet
500 GB
HD11
Unidad de disco
Maria Dolores Lizarzaburu
320 GB
HD12
Unidad de disco
Daniela de la Torre
250 GB
HD13
Unidad de disco
Gabriela Erazo
320 GB
ID
TIPO DE UNIDAD
RESPONSABLE
CAPACIDAD
HD14
Unidad de disco
Daniel Almeida
120 GB
71
HD15
Unidad de disco
Liseth Estevez
500 GB
HD16
Unidad de disco
Francisco Delgado
320 GB
HD17
Unidad de disco
Alejandro Moya
320 GB
HD18
Unidad de disco
Pasante 1
320 GB
HD19
Unidad de disco
Andrea Zumárraga
500 GB
HD20
Unidad de disco
Diana Bolaños
320 GB
HD21
Unidad de disco
Mónica Orozco
320 GB
HD22
Unidad de disco
David Avilés
320 GB
HD23
Unidad de disco
Juan José Herrera
80 GB
HD24
Unidad de disco
Mabel Andrade
320 GB
HD25
Unidad de disco
Julio López
320 GB
HD26
Unidad de disco
Ma. Carmen Pantoja
320 GB
HD27
Unidad de disco
Esteban Tinoco
250 GB
HD28
Unidad de disco
María Paz Jervis
320 GB
HD29
Unidad de disco
Andrea Ordoñez
320 GB
HD30
Unidad de disco
Marcela Morales
320 GB
HD31
Unidad de disco
Julio Echeverría
320 GB
HD32
Unidad de disco
Alicia Arias
320 GB
HD33
Unidad de disco
Josué López
320 GB
HD34
Unidad de disco
Paul Medina
600 GB
HD35
Unidad de disco
Jorge Agama
250 GB
HD36
Unidad de disco
Orazio Bellettini
320 GB
HD37
Unidad de disco
Alexandra Rivadeneira
640 GB
HD38
Unidad de disco
Guillermo Jimbo
640 GB
HD39
Unidad de disco
Iván Borja
250 GB
HD40
Unidad de disco
Paul Salazar
320 GB
ID
TIPO DE UNIDAD
RESPONSABLE
CAPACIDAD
HD41
Unidad de disco
Francisco Enríquez
500 GB
HD42
Unidad de disco
María Gabriela Flores
500 GB
72
HD43
Unidad de disco
Anabel Castillo
320 GB
HD44
Unidad de disco
DELL
60 GB
HD45
Unidad de disco
LIBRE
40 GB
HD46
Unidad de disco
LIBRE -- Mabel Andrade
40 GB
HD47
Unidad de disco
AUDITORIA
80 GB
HD48
Unidad de disco
AUDITORIA
80 GB
HD49
Unidad de disco
LIBRE
80 GB
Tabla 3. 11
Unidades de almacenamiento administradas por el
departamento de TI
3.2.1.9
Sistema de Energía Ininterrumpida
En la Tabla 3.12 se presenta un Dispositivo de Energía Ininterrumpida, que se
encuentran en las máquinas y que son administrados por el departamento de TI.
El Dispositivo de Energía Ininterrumpida UPS, se representa mediante el
identificador ¨ UPS ¨.
ID
Marca
Modelo
UPS1
APC
Smart UPS RT 1500
Tabla 3. 12
UPS administrado por el departamento de TI
3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE
En esta sección se expondrá una lista de los dispositivos de software que se
encuentran instalados en la infraestructura tecnológica de Grupo FARO.
Como elementos de configuración, se considerarán los siguientes:
·
Herramientas ofimáticas.
·
Sistemas Operativos.
·
Sistema BPMS Aura Portal.
73
3.2.2.1
Herramientas Ofimáticas
En la Tabla 3.13 se presenta una lista de las herramientas ofimáticas que son
administradas por el departamento de TI.
Las herramientas operativas, se representan mediante el identificador ¨ SW ¨.
ID SOFTWARE
NOMBRE SOFTWARE
SW1
Winrar
SW2
Adobe Acrobat Reader
SW3
Microsoft office 2010
SW4
Mozilla Firefox
SW5
Internet Explorer
SW6
Chrome
SW7
Nero
SW8
Adobe Creative Suite
SW9
Antivirus
SW10
Google Apps
SW11
VNC – Virtual Network computing
SW12
Sistema Contable Dbsys
Tabla 3. 13
Herramientas ofimáticas administradas por el Departamento de
TI.
En la Tabla 3.14, se presentan un extracto de las herramientas ofimáticas
especificadas anteriormente y su frecuencia de uso. Las especificaciones para
cada usuario y el formato de la encuesta, se lo puede encontrar en el Anexo 1:
GF-Formato Encuesta ON-LINE.
La tabulación se encuentra en: Anexo 8: GF-Tabulación encuestas ON-LINE.
74
Usuario
Jazmín
Armas
Tabla 3. 14
ID
Software
Uso
SW1
Winrar
Rara vez
SW2
Microsoft Office 2010
Frecuente
SW3
Mozilla Firefox
Ocasional
SW4
Internet Explorer
Ocasional
SW5
Chrome
Frecuente
SW8
Antivirus
Rara vez
SW9
Gmail
Frecuente
Frecuencia de uso de las herramientas ofimáticas administradas
por el departamento de TI.
3.2.2.2
BPMS Aura Portal
¨Aura Portal es un software empresarial diseñado de origen 100% Internet y
constituido por una ‘suite’ (BPMS) o conjunto que contiene 6 productos.¨ 39
En la Tabla 3.15 se presentan un resumen de las características de la Suite de
Gestión de Procesos Administrativos que se desea implementar en Grupo FARO.
Bussiness Process Management Suit, se representa mediante el identificador
¨BPMS ¨.
Tabla 3. 15
3.2.2.3
ID
NOMBRE SOFTWARE
BPMS1
Aura Portal BPM Suite
Herramientas de BMP administradas por el departamento de TI
Sistemas Operativos
La lista de sistemas Operativos administrados por el departamento de TI se
presenta en la Tabla 3.16.
39
http://www.auraportal.com/ES/ES0-PRODUCTS-BPM-CRM.aspx
75
El Sistema Operativo se representa mediante el identificador ¨SO ¨.
ID
Tabla 3. 16
3.3
NOMBRE SOFTWARE
SO1
Windows XP Professional SP3
SO2
Windows 7 Professional edition
SO3
Windows Server 2008 R2
SO4
Ubuntu versión 10.4
Sistemas Operativos administrados por el departamento de TI
DETERMINACIÓN
DE
REQUERIMIENTOS
DE
DISPONIBILIDAD
3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO
Se trata de identificar los diversos eventos que pudieran afectar la continuidad de
sistemas críticos de la información, para ello se realizaron encuestas y entrevistas
al diferente personal que trabaja en Grupo FARO.
El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta
Funciones e Impactos financiero y operacional.
3.3.1.1
Identificar las Funciones y Procesos Críticos de la Organización.
En la Tabla 3.17, se representan las Funciones del negocio40 y Procesos del
negocio41, de las Áreas administrativas de Grupo FARO.
40Un equipo o grupo de personas y las herramientas que usan para llevar a cabo uno o más Procesos o Actividades
ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)
41Un Proceso que le pertenece y que lo conduce el Negocio. Un Proceso de Negocio contribuye a la entrega de un
producto o Servicio para un Cliente del Negocio.
ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)
76
FUNCIÓN DEL NEGOCIO
PROCESO DEL NEGOCIO
Dirección ejecutiva
Colaboración en el proceso de selección de personal
Levantamiento de fondos
Generación de actas de reuniones
Auxiliar Contable
Revisión de cuentas
Revisión, orden y clasificación de archivos
Conciliaciones Bancarias
Cuadrar Proyectos
Secuencia de retenciones
Asistente Financiera - Contable
Registro de Facturas
Emisión de cheques
Carga de transferencias
Registro de rembolso de gastos
Asistente Contable
Revisión de cuentas
Revisión de documentación física
Realización de conciliaciones bancarias
Revisión del centro de costos
Preparación de carpetas para auditorias
Analista de Reportes
Control Presupuestario
Cronograma de Informes Financieros
Informes al donante
Revisión de documentación - respaldo
Revisión y preparación de presupuestos
Coordinadora
Financiera
Contable
-
Supervisar y Coordinar la ejecución de procesos contables
Obtener y revisar informes financieros
Declaración de Impuestos y similares
Revisión, ejecución mensual del presupuesto institucional
Revisión de informes de donantes
Área de Investigación
Revisión de documentos académicos para investigaciones
internas
Organización de temas relacionados con eventos
colaboración
Investigación
con
tareas
administrativas
del
Área
de
77
FUNCIÓN DEL NEGOCIO
Área
de
Comunicación
PROCESO DEL NEGOCIO
e
Incidencia Política
Supervisar editorial y publicaciones de GRUPO FARO
Supervisar estándares de calidad de los eventos de GRUPO
FARO
Desarrollo de reuniones estratégicas para el área de
Comunicación
Monitoreo de medios
Relación con públicos externos de comunicación
Revisión
y
actualización
de
inventario
de
Área
de
Comunicación
elaboración y actualización de Bases de Datos de contactos
Personal de apoyo operativo
Verificar estado tributario de las facturas
(recepción y mensajería)
Recibir y entregar facturas a sus responsables
Elaborar solicitudes de pago correspondientes al presupuesto
institucional
Elaborar adquisiciones de bienes y/o contrataciones de
servicios
Mantener actualizado el inventario de suministros
Entregar y retirar documentación
Realizar el mantenimiento y apoyar con la limpieza de oficinas
Efectuar cobros y pagos
Realizar trámites en instituciones financieras
Tabla 3. 17
Funciones y procesos de la organización
3.3.1.2
Evaluar el impacto Financiero – Operacional
3.3.1.2.1
Evaluación del impacto financiero
Como se mencionó en el capítulo anterior, el impacto financiero se evaluará
cuantitativamente considerando los siguientes valores:
78
Impacto
Ponderación
No produce impacto
1
Bajo impacto
2
Impacto medio
3
Alto Impacto
4
Tabla 3. 18
Ponderación Impacto Financiero
En la Tabla 3.19 se muestra la información del impacto financiero de todas las
áreas del negocio.
El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta
Funciones e Impactos financiero y operacional.
IMPACTO
FUNCIÓN
PROCESO
Dirección ejecutiva
Auxiliar Contable
Asistente
Financiera
-
Contable
Asistente Contable
Analista
Reportes
de
FINANCIERO
Colaboración en el proceso de selección de personal
3
Levantamiento de fondos
4
Generación de actas de reuniones
1
Revisión de cuentas
4
Revisión, orden y clasificación de archivos
4
Conciliaciones Bancarias
4
Cuadrar Proyectos
4
Secuencia de retenciones
4
Registro de Facturas
4
Emisión de cheques
4
Carga de transferencias
3
Registro de rembolso de gastos
4
Depósitos, Débitos e ingresos
4
Revisión de cuentas
4
Revisión de documentación física
4
Realización de conciliaciones bancarias
4
Revisión del centro de costos
4
Preparación de carpetas para auditorias
4
Control Presupuestario
4
Cronograma de Informes Financieros
3
Informes al donante
4
Revisión de documentación - respaldo
2
Revisión y preparación de presupuestos
4
79
IMPACTO
PROCESO
FINANCIERO
Supervisar y Coordinar la ejecución de procesos
4
FUNCIÓN
Coordinadora
Financiera
-
Contable
contables
Obtener y revisar informes financieros
4
Declaración de Impuestos y similares
4
Revisión,
ejecución
mensual
del
presupuesto
3
institucional
Revisión de informes de donantes
Área
de
Investigación
Revisión
de
documentos
3
académicos
para
3
investigaciones internas
Organización de temas relacionados con eventos
3
colaboración con tareas administrativas del Área de
2
Investigación
Área
de
Comunicación
e
Incidencia Política
Supervisar editorial y publicaciones de GRUPO FARO
3
Supervisar estándares de calidad de los eventos de
4
GRUPO FARO
Desarrollo de reuniones estratégicas para el área de
4
Comunicación
Monitoreo de medios
4
Relación con públicos externos de comunicación
3
Revisión y actualización de inventario de Área de
1
Comunicación
elaboración y actualización de Bases de Datos de
1
contactos
Personal de apoyo
Verificar estado tributario de las facturas
3
operativo
Recibir y entregar facturas a sus responsables
3
Elaborar solicitudes de pago correspondientes al
2
(recepción
mensajería)
y
presupuesto institucional
Elaborar adquisiciones de bienes y/o contrataciones
3
de servicios
Mantener actualizado el inventario de suministros
1
Entregar y retirar documentación
4
Realizar el mantenimiento y apoyar con la limpieza de
1
oficinas
Efectuar cobros y pagos
3
Realizar trámites en instituciones financieras
3
80
IMPACTO
FUNCIÓN
FINANCIERO
PROCESO
Administración de
Administración de usuarios
1
TI
Mantenimiento preventivo y correctivo de Servidores.
3
Administración de periféricos
1
Administración de licencias del software del servidor y
2
periféricos
Soporte técnico in situm y remoto.
1
Monitorear el rendimiento del sistema.
1
Mantenimiento del sistema de archivos del servidor
1
central.
Instalación de software y sus actualizaciones.
2
Creación y ejecución de copias de seguridad y
1
recuperación.
Tabla 3. 19
3.3.1.2.2
Evaluación del Impacto Financiero
Evaluación del impacto estratégico
Para la evaluación del impacto estratégico se tomarán en cuenta los siguientes
factores.
·
Falta de confiabilidad operacional.
·
Satisfacción al usuario.
·
Eficacia en el servicio.
En la siguiente tabla, se muestran los valores a ser tomados para dicha
evaluación.
Impacto
Ponderación
No produce impacto
Ninguno – 1
Bajo impacto
Bajo – 2
Impacto medio
Medio – 3
Alto Impacto
Alto - 4
Tabla 3. 20
Ponderación del Impacto estratégico
En la Tabla 3.21 Se muestra el impacto estratégico de cada proceso en Grupo
FARO.
El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta
Funciones e Impactos financiero y operacional.
81
FUNCIÓN
Clasificación del impacto estratégico
PROCESO
Falta de
Satisfacció
Eficaci
confiabilida
n a los
a del
d
usuarios
servici
operacional
Dirección
Colaboración en el proceso de selección de
ejecutiva
personal
o
3
4
4
Levantamiento de fondos
4
4
4
Generación de actas de reuniones
2
2
2
Auxiliar
Revisión de cuentas
4
4
4
Contable
Revisión, orden y clasificación de archivos
4
3
4
Conciliaciones Bancarias
3
4
4
Cuadrar Proyectos
3
3
4
Secuencia de retenciones
3
3
4
Registro de Facturas
4
4
4
Emisión de cheques
4
4
4
Carga de transferencias
2
2
3
Registro de rembolso de gastos
4
4
4
Depósitos, Débitos e ingresos
4
4
4
Asistente
Revisión de cuentas
4
4
4
Contable
Revisión de documentación física
4
3
4
Realización de conciliaciones bancarias
4
4
4
Revisión del centro de costos
4
4
4
Preparación de carpetas para auditorias
4
4
4
Control Presupuestario
4
4
4
Cronograma de Informes Financieros
3
3
4
Informes al donante
4
4
4
Revisión de documentación - respaldo
4
4
4
Revisión y preparación de presupuestos
4
4
4
4
4
4
Obtener y revisar informes financieros
4
3
3
Declaración de Impuestos y similares
4
4
4
Revisión, ejecución mensual del presupuesto
3
3
3
Revisión de informes de donantes
3
3
3
Revisión de documentos académicos para
4
4
4
4
4
4
4
4
4
Asistente
Financiera
-
Contable
Analista
de
Reportes
Coordinadora
Financiera
Supervisar
-
Contable
y
Coordinar
la
ejecución
de
procesos contables
institucional
Área
de
Investigación
investigaciones internas
Organización
de
temas
relacionados
con
eventos
Colaboración con Área de Investigación
82
FUNCIÓN
Clasificación del impacto estratégico
PROCESO
Falta de
Satisfacció
Eficaci
confiabilida
n a los
a del
d
usuarios
servici
operacional
Supervisar estándares de calidad de los
o
4
4
4
3
3
3
3
4
4
de
3
3
3
Revisión y actualización de inventario de Área
3
4
4
Elaboración y actualización de Bases de Datos
3
4
4
Verificar estado tributario de las facturas
2
3
3
apoyo
Recibir y entregar facturas a sus responsables
2
3
3
operativo
Elaborar solicitudes de pago correspondientes
2
3
3
2
3
3
1
2
2
Entregar y retirar documentación
3
3
3
Realizar el mantenimiento y apoyar con la
2
2
2
Efectuar cobros y pagos
2
3
3
Realizar trámites en instituciones financieras
2
3
3
Administració
Administración de usuarios
2
2
3
n de TI
Mantenimiento
4
3
4
Administración de periféricos
2
2
3
Administración de licencias del software del
4
4
4
Soporte técnico in situm y remoto.
3
3
4
Monitorear el rendimiento del sistema.
2
2
2
Mantenimiento del sistema de archivos del
2
3
2
Instalación de software y sus actualizaciones.
2
2
3
Creación y ejecución de copias de seguridad y
2
2
3
eventos de GRUPO FARO
Desarrollo de reuniones estratégicas para el
área de Comunicación
Monitoreo de medios
Relación
con
públicos
externos
comunicación
de Comunicación
Personal
(recepción
de
y
mensajería)
al presupuesto institucional
Elaborar adquisiciones de bienes
Mantener
actualizado
el
inventario
de
suministros
limpieza de oficinas
preventivo
y
correctivo
de
Servidores.
servidor y periféricos
servidor central.
recuperación.
Tabla 3. 21
Evaluación del impacto estratégico
83
3.3.1.3
Identificación de procesos fundamentales de la organización.
Los resultados mostrados en la Tabla 3.19 y la Tabla 3.21 obtenidos del Impacto
Financiero y el Impacto estratégico, permiten identificar los procesos críticos para
la organización.
En la Tabla 3.22 se muestra la suma de los resultados de Impacto Financiero e
Impacto estratégico, para obtener un criterio de los procesos fundamentales los
cuales deberán cumplir los siguientes criterios:
•
En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3,
(impacto alto).
•
Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto
medio), ó 4 (impacto alto).
4
Secuencia de retenciones
Reportes
Analista
de
Asistente Contable
Contable
4
4
Revisión del centro de costos
Preparación de carpetas para auditorias
3
4
2
Cronograma de Informes Financieros
Informes al donante
Revisión de documentación - respaldo
4
4
Realización de conciliaciones bancarias
Control Presupuestario
4
Revisión de documentación física
4
Depósitos, Débitos e ingresos
4
4
Registro de rembolso de gastos
Revisión de cuentas
3
4
Carga de transferencias
Emisión de cheques
-
4
Cuadrar Proyectos
Financiera
4
Conciliaciones Bancarias
4
4
Revisión, orden y clasificación de archivos
Registro de Facturas
4
1
Generación de actas de reuniones
Revisión de cuentas
4
Levantamiento de fondos
operacional
FINANCIERO
4
4
3
4
4
4
4
4
4
4
4
2
4
4
3
3
3
4
4
2
4
3
confiabilidad
Falta de
IMPACTO
3
PROCESO
Colaboración en el proceso de selección de personal
Asistente
Auxiliar Contable
Dirección ejecutiva
.FUNCIÓN
4
4
3
4
4
4
4
3
4
4
4
2
4
4
3
3
4
3
4
2
4
4
usuarios
n a los
Satisfacció
IMPACTO ESTRATÉGICO
4
4
4
4
4
4
4
4
4
4
4
3
4
4
4
4
4
4
4
2
4
4
servicio
del
Eficacia
14
16
13
16
16
16
16
15
16
16
16
10
16
16
14
14
15
15
16
7
16
14
SUMA
84
e
de
de
Incidencia Política
Comunicación
Área
Investigación
Área
.FUNCIÓN
3
3
Revisión, ejecución mensual del presupuesto institucional
Revisión de informes de donantes
de
1
4
elaboración y actualización de Bases de Datos de contactos
de
1
área
Revisión y actualización de inventario de Área de Comunicación
el
3
para
Relación con públicos externos de comunicación
estratégicas
4
reuniones
4
Monitoreo de medios
Comunicación
Desarrollo
FARO
Supervisar estándares de calidad de los eventos de GRUPO
3
2
colaboración con tareas administrativas del Área de Investigación
Supervisar editorial y publicaciones de GRUPO FARO
3
Organización de temas relacionados con eventos
internas
3
4
Declaración de Impuestos y similares
Revisión de documentos académicos para investigaciones
4
FINANCIERO
IMPACTO
4
Obtener y revisar informes financieros
PROCESO
Revisión y preparación de presupuestos
usuarios
operacional
3
3
3
3
3
4
4
4
4
4
3
3
4
4
4
3
4
3
4
4
4
4
4
3
3
4
3
n a los
4
Satisfacció
Falta de
SUMA
4
confiabilidad
ESTRATÉGICO
IMPACTO
4
4
4
3
4
3
4
4
4
4
4
3
3
4
3
servicio
del
Eficacia
4
12
12
12
15
13
16
15
14
15
15
12
12
16
14
16
85
TI
Administración
.FUNCIÓN
de
2
Elaborar solicitudes de pago correspondientes al presupuesto
4
1
3
3
Entregar y retirar documentación
Realizar el mantenimiento y apoyar con la limpieza de oficinas
Efectuar cobros y pagos
Realizar trámites en instituciones financieras
2
1
1
1
2
1
Administración de licencias del software del servidor y periféricos
Soporte técnico in situm y remoto.
Monitorear el rendimiento del sistema.
Mantenimiento del sistema de archivos del servidor central.
Instalación de software y sus actualizaciones.
Creación y ejecución de copias de seguridad y recuperación.
operacional
2
2
2
2
3
4
2
4
2
2
2
2
3
1
2
2
2
2
3
2
3
4
2
3
2
3
3
2
3
2
3
3
3
n a los
usuarios
confiabilidad
2
Satisfacció
IMPACTO ESTRATÉGICO
Falta de
Impactos Financiero y Estratégico.
1
Administración de periféricos
Tabla 3. 22
3
Mantenimiento preventivo y correctivo de Servidores.
1
1
Mantener actualizado el inventario de suministros
Administración de usuarios
3
Elaborar adquisiciones de bienes y/o contrataciones de servicios
institucional
3
FINANCIERO
IMPACTO
Recibir y entregar facturas a sus responsables
PROCESO
3
3
2
2
4
4
3
4
3
3
3
2
3
2
3
3
3
servicio
del
Eficacia
8
9
8
7
11
14
8
14
8
11
11
7
13
6
11
10
11
SUMA
86
87
Con los valores obtenidos en la Tabla 3.22, tenemos un criterio más claro de los
procesos críticos y no críticos para el negocio. Por ejemplo el proceso de
Recepción de Facturas posee un valor de 10, el cual en el Área de Recepción se
coloca en el lugar más alto, consecuentemente se lo considera el proceso más
crítico de esta Área, todo lo contrario con el proceso de Recepción de
correspondencia el cual posee un valor de 6 y es el proceso menos crítico.
3.3.1.4
Identificación de Servicios de TI, por procesos del negocio.
En la Tabla 3.23 se especifican las aplicaciones que requieren de tecnología y los
recursos de TI utilizados por las mismas.
FUNCIONES
PROCESOS
SERVICIOS DE TI
Dirección
Colaboración en el proceso de selección
Word
ejecutiva
de personal
Excel
Correo
Electrónico
y
mensajería
Impresora
Levantamiento de fondos
Excel
Aplicación WEB Give and
Gain
Generación de actas de reuniones
Word
Impresora
Auxiliar
Revisión de cuentas
Contable
Excel
Correo
Electrónico
y
mensajería
Impresora
Sistema Contable Dbsys
Revisión, orden y clasificación de archivos
Excel
Impresora
Copiadora
Sistema Contable Dbsys
Conciliaciones Bancarias
Excel
Carpetas Compartidas Red
FARO
Excel
Correo
Electrónico
y
88
mensajería
Google
Apps
(Gdocs,
Gcalendar)
Impresora
Copiadora
Fax - Escáner
Sistema Contable Dbsys
Internet Inalámbrico
Software SRI
Adobe Acrobat Reader
Tabla 3. 23
3.3.1.5
Procesos del negocio y servicios de TI utilizados
Identificación de tiempos máximos de caída (MTD).
Una vez identificados los procesos críticos, procederemos a realizar la
identificación de lo MTDs, el cual es el tiempo máximo sin servicio que una
organización puede soportar y seguir cumpliendo con sus objetivos de negocio.
La Tabla 3.25, representa una estimación de los MTDs, en función de la suma
total de puntos de los impactos financiero y operacional.
Destacando que, entre mayor sea la suma de los puntos del Impacto financiero y
Operacional, el MTD, debe ser menor, debido a que se trata de un proceso crítico
y Tiempo Máximo de Caída debe ser corto.
MTD
Escala de
equivalencia
De 1 a 4 horas
A
De 5 a 8 horas
B
De 9 a 12 horas
C
De 13 a 24 horas
D
De 25 a 48 horas (Dos días)
E
De Dos a Tres días
F
De Tres días a 7 días
G
Tabla 3. 24
Escala MTD y equivalencia
89
Suma impacto financiero más impacto
Escala de equivalencia
estratégico
16
A
15
A
14
A
13
B
12
B
11
B
10
C
9
D
8
E
7
F
6
G
Tabla 3. 25
Suma de Impactos y escala de equivalencia MTD
En la Tabla 3.26 representaremos los tiempos máximos de caída por cada
proceso de la organización.
FUNCIÓN
PROCESO
SUMA
MTD
Dirección
Colaboración en el proceso de selección de personal
14
A
ejecutiva
Levantamiento de fondos
16
A
Generación de actas de reuniones
7
F
Auxiliar
Revisión de cuentas
16
A
Contable
Revisión, orden y clasificación de archivos
15
A
Conciliaciones Bancarias
15
A
Cuadrar Proyectos
14
A
Secuencia de retenciones
14
A
Registro de Facturas
16
A
Emisión de cheques
16
A
Carga de transferencias
10
C
Registro de rembolso de gastos
16
A
Depósitos, débitos e ingresos
16
A
Asistente
Revisión de cuentas
16
A
Contable
Revisión de documentación física
15
A
Realización de conciliaciones bancarias
16
A
Revisión del centro de costos
16
A
Preparación de carpetas para auditorias
16
A
Asistente
Financiera
Contable
-
90
FUNCIÓN
Analista
PROCESO
de
SUMA
MTD
Control Presupuestario
16
A
Cronograma de Informes Financieros
13
B
Informes al donante
16
A
Revisión de documentación - respaldo
14
A
Revisión y preparación de presupuestos
16
A
16
A
Obtener y revisar informes financieros
14
A
Declaración de Impuestos y similares
16
A
Revisión, ejecución mensual del presupuesto institucional
12
B
Revisión de informes de donantes
12
B
15
A
Organización de temas relacionados con eventos
15
A
Colaboración con tareas administrativas del Área de
14
B
Supervisar editorial y publicaciones de GRUPO FARO
15
A
Comunicación
Supervisar estándares de calidad de los eventos de
16
A
e
GRUPO FARO
13
B
Monitoreo de medios
12
B
Relación con públicos externos de comunicación
15
A
Revisión y actualización de inventario de Área de
12
B
Elaboración y actualización de Bases de Datos
12
B
Verificar estado tributario de las facturas
11
B
apoyo
Recibir y entregar facturas a sus responsables
11
B
operativo
Elaborar
10
C
Elaborar adquisiciones de bienes
11
B
Mantener actualizado el inventario de suministros
6
G
Entregar y retirar documentación
13
B
Realizar el mantenimiento y apoyar con la limpieza de
7
F
Efectuar cobros y pagos
11
B
Realizar trámites en instituciones financieras
11
B
Reportes
Coordinadora
Supervisar
Financiera
-
Contable
Área
de
Investigación
y
Coordinar
la
ejecución
de
procesos
contables
Revisión
de
documentos
académicos
para
investigaciones internas
Investigación
Área
de
Incidencia
Política
Desarrollo de reuniones estratégicas para el área de
Comunicación
Comunicación
Personal
(recepción
mensajería)
de
y
solicitudes
de
pago
correspondientes
al
presupuesto institucional
oficinas
91
FUNCIÓN
PROCESO
SUMA
MTD
Administració
Administración de usuarios
8
E
n de TI
Mantenimiento preventivo y correctivo de Servidores.
14
A
Administración de periféricos
8
E
Administración de licencias del software del servidor y
14
A
Soporte técnico in situm y remoto.
11
B
Monitorear el rendimiento del sistema.
7
F
Mantenimiento del sistema de archivos del servidor
8
E
9
D
8
E
periféricos
central.
Instalación de software y sus actualizaciones.
Creación
y
ejecución
de
copias
de
seguridad
y
recuperación.
Tabla 3. 26
Definición de MTDs
El proceso de Recepción de Facturas se ha definido un MTD de A, lo cual quiere
decir que el proceso no puede sobrepasar su inactividad más de 3 horas, ya que
esto representaría para la organización la pérdida de trabajo y acumulación de
tareas para sus empleados.
El proceso de Recepción de correspondencia, se ha definido un MTD de E, lo
cual quiere decir que el proceso requiere atención por lo menos en 72 horas.
3.3.1.6
Identificación del Tiempo objetivo de recuperación RTO.
A continuación se realizará la determinación del RTO (tiempo máximo permitido
para la recuperación de un Servicio de TI tras una interrupción)42.
En base al RTO, se pueden tener criterios de periodicidad de back-ups, además
de infraestructura requerida para la re-inicialización de las operaciones.
La Tabla 3.27, representa la escala de tiempos determinados para la recuperación
de un Servicio de TI que ha quedado fuera de operación.
42
ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)
92
RTO
Escala de equivalencia
De 1 a 3 horas
A
De 3 a 8 horas
B
De 8 a 24 horas
C
De 24 a 48 horas (Dos días)
D
De 48 a 72 horas (Tres días)
E
Tabla 3. 27
Escala de equivalencia RTO
El RTO, se realizará en primer lugar en los servicios que tienen prioridad, como la
recuperación de actividades en infraestructura de TI.
En la Tabla 3.28 se presenta el RTO en actividades de recuperación de Servicios
de TI.
SERVICIO DE TI
RTO
Recuperación servicio Active Directory
6 horas
Recuperación servicio Internet
2 horas
Recuperación correos electrónicos
1 hora
Recuperación BPMs Aura Portal
Externamente 3 horas
Antivirus
1 hora
Recuperación servicio Software Contable DBSYS
2 horas
Recuperación de red interna
2 horas
Recuperación Servidor de Archivos
3 horas
Tabla 3. 28
3.3.1.7
RTO en actividades de recuperación de Servicios de TI
Identificación del tiempo de recuperación de trabajo (WRT).
El WRT (Work Recovery Time) es el tiempo que transcurre desde que se recobra
el servicio, hasta que se han recuperado todos los archivos que han sido
perdidos, por lo que, éste será aplicado solamente a las aplicaciones que
almacenen datos.
Es muy importante que la suma de los tiempos del RTO y WRT serán iguales o
menores que el MTD, jamás pueden ser mayores.
93
En la Tabla 3.29, se muestran los tres tiempos MTD, RTO y WRT para las
aplicaciones críticas de TI.
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Dirección
Colaboració
1-4 horas
Word
1 hora
30 minutos
ejecutiva
n
Excel
1 hora
30 minutos
1 hora
30 minutos
en
el
proceso de
Correo
selección de
mensajería
personal
Impresora
30 minutos
-
Excel
1 hora
30 minutos
1 hora
-
Word
1 hora
30 minutos
Impresora
30 minutos
-
Levantamie
nto
1-4 horas
de
Electrónico
Aplicación
fondos
WEB
y
Give
and Gain
Generación
2-3 días
de actas de
reuniones
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Auxiliar
Revisión de
1-4 horas
Excel
1 hora
30 minutos
Contable
cuentas
1 hora
30 minutos
Impresora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Excel
1 hora
0
y
Impresora
30 minutos
0
clasificación
Copiadora
30 minutos
-
de archivos
Sistema Contable Dbsys
1 hora y 30
0
Excel
1 hora
0
30 minutos
-
y
1 hora
30 minutos
Google Apps (Gdocs,
1 hora
-
Impresora
30 minutos
-
Copiadora
30 minutos
-
Fax - Escáner
30 minutos
0
Sistema Contable Dbsys
1 hora y 30
1 hora
Internet Inalámbrico
1 hora y 30
-
Software SRI
1 hora
0
Correo
Electrónico
y
mensajería
Revisión,
orden
1-4 horas
Conciliacion
1-4 horas
es
Carpetas
Bancarias
Red FARO
Correo
Compartidas
Electrónico
mensajería
Gcalendar)
94
Cuadrar
1-4 horas
Proyectos
Adobe Acrobat Reader
30 minutos
0
Excel
1 hora
30 minutos
1 hora
30 minutos
Impresora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Excel
1 hora
30 minutos
1 hora
30 minutos
Impresora
30 minutos
-
Software SRI
1 hora
1 hora
Correo
Electrónico
y
mensajería
Secuencia
1-4 horas
de
Correo
retenciones
mensajería
Electrónico
y
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Asistente
Registro de
1-4 horas
Carpetas
30 minutos
-
1 hora
-
Impresora
30 minutos
-
Copiadora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
1 hora
30 minutos
30 minutos
-
1 hora
30 minutos
Impresora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
De 1 a 4
Excel
1 hora
30 minutos
horas
Correo
y
1 hora
30 minutos
Google Apps (Gdocs,
1 hora
-
Impresora
30 minutos
-
Copiadora
30 minutos
-
1 hora
30 minutos
y
1 hora
30 minutos
Google Apps (Gdocs,
1 hora
-
Financiera
-
Facturas
Compartidas
Red FARO
Contable
Google Apps (Gdocs,
Gcalendar)
Emisión de
De 1 a 4
Excel
cheques
horas
Carpetas
Compartidas
Red FARO
Correo
Electrónico
y
mensajería
Carga
de
transferenci
as
Electrónico
mensajería
Gcalendar)
Registro de
De 1 a 4
Excel
reembolso
horas
Correo
de gastos
Electrónico
mensajería
Gcalendar)
95
Depósitos,
Débitos
e
Impresora
30 minutos
-
Copiadora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
De 1 a 4
Correo
y
1 hora
30 minutos
horas
mensajería
Google Apps (Gdocs,
1 hora
-
Impresora
30 minutos
-
Copiadora
30 minutos
-
ingresos
Electrónico
Gcalendar)
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Asistente
Revisión de
De 1 a 4
Excel
1 hora
30 minutos
Contable
cuentas
horas
Correo
1 hora
30 minutos
Sistema Contable Dbsys
1 hora y 30
1 hora
1 hora
30 minutos
30 minutos
-
1 hora
30 minutos
Impresora
30 minutos
-
Copiadora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
1 hora
30 minutos
30 minutos
-
1 hora
30 minutos
Impresora
30 minutos
-
Copiadora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
1 hora
30 minutos
30 minutos
-
1 hora
30 minutos
Impresora
30 minutos
-
Copiadora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Electrónico
y
mensajería
Revisión de
De 1 a 4
Excel
documentac
horas
Carpetas
ión física
Compartidas
Red FARO
Correo
Electrónico
y
mensajería
Realización
De 1 a 4
Excel
de
horas
Carpetas
Compartidas
conciliacion
Red FARO
es
Correo
bancarias
mensajería
Revisión del
De 1 a 4
Excel
centro
horas
Carpetas
costos
de
Electrónico
y
Compartidas
Red FARO
Correo
Electrónico
y
mensajería
96
Preparación
De 1 a 4
Excel
de carpetas
horas
Carpetas
1 hora
30 minutos
30 minutos
-
1 hora
30 minutos
Impresora
30 minutos
-
Copiadora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Compartidas
para
Red FARO
auditorias
Correo
Electrónico
y
mensajería
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Analista
Control
De 1 a 4
Excel
1 hora
30 minutos
Presupuesta
horas
Correo
1 hora
30 minutos
Impresora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Internet Inalámbrico
1 hora y 30
-
Reportes
de
rio
Electrónico
y
mensajería
Cronograma
De 5 a 8
Word
1 hora
30 minutos
de Informes
horas
Excel
1 hora
30 minutos
1 hora
30 minutos
Sistema Contable Dbsys
1 hora y 30
1 hora
Internet Inalámbrico
1 hora y 30
-
Financieros
Correo
Electrónico
y
mensajería
Informes al
De 1 a 4
Word
1 hora
30 minutos
donante
horas
Excel
1 hora
30 minutos
1 hora
30 minutos
Impresora
30 minutos
-
Copiadora
30 minutos
-
Fax - Escáner
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Internet Inalámbrico
1 hora y 30
-
Adobe Acrobat Reader
30 minutos
-
Correo
Electrónico
y
mensajería
Revisión de
De 1 a 4
Copiadora
30 minutos
-
documentac
horas
Fax - Escáner
30 minutos
-
De 1 a 4
Excel
1 hora
30 minutos
horas
Correo
1 hora
30 minutos
ión
-
respaldo
Revisión
y
preparación
de
Electrónico
mensajería
y
97
presupuesto
Impresora
30 minutos
-
s
Copiadora
30 minutos
-
Fax - Escáner
30 minutos
-
Internet Inalámbrico
1 hora y 30
-
Adobe Acrobat Reader
30 minutos
-
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Coordinador
Supervisar y
De 1 a 4
Word
1 hora
30 minutos
a Financiera -
Coordinar la
horas
Excel
1 hora
30 minutos
Contable
ejecución
Carpetas
30 minutos
-
de procesos
Red FARO
contables
Correo
y
1 hora
30 minutos
Google Apps (Gdocs,
1 hora
-
Impresora
30 minutos
-
Copiadora
30 minutos
-
Fax - Escáner
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Internet Inalámbrico
1 hora y 30
-
Software SRI
1 hora
1 hora
Adobe Acrobat Reader
30 minutos
-
De 1 a 4
Excel
1 hora
30 minutos
horas
Carpetas
Compartidas
30 minutos
-
informes
Red FARO
financieros
Sistema Contable Dbsys
1 hora y 30
1 hora
Compartidas
Electrónico
mensajería
Gcalendar)
Obtener
y
revisar
Declaración
De 1 a 4
Excel
1 hora
30 minutos
de
horas
Impresora
30 minutos
-
Impuestos y
Sistema Contable Dbsys
1 hora y 30
1 hora
similares
Software SRI
1 hora
1 hora
Anexo Transaccional
30 minutos
30 minutos
1 hora
30 minutos
30 minutos
-
1 hora
30 minutos
Sistema Contable Dbsys
1 hora y 30
1 hora
1 hora
30 minutos
1 hora
30 minutos
Revisión,
De 5 a 8
Excel
ejecución
horas
Carpetas
Compartidas
mensual del
Red FARO
presupuesto
Correo
institucional
mensajería
Revisión de
De 5 a 8
Excel
informes de
horas
Correo
Electrónico
Electrónico
y
y
98
donantes
mensajería
Google Apps (Gdocs,
1 hora
-
Impresora
30 minutos
-
Sistema Contable Dbsys
1 hora y 30
1 hora
Internet Inalámbrico
1 hora y 30
-
Gcalendar)
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Área
de
Revisión de
De 1 a 4
Word
1 hora
30 minutos
Investigación
documentos
horas
Correo
1 hora
30 minutos
Electrónico
y
académicos
mensajería
para
Impresora
30 minutos
-
investigacio
Internet Inalámbrico
1 hora y 30
-
nes internas
Adobe Acrobat Reader
30 minutos
-
Organizació
De 1 a 4
Word
1 hora
30 minutos
n de temas
horas
Excel
1 hora
30 minutos
1 hora
30 minutos
Impresora
30 minutos
-
Copiadora
30 minutos
-
Fax - Escáner
30 minutos
-
Internet Inalámbrico
1 hora y 30
-
1 hora
30 minutos
1 hora
30 minutos
relacionado
Correo
s
mensajería
con
eventos
Colaboració
De 5 a 8
Excel
n con tareas
horas
Correo
Electrónico
Electrónico
y
y
administrati
mensajería
vas del Área
Impresora
30 minutos
-
de
Copiadora
30 minutos
-
Investigació
Fax - Escáner
30 minutos
-
n
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Área
Supervisar
De 1 a 4
Word
1 hora
30 minutos
horas
Correo
1 hora
30 minutos
de
Comunicació
editorial
n
publicacion
mensajería
Incidencia
es
Impresora
30 minutos
-
Política
GRUPO
Adobe CS5
2 horas
1 hora
e
y
de
Electrónico
y
FARO
Supervisar
De 1 a 4
Word
1 hora
30 minutos
estándares
horas
Excel
1 hora
30 minutos
Power Point
1 hora
30 minutos
1 hora
30 minutos
de
calidad
de
los
Correo
Electrónico
y
99
eventos
de
mensajería
GRUPO
Impresora
30 minutos
-
FARO
Copiadora
30 minutos
-
Fax - Escáner
30 minutos
-
Adobe CS5
2 horas
1 hora
Desarrollo
De 5 a 8
Word
1 hora
30 minutos
de
horas
Excel
1 hora
30 minutos
reuniones
Power Point
1 hora
30 minutos
estratégicas
Carpetas
30 minutos
-
para el área
Red FARO
Compartidas
de
Comunicaci
ón
Revisión
y
actualizació
n
De 5 a 8
Word
1 hora
30 minutos
horas
Excel
1 hora
30 minutos
30 minutos
-
y
1 hora
30 minutos
1 hora
-
de
Carpetas
Compartidas
inventario
Red FARO
de Área de
Correo
Comunicaci
mensajería
ón
Google Apps (Gdocs,
Electrónico
Gcalendar)
Elaboración
De 5 a 8
Word
1 hora
30 minutos
y
horas
Excel
1 hora
30 minutos
1 hora
30 minutos
actualizació
Correo
n de Bases
mensajería
de Datos de
Impresora
30 minutos
-
Electrónico
y
contactos
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Personal
Verificar
De 5 a 8
Internet Inalámbrico
1 hora y 30
-
apoyo
estado
horas
Software SRI
1 hora
1 hora
operativo
tributario de
(recepción y
las facturas
mensajería)
Recibir
De 5 a 8
Word
1 hora
30 minutos
Word
1 hora
30 minutos
de
y
entregar
facturas
horas
a
sus
responsable
s
Elaborar
De 5 a 8
100
adquisicion
horas
Correo
Electrónico
y
1 hora
30 minutos
es de bienes
mensajería
y/o
Impresora
30 minutos
-
contratacion
Internet Inalámbrico
1 hora y 30
-
es
de
servicios
Mantener
De 3 a 7
Excel
1 hora
30 minutos
actualizado
días
Impresora
30 minutos
-
De 5 a 8
Impresora
30 minutos
-
horas
Copiadora
30 minutos
-
Realizar
De 5 a 8
Copiadora
30 minutos
-
trámites en
horas
el inventario
de
suministros
Entregar
y
retirar
documentac
ión
institucione
s
financieras
FUNCIONES
PROCESOS
MTD
SERVICIOS DE TI
RTO
WRT
Administraci
Administrac
De 5 a 8
Word
1 hora
30 minutos
ón de TI
ión
horas
Aura Portal
2 horas
1 hora
Mantenimie
De 1 a 4
Excel
1 hora
30 minutos
nto
horas
Impresora
30 minutos
-
Internet Inalámbrico
1 hora y 30
-
de
usuarios
preventivo y
correctivo
de
Servidores.
Administrac
De 9 a 12
Excel
1 hora
30 minutos
ión
horas
Internet Inalámbrico
1 hora y 30
-
Administrac
De 1 a 4
Internet Inalámbrico
1 hora y 30
-
ión
horas
Correo
1 hora
30 minutos
de
periféricos
de
licencias del
software del
servidor
periféricos
y
Electrónico
mensajería
y
101
Soporte
De 5 a 8
Internet Inalámbrico
1 hora y 30
-
horas
Servidores
2 horas
1 hora
Monitorear
De Dos a
Internet Inalámbrico
1 hora y 30
-
el
Tres días
Servidores
2 horas
1 hora
Mantenimie
De 25 a
Carpetas
30 minutos
-
nto
del
48 horas
Red FARO
sistema
de
y
1 hora
30 minutos
y
1 hora
30 minutos
Internet Inalámbrico
1 hora y 30
-
De 9 a 12
Internet Inalámbrico
1 hora y 30
-
horas
Servidores
2 horas
1 hora
técnico
in
situm
y
remoto.
rendimiento
del sistema.
Correo
archivos del
Compartidas
Electrónico
mensajería
servidor
central.
Instalación
De 13 a
Correo
de software
24 horas
mensajería
y
sus
Electrónico
actualizacio
nes.
Creación
y
ejecución
de
copias
de
seguridad y
recuperació
n.
Tabla 3. 29
3.3.1.8
MTD, RTO y WRT por proceso de Negocio
Análisis del daño a consecuencia de la interrupción de un servicio de TI
En este tema se especifican las consecuencias que se darían a causa de la
interrupción de un servicio o recurso de TI.
En la Tabla 3.30, se muestra el análisis causado por la interrupción de un servicio
de TI.
102
Funciones
Hardware
Proceso
Consecuencia
Impresora
No se pueden obtener impresiones de documentos
importantes como oficios y autorizaciones
Scanner
La
interrupción
digitalización
de
de
este
servicio
documentos
e
impide
la
imágenes
importantes, especialmente para el departamento
administrativo, debido a ello, se retrasan procesos
de envío de información.
Fax
La interrupción de este servicio impide la transmisión
telefónica de material escaneado a otro número
telefónico, usado por todas las áreas de Grupo Faro,
para el envío de documentos específicos que solo se
deben enviar mediante este dispositivo.
Copiadora
La
interrupción
de
este
servicio,
impide
el
fotocopiado de documentos importantes realizados
en el transcurso del día, así como publicaciones,
papers, etc.
Cableado
La interrupción de este servicio, impide el acceso a
Estructurado
todas las aplicaciones y servicios importantes que se
utilizan en Grupo Faro durante la jornada laboral.
Equipos
de
computación
El falla y/o interrupción del hardware de computación
provocan la interrupción de actividades de cualquier
usuario de la organización.
Hardware
de
conectividad
El fallo en este equipo activo de la capa física,
provoca la interrupción inmediata del acceso a las
aplicaciones y servicios usados por el personal de
Grupo FARO.
Acceso remoto
La interrupción de este servicio, impide el acceso
remoto a los equipos disponibles en Grupo FARO, lo
que retrasa el servicio de Soporte Técnico para
incidentes que pueden ser solucionados con mayor
eficiencia.
Software
Disco duro de
El daño o la falta de discos duros de back-up
Back-up
provoca el retraso en la copia de los archivos que se
han especificado para el respaldo.
Microsoft
El daño o falla de este software, provoca un retraso
Office
en la elaboración de documentos de texto, hojas de
cálculo,
presentaciones,
con
todas
las
funcionalidades que nos ofrece la plataforma Office.
103
Correo
EL daño o falla de este servicio no permite a los
electrónico
usuarios el envío y la recepción de correos
electrónicos, tanto internos como externos, por
ejemplo el envío de confirmación de reuniones tanto
internas, como con otras ONGs.
Software
La interrupción de este servicio provoca que todos
contable
los procesos contables no tengan continuidad e
impide al Departamento Administrativo realizar sus
funciones.
Aura Portal
La
interrupción
de
este
servicio
impediría
el
seguimiento por parte de los usuarios de Grupo
FARO
de
los
procesos
que
se
están
por
implementar.
Antivirus
La interrupción en este servicio, incrementa el riesgo
a la infección de virus informáticos, lo que provoca
brechas de inseguridad y lentitud en los equipos de
computación.
Tabla 3. 30
3.3.2
Análisis causado por la interrupción de un Servicio TI.
REQUERIMIENTOS DE DISPONIBILIDAD
A continuación en la Tabla 3.31 se especificarán los servicios que ofrece el
departamento de TI de Grupo FARO, en donde, en primer lugar, se tomarán
parámetros como: horas de servicio, tiempos de recuperación, capacidad para
adaptarse, utilidad, mantenimiento.
Tipo
de
Servicio
Nombre
Disponi
Tiempo de
Tipo de
Utilid
Mantenimie
Responsa
del
bilidad
recuperaci
Soporte
ad
nto
ble
Interno
Media
Semanal
Alejandro
Servicio
Software
Active
ón
24/7
1 hora
Directory
Internet
Velasco
24/7
1 hora
Interno –
Alta
Semanal
Externo
Alejandro
Velasco
Tv Cable
Correo
24/7
30 minutos
electrónic
Interno –
Alta
Semanal
Externo
Alejandro
Velasco
o
Microsoft
24/7
30 minutos
Interno
Alta
Semanal
Alejandro
–
104
Office
Outlook
Velasco
24/7
30 minutos
Interno
Media
Semanal
Alejandro
Velasco
Aura
24/7
2 horas
Portal
Interno –
Media
Semestral
Externo
Alejandro
Velasco
–
Marcelo
Avilés
Antivirus
10/7
30 minutos
Interno
Media
Semestral
Alejandro
Velasco
Software
24/7
20 minutos
Contable
Interno -
Alta
Diario
Externo
Alejandro
Velasco
–
Soporte
Dbware
Hardware
Tipo
de
Servicio
Nombre
Disponi
Tiempo de
Tipo de
Utilid
Mantenimie
Responsa
del
bilidad
recuperaci
Soporte
ad
nto
ble
Interno –
Alta
Semanal
Alejandro
Servicio
Hardware
Impresora
ón
24/7
1 hora
Externo
Velasco
–
Soporte
Ecuaprint
Copiador
24/7
1 hora
a
Interno –
Alta
Semanal
Externo
Alejandro
Velasco
–
Soporte
Ecuaprint
Fax
10/5
1 hora
Interno
Baja
Semanal
Alejandro
Velasco
Soporte
Ecuaprint
Cableado
24/7
2 horas
Interno
Alta
Semanal
Estructura
Alejandro
Velasco
do
Equipos
24/7
3 horas
de
Interno –
Media
Semanal
Externo
Alejandro
Velasco
computaci
ón
Hardware
de
24/7
1 hora
Interno Externo
Alta
Mensual
Alejandro
Velasco
–
105
conectivid
ad
Acceso
24/7
30 minutos
Interno
Media
remoto
Cada
que
vez
se
Alejandro
Velasco
presenta un
incidente
Disco
duro
24/7
30 minutos
Interno
Media
Diario
de
Alejandro
Velasco
Back-up
Tabla 3. 31
Requerimientos de Disponibilidad y recuperación de los
servicios
3.4
DISEÑO DE LA DISPONIBILIDAD
3.4.1
DESCRIPCIÓN DE LA INFRAESTRUCTURA
3.4.1.1
Elementos de la red
Como se describió anteriormente, los componentes que integran la infraestructura
de la red de Grupo FARO son:
Servidores: Se tienen dos servidores mediante los cuales se gestiona:
Servidor 1
Servidor DHCP
Servidor DNS
Servidor Proxy
Servidor de Datos
Servidor 2
Servidor Virtual SQL
Servidor Virtual Active Directory
Servidor Aura Portal
Servidor WEB Cor Social Francisco de Orellana
Servidor WEB Cor Social Ushahidi GPS
106
Clientes: Se refiere a todos los computadores tanto portátiles, de escritorio, MAC,
que son utilizados por los usuarios de la Red de comunicaciones de Grupo FARO.
Impresoras: Equipos usados para la realizar la impresión de documentos, los
cuales han sido descritos anteriormente.
Equipos Activos: Son elementos que se encargan de generar o modificar las
señales en la capa física, entre los cuales, en la red de Grupo FARO se tienen:
Switch: Se utiliza para la conmutación de paquetes, para aumentar la agilidad en
la transferencia de la información.
Modem: Se utiliza un modem, del proveedor TV Cable, mediante el cual se
obtiene el Internet para la organización.
Access Point: Equipo usado para generar la señal inalámbrica, la cual provee de
internet a la gran mayoría de usuarios de la red.
Equipos Pasivos: Son elementos que se encargan de transmitir las señales en la
capa física, como el cableado estructurado.
Sistemas Operativos: Actualmente se trabajan con los siguientes sistemas
operativos en Grupo FARO.
·
Ubuntu 10.8 para el Servidor 1
·
Windows Server 2008 R2, para el Servidor 2
·
Windows XP, para los clientes
·
Windows 7, para los clientes.
Se ha implementado un Servidor Proxy, pero no se han implementado políticas
para la navegación de los usuarios de Grupo FARO.
3.4.1.2
Administración de TI
La organización en la actualidad, únicamente cuenta con herramientas básicas
para la Administración de TI la cual es:
·
MAC Scanner
·
Iptools
·
Nagios
107
Se
recomienda,
implementar
herramientas
más
profesionales
para
la
administración de diferentes necesidades como:
Gestión de Inventario, monitoreo de recursos de servidores
Recomendaciones:
·
OCS Inventory
·
Foglight
·
OTRS
3.4.1.3
Respaldo y Almacenamiento
Al momento en la organización se cuenta con los siguientes elementos de
respaldo y almacenamiento.
3.4.1.3.1 Respaldo
Se posee un arreglo de discos RAID 1 (Redundant Array of Independence Disks),
implementado en el servidor HP ProLiant G6, cada disco con 500 Gb de
capacidad.
3.4.1.3.2 Back-up
Se utiliza las tareas automáticas de Windows, para la realización de las copias de
seguridad de los datos.
Para el almacenamiento físico se lo realiza en un disco duro externo HP, de 1
Terabyte de capacidad.
Las unidades de almacenamiento que se posee en cada equipo de trabajo de la
organización.
3.4.1.4
Impresión y Digitalización
Para la impresión y digitalización se utilizan:
Impresora Ricoh Aficio MP 171
Impresora Ricoh Aficio MPC 400 - Color
Impresora EPSON LX300
108
3.4.1.5
Consideraciones para el Hardware y el Software
3.4.1.5.1 Requerimientos de Hardware
Se tienen especificados tres estándares de consideraciones mínimos de
hardware, para servidores, estaciones de trabajo Desktop, estaciones de trabajo
portátil.
Servidores
Requerimientos mínimos para servidores
Procesador
Intel® Xeon® E5502 (2 núcleos, 1,86 GHz, 4 MB L3, 80W)
Teclado
Teclado HP USB estándar español
Mouse
Ratón óptico USB
Memoria RAM
4 GB
Disco duro
500 GB – Arreglo Discos RAID 1
Tabla 3. 32
Requerimientos mínimos para servidores
Estación de trabajo Desktop
Requerimientos mínimos para estación de trabajo Desktop
Procesador
Intel® Core™ i3-3240 Processor (3M Cache, 3.40 GHz)43
Teclado
Teclado USB español estándar
Mouse
Ratón óptico USB
Memoria RAM
4 GB- DDR3 SDRAM
Disco duro
350 GB – Serial ATA 5400 RPM
Monitor
Monitor LCD de 19 pulgadas
Tabla 3. 33
Requerimientos mínimos para estación de trabajo Desktop
Estación de trabajo Laptop
Requerimientos mínimos para estación de trabajo Laptop
Procesador
Intel® Core™ i5-3570S Processor (6M Cache, 3.80
GHz)
Teclado
43
Teclado español estándar
http://ark.intel.com/es/products/family/65503/3rd-Generation-Intel-Core-i3Processors/desktop
109
Mouse
Memoria
Puntero touchpad
RAM 4 GB - DDR3 SDRAM
Disco duro
500 GB – Serial ATA – 5400 RPM
Monitor
14.1 "Active Matrix TFT LCD a color
Tabla 3. 34
Requerimientos mínimos para estación de trabajo Laptop
3.4.1.5.2 Especificaciones de Software
Entre las consideraciones de software, tanto para servidores, como para
estaciones de trabajo, se especifican las siguientes:
·
Sistema Operativo Servidor.- Windows Server 2008 R2.
·
Sistema Operativo Servidor 2.- Ubuntu 10.8.
·
Sistema Operativo Estación de Trabajo.- Windows XP Service Pack 3,
Windows 7 Professional.
·
Herramientas Ofimáticas.- Microsoft Office 2007.
Es recomendable, mantener actualizado el sistema operativo, tanto en estaciones
de trabajo, como en servidores, debido a que mediante dichas actualizaciones se
reducen vulnerabilidades de seguridad.
3.4.1.6
Consideraciones para la sala principal de equipos de Infraestructura TI
Cada organización debería producir una política de entorno para la ubicación de
equipos, con las normas mínimas acordadas para concentraciones particulares de
equipos. Adicionalmente, los mínimos estándares deben ser acordados para la
protección de edificios que contienen los equipos.
Las siguientes tablas se cubren los principales aspectos que deben ser
considerados, con características de ejemplo.44
Los equipos de Infraestructura, deben permanecer en las mejores condiciones
físicas, como se presenta en la siguiente tabla.
44Office
of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI;
Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental
architectures and standards; 245
110
3.4.1.6.1 Sala principal de equipos
SALA PRINCIPAL DE EQUIPOS
Acceso
Entrada segura controlada, uso de combinación/clave, tarjeta
magnética, cámara de video(Si el negocio es crítico y sin
vigilancia)
Ubicación
Primera planta siempre que sea posible, sin agua, gas, químicos o
riesgos de incendio dentro de la zona, por encima, por debajo o
adyacente.
Visibilidad
No señalización, no ventanas exteriores.
Revestimiento
Revestimiento externo: impermeable, hermético, aislamiento
acústico, resistente al fuego (0,5 horas a 4 horas dependiendo
de la criticidad)
Equipo de
Deberían tomarse medidas adecuadas para la entrega y
Entrega
colocación de equipos grandes sensibles.
Piso Interno
Sellado
Planta Eléctrica Separada
Fuente de alimentación interrumpible (UPS). El suministro
eléctrico y de distribución, unidades de manipulación de aire,
unidades duales y salas de trabajo.
Externo
Generador para Data Centers mayores y sistemas críticos para el
negocio.
Tabla 3. 35
Mejores condiciones físicas para Sala principal de Equipos45
En la Tabla 3.36, se muestran las especificaciones para el Cuarto de Servidores o
Equipos.
CUARTO DE SERVIDORES O EQUIPOS
Acceso
Entrada controlada, por el uso de combinación/clave,
tarjeta
magnética o calve y llave. En algunos casos los equipos pueden
encontrarse en oficinas abiertas en bastidores o gabinetes con llave.
Temperatura
Entorno de oficina normal, pero si las habitaciones son cerradas o
bloqueadas se debería proveer una ventilación adecuada.
Humedad
45Office
Entorno normal de oficina.
of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI;
Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental
architectures and standards; Table E2; 245
111
Calidad del aire
Entorno normal de oficina.
Power
Energía continua suministrada con una fuente de poder sustituta –
UPS a la granja de servidores completa.
Piso Falso
Recomendación mínima de 3 m entre el suelo y el techo, con todos los
cables asegurados en canalización multi-compartimiento.
Paredes interiores
Siempre que sea posible las paredes deben ser resistentes al fuego.
Detección / Prevención
Sistema de detección de incendios/humo normal de oficina, a menos
de
que existan importantes concentraciones de equipo.
incendio
Detectores en el
Para humo, energía, con capacidad de alarma sonora
Entorno
Iluminación
Los niveles normales de iluminación de techo con luces de emergencia
en caso de corte de energía.
Conexión a Tierra
Se debe proveer de conexión a tierra a los equipos. Con los botones
de apagado claramente identificados.
Extinguidores de
Suficientes extintores de incendio eléctrico con señalización adecuada
Fuego
y procedimiento.
Vibración
Las vibraciones deben ser mínimas dentro de la zona
Interferencia
Interferencia mínima (1.5V/m campo de fuerza ambiente)
Electromagnética
Instalaciones
Todos los equipos e instalaciones eléctricas deben ser
suministrados e instalados por proveedores cualificados y
normas adecuadas de salud y seguridad
Conexiones de Red
El equipo de campo debe ser de cable aislado con una capacidad
adecuada para un crecimiento razonable. Todos
los cables deben ser colocados y sujetos a las bandejas de cable
adecuado.
Recuperación de
Completamente probado y los planes de recuperación deben
Desastres
desarrollarse de acuerdo al caso.
Tabla 3. 36
Mejores condiciones físicas para el cuarto de servidores
112
En la Tabla 3.37, se muestran las especificaciones para el entorno de Oficina.
ENTORNO DE OFICINA
Acceso
Todas las oficinas deben tener la seguridad de acceso adecuado
según la empresa, la información y el equipo que está contenido
dentro de ellas.
Iluminación,
Entorno normal, ambiente de la oficina cómoda y
temperatura,
ordenada, conforme a la salud de la organización,
humedad y calidad
seguridad y medio ambiente
de aire.
Alimentación de
Energía continua suministrada con una fuente de poder sustituta –
Energía
UPS a la granja de servidores completa.
Piso Falso
Recomendada de 3 m mínima entre el suelo y el techo,
con todos los cables asegurados en varios compartimentos.
Detección de
Detección de incendios, prevención de humo, sistemas de
incendios,
detección de incendios, sistemas de alerta de intrusión si
prevención y
aquí están las principales concentraciones de los equipos.
extintores
Suficientes extintores del tipo adecuado, con señalización
adecuada y los procedimientos
Conexiones de Red
El espacio de oficinas preferentemente debe tener ser por cable con la
capacidad adecuada para un crecimiento razonable. Todos los cables
deben ser colocados y sujetos a las bandejas de cable adecuado.
Todos los equipos de
red deben estar protegidos en armarios o gabinetes de seguridad.
Recuperación de
Desastres
Tabla 3. 37
3.4.1.7
Completamente probado y los planes de recuperación deben
desarrollarse de acuerdo al caso.
Mejores condiciones físicas para el entorno de oficina46
Análisis de Puntos individuales de fallo de componentes
3.4.1.7.1 Análisis por arboles de Fallos FTA.
•
Análisis del Árbol de Fallas es una técnica usada para identificar la cadena
de eventos que llevan a fallar a un servicio de TI.
•
Se traza un árbol separado para cada servicio, usando símbolos
booleanos.
46Office
of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI;
Mejores Prácticas para la Provisión del Servicio; versión 3; 2007; Appendix E: Environmental
architectures and standards; Table E.6; Pag 248
113
•
El árbol es atravesado de abajo hacia arriba.
•
El Análisis del Árbol de Fallas distingue los siguientes elementos:
•
Eventos Básicos – entradas en el diagrama (círculos) tales como
caídas de energía eléctrica y errores del operados. Esos eventos no
son investigados.
•
Eventos Resultantes – nodos en el diagrama, resultantes de eventos
anteriores.
•
Eventos Condicionales – eventos que sólo ocurren bajo ciertas
condiciones, tales como una falla del aire acondicionado.
•
Eventos Disparadores (Trigger Events) - eventos que causan otros
eventos, tales como una desconexión automática del suministro de
corriente iniciada por un UPS.
•
Los eventos pueden estar combinados con operaciones lógicas, tales
como:
–
Operación AND – El Evento Resultante ocurre si todas las entradas
ocurren simultáneamente.
–
Operación OR – El Evento Resultante ocurre si una o más de las
entradas ocurren.
–
Operación XOR – El Evento Resultante ocurre si sólo una de las
entradas ocurre.
Operación Inhibir – el evento resultante ocurre si las condiciones de la entrada no
son satisfechas.
A continuación en la figura, se presenta el árbol de fallos con respecto al Internet
fuera de servicio, las demás figuras representando a los otros servicios de TI, se
encuentran en el Anexo 3: GF-Análisis por Árboles de Fallo.
114
Figura 3. 2
Análisis del Árbol de Fallos del Internet fuera de servicio.
En la Figura 3.3 se expone el Árbol de Fallos con respecto al Internet fuera de
servicio.
Básicos
· Corte de energía eléctrica
· Fallo de Modem
Condicionados
Pérdida de Energía
Fallo por parte del ISP
· Mantenimiento de Enlaces
· Fallo en switch
Fallo de Hardware de conectividad
· Fallo en el Access point
interno
115
Desencadenantes
Resultantes
· Pérdida de Energía
Internet fuera de servicio
· Fallo por parte del ISP
· Fallo
en
el
Hardware
de
conectividad interno
Podemos observar que el Suceso resultante de Internet fuera de servicio, es
desencadenado por la pérdida de energía, el fallo por parte del ISP, y el fallo en el
Hardware de conectividad.
Además los sucesos básicos afectan inmediatamente a un Suceso Resultante por
ejemplo:
·
Si tenemos pérdida de energía, como resultante tendremos Internet fuera
de servicio.
·
Si se tiene un fallo en el Modem, enseguida se expone el Internet fuera de
servicio.
3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA
En la Figura 3.3 se indica un diagrama de la red de Grupo FARO, con los
Elementos de Configuración (CI), mencionados anteriormente, mediante los
cuales podemos realizar de una mejor manera el CFIA.
En la Tabla 3.38, contiene una matriz en la cual se representan los Elementos de
Configuración, además de los procesos más críticos para cada Área de la
organización
incluyendo
el
tipo
de
fallo
en
la
infraestructura.
Figura 3. 3
Diagrama de Red de Grupo FARO con especificación de CIs.
INFRAESTRUCTURA DE RED – GRUPO FARO
116
CI
Suministro
eléctrico
UPS1
C1
M1
C15
R1
C2
DE
AXC
AXC
AFC
AFC
AFC
AC
AR
Revisión y preparación de presupuestos
AR
Supervisar y Coordinar la ejecución de
CFC
X
X
Control Presupuestario
X
X
X
X
A
X
A
Realización de conciliaciones bancarias
X
X
X
X
A
X
A
Depósitos, Débitos e ingresos
X
X
X
X
A
X
A
Emisión de cheques
X
X
X
X
A
X
A
Registro de Facturas
X
X
X
X
A
X
A
Conciliaciones Bancarias
X
X
X
X
A
X
A
Revisión de cuentas
X
X
X
X
A
X
A
X
X
X
X
A
X
A
X
X
X
X
A
X
A
Levantamiento de fondos
procesos contables
Declaración de Impuestos y similares
CFC
X
X
X
X
A
X
A
presupuesto institucional
CFC
X
X
X
X
A
X
A
Revisión, ejecución mensual del
Revisión de documentos académicos
I
X
X
X
X
A
X
A
para investigaciones internas
X
X
X
X
A
X
A
eventos de GRUPO FARO
X
X
X
X
A
X
A
Grupo FARO
X
X
X
X
A
X
A
contratación de servicios
X
B
X
X
A
X
A
Servidores.
X
B
X
X
A
X
A
del servidor y periféricos
TI
Administración de licencias del software
TI
Mantenimiento preventivo y correctivo de
O
Elaborar adquisiciones de bienes y/o
C
Supervisión editorial de publicaciones de
C
Supervisar estándares de calidad de los
117
CI
C3
SRV4
C4
SRV1
SRV2
SRV3
SWI1
C16
C5
AP1
C7
X
B
X
X
Levantamiento de fondos
Registro de Facturas
A
X
B
Conciliaciones Bancarias
A
X
B
A
B
A
B
Revisión de cuentas
Emisión de cheques
A
A
Control Presupuestario
X
B
Realización de conciliaciones bancarias
X
B
B
Depósitos, Débitos e ingresos
A
X
B
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
A
X
A
X
B
procesos contables
A
X
A
X
B
Revisión, ejecución mensual del
presupuesto institucional
A
X
B
Declaración de Impuestos y similares
Revisión de documentos académicos para
B
X
investigaciones internas
Supervisar estándares de calidad de los
A
X
B
X
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
A
X
B
X
Grupo FARO
Elaborar adquisiciones de bienes y/o
B
contratación de servicios
Mantenimiento preventivo y correctivo de
X
X
X
X
B
A
A
B
Servidores.
Administración de licencias del software
X
X
X
X
B
A
del servidor y periféricos
118
CI
I4
C6
AP2
C17
I3
C8
SWI2
C9
DSK2
C14
I1
C10
B
X
X
Levantamiento de fondos
Control Presupuestario
X
X
X
B
X
B
Realización de conciliaciones bancarias
X
X
X
B
X
B
Depósitos, Débitos e ingresos
X
X
X
B
X
B
Emisión de cheques
X
X
X
B
X
B
Registro de Facturas
X
X
X
B
X
B
Conciliaciones Bancarias
X
X
X
B
X
B
X
X
X
X
B
X
B
X
X
X
X
X
X
B
X
X
A
X
X
Revisión de cuentas
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
X
X
X
B
X
B
procesos contables
X
X
X
B
X
B
Revisión, ejecución mensual del presupuesto
institucional
X
X
X
B
X
B
Declaración de Impuestos y similares
Revisión de documentos académicos para
B
X
X
investigaciones internas
Supervisar estándares de calidad de los
B
X
X
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
B
X
X
Grupo FARO
Elaborar adquisiciones de bienes y/o
X
X
X
B
contratación de servicios
Mantenimiento preventivo y correctivo de
X
X
X
B
Servidores.
Administración de licencias del software del
X
X
X
B
servidor y periféricos
119
CI
DSK3
C11
LAP3
C12
LAP6
C13
LAP5
DSK1
LAP4
LAP16
LAP25
SW1
SW2
X
Levantamiento de fondos
Revisión de cuentas
Conciliaciones Bancarias
B
Registro de Facturas
B
Emisión de cheques
B
Depósitos, Débitos e ingresos
X
X
Realización de conciliaciones bancarias
X
X
X
X
X
Control Presupuestario
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
X
X
X
procesos contables
X
X
Revisión, ejecución mensual del
presupuesto institucional
X
X
Declaración de Impuestos y similares
Revisión de documentos académicos para
X
X
investigaciones internas
Supervisar estándares de calidad de los
X
X
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
X
Grupo FARO
Elaborar adquisiciones de bienes y/o
X
X
contratación de servicios
Mantenimiento preventivo y correctivo de
X
Servidores.
Administración de licencias del software
X
del servidor y periféricos
120
CI
SW3
SW4
SW5
SW6
SW7
SW8
SW9
SW10
SW11
SW12
SW13
A
X
X
A
X
X
Revisión de cuentas
Conciliaciones Bancarias
Emisión de cheques
A
A
A
X
A
A
X
X
Registro de Facturas
A
A
Control Presupuestario
A
Revisión y preparación de presupuestos
A
A
X
Realización de conciliaciones bancarias
A
A
X
A
A
X
X
A
A
X
X
Depósitos, Débitos e ingresos
Supervisar y Coordinar la ejecución de
A
A
A
A
X
X
A
A
X
A
A
X
X
X
procesos contables
Revisión, ejecución mensual del
presupuesto institucional
Declaración de Impuestos y similares
Revisión de documentos académicos para
A
A
A
X
investigaciones internas
Supervisar estándares de calidad de los
A
A
A
B
X
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
Grupo FARO
Elaborar adquisiciones de bienes y/o
A
A
A
A
X
contratación de servicios
Mantenimiento preventivo y correctivo de
A
A
A
A
X
X
X
Servidores.
Administración de licencias del software
A
A
A
A
X
X
X
Matriz de la configuración del Análisis del Impacto de Fallo de un componente de Grupo FARO
A
A
A
Tabla 3. 38
Levantamiento de fondos
del servidor y periféricos
121
122
3.4.1.8
Análisis y gestión de riesgos.
3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM
3.4.1.8.1.1
Valoración de activos
Es el estimado del valor que un proceso u otro activo representa para la empresa.
Este valor es importante para el Análisis del Riesgo.
1 à Muy Bajo
2 à Bajo
3 à Medio
4 à Alto
5 à Muy Alto
La Tabla 3.40 presentada a continuación presenta una lista de los activos de TI,
con su respectiva valoración.
La valoración se la realizó en base a la utilización diaria de los activos de
Tecnologías de Información, conocimiento que se lo ha adquirido empíricamente,
gracias a las actividades de administración de la infraestructura que se las han
realizado durante un año.
Además, también se basó en la tabulación de las encuestas realizadas al
personal administrativo de Grupo FARO, el cual se encuentra en el Anexo 7-GFTabulación encuestas Grupo FARO.
ACTIVO TI
VALORACIÓN
Impresora
2
Scanner
3
Fax
2
Copiadora
3
Cableado Estructurado
5
Equipos de computación
5
123
Acceso remoto
4
Disco duro de Back-up
3
Servidores
5
Microsoft Office
4
Correo electrónico
5
Software contable
5
Aura Portal
3
Antivirus
3
Adobe Reader
1
Switch
3
Router
5
Access Point
5
Interfaces de Red
4
Discos Duros
5
Acceso Remoto
2
Tabla 3. 39
3.4.1.8.1.2
Valoración de activos de TI
Identificación y valoración de amenazas
“Amenaza: Cualquier cosa que pueda aprovecharse de una Vulnerabilidad.
Cualquier causa potencial de un Incidente puede ser considerada como una
amenaza.
Por ejemplo, el fuego es una Amenaza que podría explotar la Vulnerabilidad de
las moquetas inflamables. Este término suele usarse en la Gestión de la
Seguridad de la Información y en la Gestión de la Continuidad del Servicio de TI,
pero también se aplica a otras áreas como la Problemas y Gestión de la
Disponibilidad.“47
47ITIL®
2009)
V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del
124
Analizando las posibles amenazas que la organización GRUPO FARO está
propensa a tener, se han categorizado los mismos como se muestra a
continuación.
Amenaza Humana:
·
Robo.
·
Hackers.
·
Artefactos explosivos.
·
Fugas de gas o agua.
·
Incendios.
Amenaza Natural
·
Inundaciones.
·
Sismos.
·
Lluvias torrenciales.
·
Incendios.
·
Terremotos.
Amenaza Tecnológica
·
Sabotaje computacional.
·
Acceso al centro de cómputo.
·
Escasez de energía.
·
Fallas en la red.
·
Acceso a la red por parte de personas ajenas a la entidad.
·
Falla en los dispositivos de almacenamiento del Servidor.
·
Falla en los dispositivos de almacenamiento de las computadoras.
·
Fallo en el hardware de los equipos.
·
Configuración incorrecta de aplicaciones.
·
Sobredimensionamiento de clientes inalámbricos en la red.
·
Virus.
·
Falla de capacitación de TI.
125
Una vez que los riesgos han sido identificados, se presenta las tablas de
Probabilidad
y
Vulnerabilidad
con
sus
respectivas
probabilidades
y
vulnerabilidades asociadas y los riesgos detectados para las posibles amenazas.
El Análisis del Riesgo identifica las amenazas y vulnerabilidades de los activos de
la empresa e indica el nivel de vulnerabilidad de cada activo ante determinadas
amenazas.
3.4.1.8.1.3
Valoración de las amenazas
Para la valoración de las amenazas establece un rango enmarcado en la
probabilidad de ocurrencia de dicha amenaza.
1. Baja probabilidad de ocurrencia.
2. Media baja probabilidad de ocurrencia.
3. Media probabilidad de ocurrencia.
4. Media Alta probabilidad de ocurrencia.
5. Alta probabilidad de ocurrencia.
COD
AMENAZA
VALOR
AMENAZA
A1
Robo
3
A2
Hackers
3
A3
Artefactos explosivos
2
A4
Fugas de gas o agua
5
A5
Incendios
3
A6
Inundaciones
5
A7
Sismos
2
A8
Lluvias torrenciales
4
A9
Incendios
4
A10
Terremotos
3
A11
Sabotaje computacional
3
A12
Acceso al centro de cómputo
4
126
A13
Escasez de energía
3
A14
Fallas en la red
3
A15
Acceso a la red por parte de personas ajenas a la entidad
3
A16
Falla en los dispositivos de almacenamiento del Servidor
4
A17
Falla en los dispositivos de almacenamiento de las
5
computadoras
A18
Fallo en el hardware de los equipos
5
A19
Configuración incorrecta de aplicaciones
3
A20
Sobredimensionamiento de clientes inalámbricos en la
4
red.
A21
Virus
5
A22
Falla de capacitación de TI
4
Tabla 3. 40
3.4.1.8.1.4
Valoración de amenazas
Identificación de las vulnerabilidades
Para la identificación de las vulnerabilidades48, se toma cada amenaza y se
especifica que debilidad puede aprovechar esta.
AMENAZA
Robo
CÓDIGO
V1
VULNERABILIDAD
Pérdida de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Hackers
V2
Pérdida de Equipos
Pérdida de Información lógica
Retraso en trabajo
Artefactos explosivos
V3
Pérdida de Equipos
Retraso en trabajo
48Una
debilidad que puede ser aprovechada por una Amenaza. Por ejemplo un puerto abierto en
el cortafuegos, una clave de acceso que no se cambia, o una alfombra inflamable. También se
considera una Vulnerabilidad un Control perdido.
Spanish (Latin American) 2011 Glosary
127
AMENAZA
CÓDIGO
Fugas de gas o agua
V4
VULNERABILIDAD
Pérdida de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Incendios
V5
Daño de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Inundaciones
V6
Daño de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Sismos
V7
Daño de Equipos
Retraso en trabajo
Lluvias torrenciales
V8
Daño de Equipos
Retraso en trabajo
Incendios
V9
Daño de Equipos
Retraso en trabajo
Terremotos
V10
Daño de Equipos
Retraso en trabajo
Sabotaje computacional
Acceso
al
centro
V11
de V12
cómputo
Escasez de energía
Retraso en trabajo
Pérdida de Información física y lógica
Retraso en trabajo
V13
Pérdida de Información lógica
Retraso en trabajo
Indisponibilidad de información
Fallas en la red
V14
Pérdida de Información lógica
Retraso en trabajo
Indisponibilidad de información
Acceso a la red por parte V15
Pérdida de información confidencial
de personas ajenas a la
entidad
Falla en los dispositivos V16
Pérdida de Información lógica
de almacenamiento del
Retraso en trabajo
Servidor
Indisponibilidad de información
128
AMENAZA
CÓDIGO
VULNERABILIDAD
Falla en los dispositivos V17
Pérdida de Información lógica
de almacenamiento de las
Retraso en trabajo
computadoras
Indisponibilidad de información personal
Fallo en el hardware de V18
Pérdida de Información lógica
los equipos
Retraso en trabajo
Indisponibilidad de información
Configuración
incorrecta V19
Retraso en trabajo
de aplicaciones
Sobredimensionamiento
V20
de clientes inalámbricos
Retraso en trabajo
Fallo de acceso a la red
en la red.
Virus
V21
Pérdida de Información lógica
Modificación de información lógica
Retraso en trabajo
Falla de Capacitación de V22
Retraso en trabajo
TI
Tabla 3. 41
3.4.1.8.1.5
Identificación de vulnerabilidades
Valoración de las vulnerabilidades
Para la valoración de las vulnerabilidades establece un rango enmarcado en el
impacto que tendría una amenaza si esta ocurriese.
1. Bajo impacto.
2. Medio Bajo impacto.
3. Medio impacto.
4. Medio Alto impacto.
5. Alto impacto.
129
AMENAZA
CÓDIGO
VULNERABILIDAD
VALORACIÓN
Robo
V1
Pérdida de Equipos
5
Pérdida de Información física y
lógica
Retraso en trabajo
Hackers
V2
Pérdida de Equipos
4
Pérdida de Información lógica
Retraso en trabajo
Artefactos explosivos
V3
Pérdida de Equipos
3
Retraso en trabajo
Fugas de gas o agua
V4
Pérdida de Equipos
4
Pérdida de Información física y
lógica
Retraso en trabajo
Incendios
V5
Daño de Equipos
5
Pérdida de Información física y
lógica
Retraso en trabajo
Inundaciones
V6
Daño de Equipos
4
Pérdida de Información física y
lógica
Retraso en trabajo
Sismos
V7
Daño de Equipos
2
Retraso en trabajo
Lluvias torrenciales
V8
Daño de Equipos
2
Retraso en trabajo
Incendios
V9
Daño de Equipos
3
Retraso en trabajo
Terremotos
V10
Daño de Equipos
3
Retraso en trabajo
Sabotaje computacional
V11
Retraso en trabajo
2
Acceso al centro de V12
Pérdida de Información física y 3
cómputo
lógica
Retraso en trabajo
130
Escasez de energía
V13
Pérdida de Información lógica
5
Retraso en trabajo
Indisponibilidad de información
AMENAZA
CÓDIGO
VULNERABILIDAD
VALORACIÓN
Fallas en la red
V14
Pérdida de Información lógica
4
Retraso en trabajo
Indisponibilidad de información
Acceso a la red por V15
Pérdida
parte
confidencial
de
personas
de
información 3
ajenas a la entidad
Falla en los dispositivos V16
Pérdida de Información lógica
de almacenamiento del
Retraso en trabajo
Servidor
Indisponibilidad de información
Falla en los dispositivos V17
Pérdida de Información lógica
de almacenamiento de
Retraso en trabajo
las computadoras
Indisponibilidad de información
5
4
personal
Fallo en el hardware de V18
Pérdida de Información lógica
los equipos
Retraso en trabajo
3
Indisponibilidad de información
Configuración incorrecta V19
Retraso en trabajo
3
Retraso en trabajo
4
de aplicaciones
Sobredimensionamiento
V20
de clientes inalámbricos
Fallo de acceso a la red
en la red.
Virus
V21
Pérdida de Información lógica
Modificación
de
5
información
lógica
Retraso en trabajo
Falla de capacitación en V22
Retraso en trabajo
TI
Tabla 3. 42
Valoración de las vulnerabilidades
4
131
Luego se analizarán las Probabilidades y Vulnerabilidades de cada riesgo
identificado, con lo cual se justificarán las decisiones tomadas.
3.4.1.8.1.6
Evaluación de niveles de riesgos
“Riesgo.- Evento que podría causar daño o pérdidas, o afectar la habilidad de
alcanzar Objetivos. Un Riesgo es medido por la probabilidad de una Amenaza, la
Vulnerabilidad del Activo a esa Amenaza, y por el Impacto que tendría en caso
que ocurriera.”49
A continuación en la Tabla 3.43, la cual es un extracto del Anexo 4: GFEvaluación de Riesgos, se presenta la probabilidad de ocurrencia del riesgo,
para uno de los activos más sensibles de Grupo FARO que es el Sistema
Contable.
Para la determinación del riesgo, se han tomado extractos de las tablas:
Tabla 3.39: Valoración de activos TI.
Tabla 3.40: Valoración de amenazas.
Tabla 3.42: Valoración de las vulnerabilidades.
Con dichos datos, se realizó la operación:
Riesgo = Amenaza * Vulnerabilidad.
ACTIVO
VALOR
AMENAZA
VALOR DE
VULNERABILIDAD
AMENAZA
DEL
VALOR DE
RIESGO
VULNERABILIDAD
ACTIVO
5
A1
3
V1
5
75
5
A2
3
V2
4
60
5
A3
2
V3
3
30
SOFTWARE
5
A4
5
V4
4
100
CONTABLE
5
A5
3
V5
5
75
5
A6
5
V6
4
100
5
A7
2
V7
2
20
5
A8
4
V8
2
40
49
ITIL Spanish (Latin American) 2011 Glossary
132
5
A9
4
V9
3
60
5
A10
3
V10
3
45
5
A11
3
V11
2
30
5
A12
4
V12
3
60
5
A13
3
V13
5
75
5
A14
3
V14
4
60
5
A15
3
V15
3
45
5
A16
4
V16
5
100
5
A17
5
V17
4
100
5
A18
5
V18
3
75
5
A19
3
V19
3
45
5
A20
4
V20
4
80
5
A21
5
V21
5
125
5
A22
4
V22
4
80
Tabla 3. 43
Evaluación de niveles de riesgos
Como podemos observar en la Tabla 3.43 los valores de niveles de riesgos para
los Activos de Tecnologías de Información de Grupo FARO son altos para
Sistema Contable y bajos para Adobe Reader.
Revisión de Riesgo Software Contable
Como ejemplo tomaremos el caso del valor de riesgo igual a 125, que se basa en
la probabilidad de que la organización tenga una amenaza (A21) Virus
conjuntamente con la vulnerabilidad (V21) Pérdida de información lógica,
Modificación de información lógica, Retraso en el trabajo, este hace
referencia a la probabilidad de un mayor impacto en los procesos del negocio, si
el servidor es propenso a ataques de virus informáticos.
Observamos que las vulnerabilidades con mayor ponderación del software
contable son:
V1: Robo.
V5: Incendios.
V13: Escasez de energía.
V16: Falla en los dispositivos de almacenamiento del servidor.
V21: Virus
133
Gracias a los datos que se extraen de la Tabla 3.44 Control de riesgos, podemos
observar para este caso específico las actividades que se deben realizar; por
ejemplo, en el caso de Robo, el impacto se reduciría si se toman las siguientes
acciones:
·
Contratar seguro contra robo.
·
Realizar respaldo de equipos.
·
Elaborar políticas de back-up.
Para el valor de riesgo igual a 20, que se basa en la probabilidad tenga una
amenaza de (A7) Sismos conjuntamente con la vulnerabilidad (V7) Daño de
equipos, Retraso en el trabajo, no se debe descartar dicho riesgo, pero de igual
manera, se debe tener en cuenta las opciones de control debido a que si se
tendrá un impacto en los procesos del negocio si ocurriese un Sismo.
3.4.1.8.1.7
Control y opciones de control de riesgos.
La siguiente tabla nos muestra los Riesgos y el control que se les dará.
AMENAZA
CONTROL DE RIESGO
Robo
Seguro contra robo
Respaldo equipos
Políticas back-up
Hackers
Políticas de back-up
Firewall
Monitoreo de Red
Artefactos explosivos
Sanciones por negligencia
Fugas de gas o agua
Buenas prácticas de ubicación de equipos
Seguro de equipos
Incendios
Alarma contra incendios
Seguro contra incendio
Respaldo de elementos de la red
Inundaciones
Respaldo de equipos
Sismos
Políticas de seguridad
Lluvias torrenciales
Seguro de equipos
Buenas prácticas de ubicación de equipos
Incendios
Alarma contra incendios
Seguro contra incendio
134
Respaldo de elementos de la red
Terremotos
Seguro contra terremotos
Respaldo de equipos
Sabotaje computacional
Sanciones por negligencia
Acceso al centro de cómputo
Puerta con candado del centro de cómputo
Escasez de energía
Planta de energía alterna
Equipos de protección de equipos
Fallas en la red
Monitoreo de la red
Mantenimiento de la red
Acceso a la red por parte de personas
Aumentar seguridad en el acceso a la red
ajenas a la entidad
Falla
en
los
dispositivos
de
almacenamiento del Servidor
Falla
en
los
Discos respaldo servidor
Política de Back-up
dispositivos
de
Concientización a usuarios
almacenamiento de las computadoras
Políticas de Back-up
Fallo en el hardware de los equipos
Garantía de equipos
Respaldo de equipos
Hardware back-up
Configuración
incorrecta
de
Manual de procedimientos de aplicaciones
aplicaciones
Sobredimensionamiento
de
clientes
Access Point extra
inalámbricos en la red.
Monitoreo de red
Virus
Antivirus actualizado
Concientización a usuarios
Políticas de Back-up
Políticas de Seguridad
Falla capacitación en TI
Tabla 3. 44
Capacitación a usuarios
Control de riesgos
Las opciones de control de Riesgo se dividen en cuatro categorías
Aceptación del Riesgo.- Reside en aceptar el riesgo, y no tomar acciones para
evitarlo.
Anulación del Riesgo.-Consiste en reducir el riesgo a niveles tolerables.
Reducción del Riesgo.- Reside en reducir el riesgo a niveles tolerables.
Transferencia de Riesgo.- Consiste en escalar el riesgo a otra entidad
especializada en el mismo.
135
En la siguiente tabla se las ha organizado en función a cada Amenaza y su control
de riesgo.
AMENAZA
CONTROL DE RIESGO
OPCIÓN DE CONTROL
Robo
Seguro contra robo
Transferencia del riesgo
Respaldo equipos
Reducción del riesgo
Políticas back-up
Reducción del riesgo
Políticas de back-up
Reducción del riesgo
Firewall
Reducción del riesgo
Monitoreo de Red
Reducción del riesgo
Artefactos explosivos
Políticas de seguridad
Reducción del riesgo
Fugas de gas o agua
Seguro de equipos
Transferencia del riesgo
Incendios
Alarma contra incendios
Reducción del riesgo
Seguro contra incendio
Transferencia del riesgo
Respaldo de elementos de la
Reducción del riesgo
Hackers
red
Inundaciones
Seguro contra inundaciones
Anulación del riesgo
Respaldo de equipos
Reducción del riesgo
Seguro contra terremotos
Transferencia del riesgo
Respaldo de equipos
Reducción del riesgo
Lluvias Torrenciales
Respaldo de equipos
Reducción del riesgo
Incendios
Alarma contra incendios
Reducción del riesgo
Seguro contra incendio
Transferencia del riesgo
Respaldo de elementos de la
Reducción del riesgo
Sismos
red
Sabotaje computacional
Sanciones por negligencia
Reducción del riesgo
Recalentamiento de equipos
Seguro técnico de equipos
Transferencia del riesgo
Mantenimiento preventivo
Reducción del riesgo
Planta de energía alterna
Anulación del riesgo
Escasez de energía
Equipos
de
protección
de
Reducción del riesgo
equipos
Fallas en la red
Monitoreo de la red
Reducción del riesgo
Mantenimiento preventivo de
Reducción del riesgo
la red
Acceso a la red por parte de
Aumentar
personas ajenas a la entidad
ingreso
autorizado
seguridad
a
solo
en
el
personal
Anulación del riesgo
136
AMENAZA
CONTROL DE RIESGO
OPCIÓN DE CONTROL
Falla en los dispositivos de
Discos respaldo servidor
Reducción del riesgo
almacenamiento del Servidor
Política de Back-up
Reducción del riesgo
Respaldo de información on
Reducción del riesgo
line
Falla en los dispositivos de
Concientización a usuarios
Reducción del riesgo
almacenamiento
las
Políticas de Back-up
Reducción del riesgo
Fallo en el hardware de los
Garantía de equipos
Reducción del riesgo
equipos
Respaldo de equipos
Reducción del riesgo
Hardware back-up
Reducción del riesgo
Configuración incorrecta de
Manual de procedimientos de
Anulación del riesgo
aplicaciones
aplicaciones
de
computadoras
Sobredimensionamiento
de
clientes inalámbricos en la
Access Point extra
Anulación del riesgo
Monitoreo de red
Reducción del riesgo
Antivirus actualizado
Reducción del riesgo
Concientización a usuarios
Reducción del riesgo
Políticas de Back-up
Reducción del riesgo
Políticas de Seguridad
Reducción del riesgo
Capacitación a usuarios
Reducción del riesgo
red.
Virus
Falla capacitación en TI
Tabla 3. 45
3.5
Opciones de control de Riesgos
DISEÑO DE LA RECUPERACIÓN
En esta sección se especificará el proceso previo que se seguirá para mejorar los
niveles de recuperación del servicio, además que se desarrollará una explicación
breve de las medidas, las métricas y los procesos empleados para la
recuperación.
Las copias de seguridad son una forma de protección de datos tal que permiten la
recuperación de la información (ya sean datos o aplicaciones) en el caso de:
Pérdida del equipamiento informático (o hardware), debido a desastres naturales,
fallos de disco, errores de operación del sistema.
137
De igual importancia que la protección física del equipamiento es la protección de
los medios empleados para realizar las copias de seguridad.
3.5.1
MEDIDA DE RECUPERACIÓN DE INCIDENTE
En la tabla 3.46, se especifican las medidas de recuperación para cada servicio
que se tiene en la organización.
Nombre del Servicio
Active Directory
Medida de recuperación
·
Tener un respaldo de las bases de datos de
usuarios del dominio.
·
Tener un servidor Virtual con Active Directory
de Back-up
Internet
·
Disponer de dispositivos de internet portables
para las áreas críticas del negocio.
·
Cambio del dispositivo entregado por el
proveedor.
·
Definir las vías de contacto directo con los
proveedores (teléfono convencional, teléfono
celular, correo electrónico)
Correo electrónico
·
Configurar
el
correo
electrónico
en
el
computador, mediante POP3.
·
Elaborar una política de respaldo semanal del
archivo de correos en medios externos.
·
Elaborar un nuevo archivo de correo si este
sobrepasa el 1Gb.
Microsoft Office
·
Contar
con el
instalador
de
la
versión
software instalado.
·
Establecer copias de seguridad automáticas
de los archivos creados en Microsoft Office
Outlook
·
Contar
con el
instalador
de
la
versión
software instalado.
Aura Portal
·
Contar con un respaldo del instalador con la
versión empleada para el servidor.
·
Contar
con
manuales
de
instalación
y
configuración del servidor y clientes.
·
Tener un respaldo de las Bases de datos de
usuarios del sistema, configuraciones de
procesos, etc.
138
·
Disponer de un servidor virtual de remplazo
con todas las configuraciones realizadas.
·
Nombre del Servicio
Antivirus
Medida de recuperación
·
Contar con un respaldo del instalador.
·
Disponer
de
un
archivo
con
las
actualizaciones de las bases de datos del
antivirus.
Software Contable
·
Disponer de un respaldo del instalador y las
configuraciones pertinentes.
·
Contar
con
manuales
de
instalación
y
configuración del servidor y clientes.
·
Tener un respaldo de las bases de datos,
tanto en un medio externo, como en línea.
Impresora
·
Escalar al proveedor solicitando el arreglo
inmediato del dispositivo.
Copiadora
·
Escalar al proveedor solicitando el arreglo
inmediato del dispositivo.
Fax
·
Escalar al proveedor solicitando el arreglo
inmediato del dispositivo.
Cableado Estructurado
·
Disponer del diagrama detallado de la red.
·
Poseer suministros de respaldo como: Jacks,
ponchadora, cable CAT 5e.
Equipos de computación
·
Disponer de equipos de contingencia.
·
Mantener actualizado el inventario y según el
mismo
coordinar
los
equipos
con
disponibilidad
Hardware de conectividad
·
Disponer de hardware de infraestructura de TI
extra.
Acceso remoto
·
Disponer de un inventario de direcciones IP
organizado y actualizado.
Disco duro de Back-up
·
Disponer de un disco duro aparte, y en un
lugar distinto al cuarto de equipos.
Tabla 3. 46
Medidas de recuperación de incidentes
En la tabla 3.47, se muestra un extracto de la tabla 3.31: Requerimientos de
disponibilidad y recuperación de los servicios, mediante la cual, obtenemos
información como: Tiempo de recuperación y responsable de la recuperación.
139
Nombre
del
Tiempo
de
Tipo
Servicio
recuperación
Soporte
Active Directory
1 hora
Interno
Internet
1 hora
Interno
de
Alejandro Velasco
–
Externo
Correo
30 minutos
electrónico
Interno
Responsable
Alejandro Velasco – Tv
Cable
–
Alejandro Velasco
Externo
Microsoft Office
30 minutos
Interno
Alejandro Velasco
Outlook
30 minutos
Interno
Alejandro Velasco
Aura Portal
2 horas
Interno
Alejandro Velasco
Interno
Software
20 minutos
Interno
-
Externo
1 hora
Interno
1 hora
Fax
1 hora
Interno
Alejandro
Velasco
–
Alejandro
Velasco
–
Alejandro
Velasco
Externo
Soporte Ecuaprint
Interno
Alejandro
2 horas
Interno
Velasco
3 horas
Interno
Alejandro Velasco
Estructurado
Equipos
de
computación
Hardware
1 hora
conectividad
duro
Alejandro Velasco
Interno
-
Alejandro Velasco
Externo
Acceso remoto
Disco
–
Externo
de
de
–
–
Soporte Ecuaprint
Soporte Ecuaprint
Cableado
–
Soporte Dbware
Externo
Copiadora
Velasco
Marcelo Avilés
30 minutos
Impresora
Alejandro
Externo
Antivirus
Contable
–
30 minutos
Interno
Alejandro Velasco
30 minutos
Interno
Alejandro Velasco
Back-up
Tabla 3. 47 Servicios de Ti, tiempo de recuperación y responsables.
–
–
140
3.5.2
MÉTRICAS DE RECUPERACIÓN
Determinar los servicios sensibles de TI y el tiempo de recuperación los mismos.
A continuación en la Tabla 3.48 se muestran parámetros los cuales serán
evaluarán en función del tiempo.
Parámetro
Especificación
Tiempo de adquisición de un
Tiempo
servidor
que se solicita el servidor al
con
similares
características al afectado.
Tiempo
transcurrido,
desde
3 días
proveedor, hasta que el mismo
es entregado
Tiempo
de
instalación
y
Tiempo
transcurrido,
desde
configuración de Aplicaciones en
que se inicializa la instalación
Servidor.
del
Sistema
Operativo
2 días
en
servidor utilizado por Grupo
FARO, hasta la finalización y
comprobación de su correcto
funcionamiento
Tiempo
de
configuración
instalación
y
software
en
de
equipos de usuarios
Tiempo
transcurrido,
desde
5 horas
que se recibe una notificación
de
instalación
hasta
la
finalización y comprobación de
su correcto funcionamiento de
los
sistemas
operativos
descritos en la Tabla 2.4
Tiempo
de
Instalación
y
configuración de impresoras
Tiempo
transcurrido,
desde
4 horas
que se recibe la impresora por
parte del proveedor, hasta que
está se encuentra instalada y
habilitada
para
todos
los
usuarios de la organización
Tiempo
de
configuración
instalación
del
BPMS
y
Aura
Portal
Tiempo
que
transcurrido,
se
inicializan
instalaciones,
servicio
desde
hasta
se
2 días
las
que
el
encuentra
levantado y probado.
Tiempo de Obtención de back-ups
Tiempo
transcurrido,
desde
que se inicia con la obtención
de
back-ups,
hasta
la
3 horas
141
finalización y comprobación de
la información respaldada en el
disco externo.
Tiempo
para
configuración
instalación
del
y
Software
Contable
Tiempo
que
transcurrido,
se
desde
inicializan
instalaciones
del
3 horas
las
Software
Contable, hasta que el servicio
se
encuentra
activado
y
probado.
Tiempo para el diseño e
Tiempo transcurrido desde el
implementación de una red LAN
diseño de la red LAN, hasta la
exclusiva para el Área
implementación y pruebas de
Administrativa
la misma
Tiempo para la implementación de
Tiempo transcurrido, desde la
Access Points extras.
adquisición del Access point
5 días
5 días
hasta la instalación y pruebas
del mismo.
Tabla 3. 48
Métricas de recuperación.
3.5.3 RESPALDO O BACK-UP
A continuación se especifica un extracto del Anexo 5: GF-Política de Back-up.
3.5.3.1
Aspectos de las copias de seguridad.
Ámbito de aplicación.-El sistema del que se pretende realizar copias de
seguridad está formado por un servidor de aplicaciones (Aura Portal) y diversos
puestos de trabajo.
Tipo de Datos.- El tipo de datos de los cuales se realizará el back up serán los
documentos empleados por cada usuario.
Periodicidad
Las copias de respaldo se las realizará cada día, a las 13h00.
142
Elección del soporte para el backup
Las copias se van a realizar en tres soportes distintos:
·
Disco duro Servidor particionado con RAID 1.
·
Disco duro externo HP 500Gb.
·
Backup remoto.
Los archivos serán respaldados cada día entre las 12h30 y las 13h00 en el disco
duro externo.
Método empleado
El método empleado será incremental y absoluto.
Ubicación final de las copias.
La ubicación final de los dispositivos de backup y alternativamente los medios de
almacenamiento debe realizarse en una zona alejada respecto de la sala de
equipamiento informático.
Responsables
Administrador de TI será el encargado de realizar las copias de seguridad así
como de llevar a cabo la comprobación de la integridad de los datos.
3.5.4 GESTIÓN DE SISTEMAS
En la sección 3.4.1.2 se especifican las herramientas usadas actualmente, y las
recomendadas a implementar en la organización, como por ejemplo.
·
MAC Scanner.
·
OCS Inventory
.
143
3.5.5
RESTAURACIÓN DEL SERVICIO
Para la restauración del servicio, se tomará en cuenta los datos especificados
anteriormente en la Tabla 3.31 Requerimientos de Disponibilidad y recuperación
de los servicios, y en la Tabla 3.48 Métricas de recuperación.
Se mantendrá el criterio de que para que un incidente sea cerrado, el servicio
debe ser instalado y se ha restablecido el funcionamiento normal de los procesos
del negocio.
Si la restauración del servicio se lo realiza por personal externo, se debe probar
mediante un checklist el correcto funcionamiento de los servicios restablecidos,
para que dicho personal pueda realizar las correcciones necesarias de ser el
caso.
Se
realizará una prueba con interrupciones específicas a un servicio crítico,
obteniendo la información de la Tabla 3.22 -
Mantenimiento preventivo y
correctivo de servidores.
Como podemos observar el siguiente extracto de la Tabla 3.22, se observa que la
suma de los impactos financiero y estratégico es de 14 (nivel alto).
Impacto
Impacto Operacional
financiero
Falta de
Satisfacción a
Eficacia
confiabilidad
los usuarios
del
operacional
Mantenimiento preventivo
y correctivo de Servidores.
Además,
3
obtenemos información
servicio
4
de
3
la
SUMA
Tabla
3.31
4
14
Requerimientos
de
Disponibilidad y recuperación de los servicios, mediante la cual tenemos
información clara para este servicio crítico de:
144
Tiempo de recuperación
:
3 horas
Tipo de soporte
:
Interno y Externo
Responsable
:
Alejandro Velasco
Nombre del
Servicio
Disponibilidad
Tiempo de
recuperación
Tipo de
Soporte
Utilidad
Mantenimiento
Responsable
Equipos de
computación
24/7
3 horas
Interno –
Externo
Media
Semanal
Alejandro
Velasco
A continuación se muestra un extracto de la Tabla 3.29: MTD, RTO y WRT por
proceso de Negocio. Observamos que por ejemplo las herramientas que usamos
para realizar el mantenimiento son Excel, Impresora e Internet Inalámbrico, y
tenemos un tiempo de 1 a 4 horas, para tenerlo operativo nuevamente.
PROCESOS
MTD
SERVICIOS DE
RTO
WRT
Excel
1 hora
30 min
30 min
-
1 h y 30
-
TI
Mantenimiento preventivo y
De 1 a 4
Impresora
correctivo de Servidores.
horas
Internet
Inalámbrico
El Mantenimiento preventivo y correctivo de los servidores, se lo realiza
principalmente para mantener el Servicio de Internet Activo, debido a esto, se
puede observar en la Figura 3.2 Análisis del Árbol de Fallos del Internet fuera de
servicio, los procedimientos de soporte in situm a seguir.
145
Mediante el Análisis del Árbol de fallos, la persona encargada del soporte en la
organización puede basarse en el mismo para reducir los tiempos de respuesta
ante un incidente, en este caso, se procederá a revisar:
a) Fallo de hardware de conectividad interno.
a. Fallo en el Switch, (SW1)
b. Fallo en el Access Point, (AP1) ó (AP2)
b) Fallo por parte del ISP.
a. Mantenimiento de enlaces, (C1 , C15, C2, C3, C4, C16, C5, C6,
C17)
b. Fallo modem, (M1)
c) Pérdida de Energía.
a. Corte de energía eléctrica, (Suministro eléctrico)
A continuación se muestra un extracto de la Tabla 3.38 Matriz de la configuración
del Análisis del Impacto de Fallo de un componente de Grupo FARO, en la cual
podemos observar los componentes antes mencionados y el grado de impacto de
los mismos.
146
Al tener claramente definidos los elementos de configuración, y el impacto hacia
el proceso, se deben tomar en cuenta los backups del elemento de configuración
a llevar, por ejemplo.
SWI1
:
Se tiene un respaldo alternativo, no inmediato
AP1
:
Se tiene un respaldo alternativo no inmediato
AP2
:
La falla de este elemento, provocará inoperatividad del servicio.
M1
:
La falla de este elemento, provocará inoperatividad del servicio.
Suministro eléctrico
:
La falla de este elemento, provocará
inoperatividad del servicio.
CI
Suministro
eléctrico
UPS1
Mantenimiento preventivo
y correctivo de Servidores.
X
B
C1
X
M1
X
C15
A
R1
X
C2
A
SRV4
X
SRV1
X
SRV2
X
SRV3
X
SWI1
B
C16
A
C5
A
AP1
B
C6
X
AP2
X
C17
X
I3
B
SW2
X
SW3
A
147
SW4
A
SW5
A
SW6
A
SW9
X
SW10
X
SW11
X
En la Tabla 3.46, medidas de recuperación de incidentes, podemos disponer de
las mismas para este caso:
Internet
·
Disponer de dispositivos de internet portables para las áreas críticas del
negocio.
·
Cambio del dispositivo entregado por el proveedor.
·
Definir las vías de contacto directo con los proveedores (teléfono
convencional, teléfono celular, correo electrónico).
Se puede contactar al proveedor mediante:
a) Formulario de contacto, ingresando a la siguiente dirección electrónica:
http://www.grupotvcable.com.ec/grupo/contacto_corporativo
b) Teléfono convencional
:
6004111
Para la atención como cliente corporativo, debemos presentar el RUC
de la empresa:
1791975081001.
Cableado Estructurado
·
Disponer del diagrama detallado de la red.
·
Poseer suministros de respaldo como: Jacks, ponchadora, cable CAT 5e.
Back up o respaldo
Si mientras ocurre el incidente, tenemos información que necesitamos recuperar,
nos debemos guiar en la sección 3.5.3 de este documento: Respaldo o Back-up.
En este caso las medidas de recuperación serían:
a) Verificar información en el Servidor de Archivos.
b) Verificar información en el Disco Duro Externo de la organización.
c) Verificar información en el respaldo on-line.
148
3.6
CONSIDERACIONES DE SEGURIDAD
Para las consideraciones de seguridad, se han establecido los siguientes
parámetros los cuales han sido un extracto de las consideraciones de seguridad
presentes en el Estándar Internacional ISO/IEC 17799.
A continuación se presenta un extracto del Anexo 6: GF-Política de Seguridad.
3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS
·
Toda adquisición de tecnología informática se efectuará a través del
personal de la Administración de Informática.
·
La adquisición de Bienes de Informática en GRUPO FARO, quedará sujeta
a los lineamientos establecidos en este documento.
3.6.1.1
Capacidades
Se deberá analizar si satisface la demanda actual con un margen de holgura y
capacidad de crecimiento para soportar la carga de trabajo del área.
Para la adquisición de Hardware se observará lo siguiente:
·
Los equipos complementarios deberán tener una garantía mínima de un
año y deberán contar con el servicio técnico correspondiente en el país.
·
La marca de los equipos o componentes deberá contar con presencia y
permanencia demostrada en el mercado nacional e internacional, así como
con
asistencia
técnica
microcomputadores,
y
refaccionaria
local.
Tratándose
de
a fin de mantener actualizada la arquitectura
informática de GRUPO FARO.
·
Los dispositivos de almacenamiento,
así como las interfaces de
entrada / salida, deberán estar acordes con la tecnología de punta vigente,
tanto en velocidad de transferencia de datos, como en procesamiento.
149
Las impresoras deberán apegarse a los estándares de Hardware y Software
vigentes en el mercado y en GRUPO FARO, corroborando que los suministros
(cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a
un solo proveedor.
3.6.2
GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO
La instalación del equipo de cómputo, quedará sujeta a los siguientes
lineamientos:
·
Los equipos para uso interno se instalarán en lugares adecuados,
lejos de polvo y tráfico de personas.
·
La Administración de Informática,
así como las áreas operativas
deberán contar con un croquis actualizado de las instalaciones eléctricas
y de comunicaciones del equipo de cómputo en red.
3.6.2.1
Seguridad de la información.
La información almacenada en medios magnéticos se deberá inventariar,
anexando la descripción y las especificaciones de la misma, clasificándola en dos
categorías:
·
Información de interés de la organización.
·
Información de interés exclusivo de alguna área en particular.
En caso de información vital para el funcionamiento del área, se deberán tener
procesos colaborativos, así como tener el respaldo diario de las modificaciones
efectuadas, rotando los dispositivos de respaldo y guardando respaldos
históricos semanalmente.
3.6.2.2
Gestión interna de soporte
Es obligación de la Administración de Informática vigilar que el equipo de cómputo
se use bajo las condiciones especificadas por el proveedor y de acuerdo a las
funciones del área a la que se asigne.
150
Se establecen los siguientes lineamientos:
·
Mantener claves de acceso que permitan el uso solamente al personal
autorizado para ello.
·
Verificar la información que provenga de fuentes externas a fin de
corroborar que esté libre de cualquier agente contaminante o perjudicial
para el funcionamiento de los equipos.
3.6.3
PLAN DE CONTINGENCIAS INFORMÁTICAS
La Administración de Informática creará para los departamentos un plan de
contingencias informáticas que incluya al menos los siguientes puntos:
·
Continuar con la operación del área con procedimientos informáticos
alternos.
·
Tener los respaldos de información en un lugar seguro, fuera del lugar en
el que se encuentran los equipos.
·
Contar con un instructivo de operación para la detección de posibles
fallas, para que toda acción correctiva se efectúe con la mínima
degradación posible de los datos.
3.6.3.1
Estratégias Informáticas
La estrategia informática de GRUPO FARO está orientada hacia los siguientes
puntos:
·
Estandarización de hardware, software base, utilitarios y estructuras de
datos.
·
Manejo de proyectos conjuntos con las diferentes áreas.
3.6.4 SEGURIDAD FÍSICA Y DE ENTORNO
Sólo al personal autorizado le está permitido el acceso a las instalaciones donde
se almacena la información confidencial de GRUPO FARO.
151
Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en
las instalaciones donde se almacena la información confidencial, y durante un
período de tiempo justificado.
3.6.4.1
·
Identificadores de usuario y contraseñas
Todos los usuarios con acceso a un sistema de información o a una
red informática, dispondrán de una única autorización de acceso
compuesta de identificador de usuario y contraseña.
·
Ningún usuario recibirá un identificador de acceso a la Red de
Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no
acepte formalmente la Política de Seguridad vigente.
3.6.5 QUEDA PROHIBIDO
·
El uso de estos recursos para actividades no relacionadas con el
propósito del negocio, o bien con la extralimitación en su uso.
·
Introducir en los Sistemas de Información o la Red Corporativa contenidos
obscenos, amenazadores, inmorales u ofensivos.
3.6.5.1
Software
Todo el personal que accede a los Sistemas de Información de GRUPO FARO
debe utilizar únicamente las versiones de software facilitadas y siguiendo sus
normas de utilización.
3.6.5.2
Recursos de red
De forma rigurosa, ninguna persona debe:
·
Conectar a ninguno de los Recursos, ningún tipo de equipo de
comunicaciones (Ej. módem) que posibilite la conexión a la Red
Corporativa.
·
Conectarse a la Red Corporativa a través de otros medios que no sean los
definidos.
152
3.6.5.3
Conectividad a internet
La autorización de acceso a Internet se concede exclusivamente para
actividades de trabajo. Todos los colaboradores de GRUPO FARO tienen las
mismas responsabilidades en cuanto al uso de Internet.
El acceso a Internet se restringe exclusivamente a través de la Red establecida
para ello, es decir, por medio del sistema de seguridad con cortafuegos
incorporado en la misma.
3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD
Debido a la propia evolución de la tecnología y las amenazas de seguridad, y a
las nuevas aportaciones legales en la materia, GRUPO FARO se reserva el
derecho a modificar esta Política cuando sea necesario. Los cambios realizados
en esta Política serán divulgados a todos los colaboradores de GRUPO FARO.
3.6.7 BENEFICIOS
DE
IMPLANTAR
POLÍTICAS
DE
SEGURIDAD
INFORMÁTICA.
Los beneficios de un sistema de seguridad con políticas claramente concebidas
bien elaboradas son inmediatos, ya que GRUPO FARO trabajará sobre una
plataforma confiable, que se refleja en los siguientes puntos:
·
Aumento de la productividad.
·
Aumento de la motivación del personal.
·
Compromiso con la misión de la compañía.
·
Mejora de las relaciones laborales.
·
Ayuda a formar equipos competentes.
3.7
MANTENIMIENTO DEL PLAN
Entre las consideraciones del Mantenimiento del plan tenemos las siguientes:
·
Periodicidad y responsabilidad.
·
Monitoreo de la gestión de disponibilidad.
153
·
Actualización de requisitos de disponibilidad.
·
Métodos y técnicas usados para la gestión de disponibilidad.
3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS
3.7.1.1
Periodicidad
La periodicidad se basa en los siguientes eventos
·
Cada vez que se implemente un nuevo servicio.
·
Cambios en procesos del negocio.
·
Posterior a un incidente.
·
Cada cuatro meses.
3.7.1.2
Responsabilidad
Administrador de Tecnologías de Información de Grupo FARO.
3.7.1.3
Involucrados
Administrador de Tecnologías de Información, Subdirección General.
3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD
Se recomienda optimizar el uso de las herramientas ya existentes:
·
MAC Scanner.
·
Iptools.
·
Nagios.
Además de implementar otras herramientas gratuitas para el monitoreo de Red
como:
·
“OCS Inventory.- Open Computers and Software Inventory Next Generation
es una solución de gestión técnica de los activos de TI.”50
50
http://www.ocsinventory-ng.org/en/
154
·
“OTRS.- Es la suite de código abierto líder en innovación de servicios, que
incluye Help Desk, una solución para la gestión de servicios de IT (ITSM)
compatible con ITIL®, así como la plataforma tecnológica de soporte.”51
3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD
Si se desean actualizar los requisitos de disponibilidad, se deben tomar en
cuenta:
Incidentes
·
Fallos en la recuperación del servicio.
·
Aumento o disminución de elementos de configuración del servicio los
cuales son cualquier componente que necesite ser gestionado con el
objeto de proveer un Servicio de TI.
·
Cambio en los procedimientos utilizados para la gestión de incidentes.
Infraestructura
La elaborar de la infraestructura debe ser elaborado acorde a los objetivos del
negocio, priorizando los procesos que si se interrumpen dejarían gran cantidad de
pérdidas a la organización.
Riesgos
En el Análisis de Riesgos, se deben identificar y valorar las amenazas y
vulnerabilidades de los nuevos servicios acorde a lo indicado.
Recuperación
En el diseño de la recuperación se deben garantizar los procesos necesarios para
la recuperación de los servicios y la puesta en marcha de las operaciones con
normalidad lo más pronto posible, en caso del fallo de los mismos.
51
http://www.otrs.com/es/
155
Seguridad
En las consideraciones de seguridad, se deben realizar cambios a las políticas,
una vez que se den cambios en las regulaciones del negocio.
3.7.4 MÉTODOS Y TÉCNICAS
Los métodos a implementarse serán los siguientes:
·
CFIA.
·
FTA.
156
CAPÍTULO 4
CONCLUSIONES Y RECOMENDACIONES
La elaboración del plan de disponibilidad para la ONG Grupo FARO, ha dado
como resultado las siguientes conclusiones y recomendaciones.
4.1
CONCLUSIONES
·
Es de suma importancia interactuar personalmente con los usuarios para la
realización del levantamiento de las actividades y las herramientas de TI
utilizadas, además de la explicación de los criterios acerca de los impactos
tanto financieros como operacionales.
·
Los datos de requerimientos de disponibilidad se han obtenido, gracias al
trabajo de un año en la administración de las tecnologías de información en
Grupo FARO, en un trabajo conjunto entre el departamento de TI,
Subdirección y Dirección Administrativa-Financiera.
·
La reducción de riesgo, es la opción de control de riesgos más empleada
debido a la naturaleza de las amenazas de Tecnologías de Información.
·
La reducción del impacto que tendrían las vulnerabilidades en la
organización se produce, debido a que con el conocimiento acerca de las
opciones de control de riesgo, se pueden tomar decisiones claras y
oportunas para la reducción del impacto.
·
Dentro de las diferentes técnicas del análisis de puntos individuales de
fallos, se puede verificar que la energía eléctrica y la conectividad son
Elementos de Configuración.
·
El levantamiento de información de todos los elementos de configuración
157
de la organización es un indicador esencial para la propuesta de mejoras
de la infraestructura, debido a que con estos datos se tiene una visión real
del inventario de los activos de TI y sus características.
·
El impacto en la falla de cualquier Elemento de Configuración (CI),
administrado por el Área de Tecnologías de la información, afectará
directamente a los procesos del negocio y por ende a las actividades de los
usuarios de la organización.
·
Por medio del plan de disponibilidad se ha podido identificar los procesos
más relevantes que afecten a los objetivos de la organización y poder
ejecutar las acciones más efectivas en lo que se refiere a respaldar la
información y retomar las actividades.
4.2
RECOMENDACIONES
·
La Gestión de Disponibilidad debe implementarse con una clara etapa de
socialización a los usuarios de la red de comunicaciones, debido a que es
una tarea conjunta con el área de Tecnologías e Información.
·
Se debe concientizar a los usuarios de la Red de Comunicaciones acerca
de los impactos financieros como operativos causados por la falta de
disponibilidad, y como la colaboración de cada uno de los usuarios puede
aportar a lograr los objetivos del negocio.
·
Se recomienda relacionar la gestión de disponibilidad con los diferentes
disciplinas de Gestión de Tecnologías de Información acordes a la
organización tales como:
·
Gestión de continuidad del Servicio.
·
Gestión de nivel de Servicio.
158
·
Se recomienda tomar en cuenta los controles de riesgo especificados en el
Plan de Disponibilidad para así disminuir el tiempo de ejecución del servicio
ante una amenaza.
·
Se recomienda el uso de las herramientas de monitoreo indicadas, para
conocer el estado de la infraestructura como dato importante en caso que
ocurra un incidente.
·
Se recomienda, la revisión y actualización del presente plan de
disponibilidad, cada vez que un equipo ingresa al parque tecnológico de
Grupo FARO, o a su vez, si se implementan nuevas aplicaciones que sean
utilizadas por los usuarios de la red.
·
Se recomienda, en base a los datos obtenidos en el presente plan,
disponer de un respaldo tanto de hardware como de software, para
incrementar el tiempo de recuperación de equipos y aplicaciones.
·
Se recomienda el uso del presente documento, para lo solución rápida y
oportuna de los incidentes presentados en la organización, para lo cual se
puede tomar referencia el subcapítulo 3.5 Restauración del servicio, donde
se ha tomado un ejemplo práctico acerca de los lineamientos a seguir en
caso de la presencia de un incidente.
159
BIBLIOGRAFÍA
Artículos y direcciones electrónicas.
[1] http://www.itescam.edu.mx/principal/sylabus/fpdb/recursos/r21988.PDF
[2] http://www.rediris.es/difusion/eventos/forosseguridad/fs2012/archivo/analisis_riesgos_upct.pdf
[3] http://es.scribd.com/doc/52679391/Analisis-de-Arboles-de-Falla-FTA
[4] http://www.itsmsolutions.com/newsletters/DITYvol1iss5.htm
[5] http://www.nhbarcelona.com/areacliente/ejercicios/presentacion_configuracion_itil_servicios_ti.pdf
[6] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf
[7] http://www.sisteseg.com/files/Microsoft_Word_METODOLOGIA_PLAN_RE
CUPERACION_ANTE_DESASTRES_DRP.pdf
[8] http://wikidrp.wikispaces.com/file/view/ANTEPROYECTO_V6%5B1%5D.pdf
[9] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf
[10] http://bibdigital.epn.edu.ec/bitstream/15000/952/1/CD-1411.pdf
[11] http://www.acis.org.co/fileadmin/Base_de_Conocimiento/X_JornadaSegu
ridad/ConferenciaDougglasHurtado.pdf
[12] http://www.sisteseg.com/files/Microsoft_PowerPoint_PLANES_DE_CON
TINUIDAD_NEGOCIO_V_3.0.pdf
[13] http://www.sisteseg.com/files/Microsoft_Word_BIA_BUSINESS_IMPACT
_ANALYSIS.pdf
[14] http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
[15] http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponi
bilidad/vision_general_gestion_de_la_disponibilidad/vision_general_gestion_
de_la_disponibilidad.php
[16] http://www.seriosoft.com/Blog-espagnol/?p=10&page=2
[17] http://www.cpciba.org.ar/archivos/adjuntos/seguridad.pdf
160
Libros
[18] G. Andrade, “Gerencia de Servicios para procesos de Tecnología”, Quito,
2012.
[19] Office of Government Commerce (OGC), “ITIL la Llave para la
Gestión de los Servicios TI. Mejores Prácticas para la Provisión del
Servicio versión 3”, EEUU, 2007.
[20] J. Jiménez, “ITIL® V3 Glosario, v2.1”, EEUU, 2009.
[21] V.J Bon y A. Koltho, “Fundamentos de la Gestión de Servicios de TI:
Basada en ITIL, Volumen 3”, EEUU, 2009.
Tesis
[22] RAMÍREZ Giovanny, “Desarrollo de un sistema para la gestión de
cambios en la infraestructura de TI, aplicado a un caso de estudio”, Febrero
2008.
[23] BAÑOS Eduardo, CARRERA Pamela, “Elaboración del plan de
disponibilidad de ti para la Empresa Reliance”, Septiembre 2010.
[24] LEIVA Ana Lucia, “Desarrollo del plan de continuidad del negocio para el
departamento de TI de una empresa farmacéutica”, Febrero 2008.
161
ANEXOS
·
Anexo 1: GF-Formato Encuesta ON-LINE.
·
Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y
operacional.
·
Anexo 3: GF-Análisis por Árboles de Fallo.
·
Anexo 4: GF-Evaluación de Riesgos.
·
Anexo 5: GF-Política de Back-up.
·
Anexo 6: GF-Política de Seguridad.
·
Anexo 7: GF-Tabulación encuestas Grupo FARO.
·
Anexo 8: GF-Tabulación encuestas on-line.
·
Anexo 9: GF-Documento de satisfacción Grupo FARO.