La versión digital de esta tesis está protegida por la Ley de Derechos de Autor del Ecuador. Los derechos de autor han sido entregados a la “ESCUELA POLITÉCNICA NACIONAL” bajo el libre consentimiento del (los) autor(es). Al consultar esta tesis deberá acatar con las disposiciones de la Ley y las siguientes condiciones de uso: · Cualquier uso que haga de estos documentos o imágenes deben ser sólo para efectos de investigación o estudio académico, y usted no puede ponerlos a disposición de otra persona. · Usted deberá reconocer el derecho del autor a ser identificado y citado como el autor de esta tesis. · No se podrá obtener ningún beneficio comercial y las obras derivadas tienen que estar bajo los mismos términos de licencia que el trabajo original. El Libre Acceso a la información, promueve el reconocimiento de la originalidad de las ideas de los demás, respetando las normas de presentación y de citación de autores con el fin de no incurrir en actos ilegítimos de copiar y hacer pasar como propias las creaciones de terceras personas. Respeto hacia sí mismo y hacia los demás. ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA ELABORACIÓN DE UN PLAN DE DISPONIBILIDAD DE TECNOLOGÍAS DE INFORMACIÓN (TI) PARA LA FUNDACIÓN PARA EL AVANCE Y REFORMAS DE OPORTUNIDADES GRUPO FARO PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN ELECTRÓNICA Y REDES DE INFORMACIÓN VELASCO TORO CÉSAR ALEJANDRO [email protected] DIRECTOR: ING. WILLIAMS FERNANDO FLORES CIFUENTES [email protected] Quito, Enero 2013 DECLARACIÓN Yo, César Alejandro Velasco Toro, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentado para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluye en este documento. A través de la presente declaración cedo mis derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su reglamento y por la normatividad institucional vigente. __________________________ César Alejandro Velasco Toro i CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por César Alejandro Velasco Toro, bajo mi supervisión. __________________________ Ing. Fernando Flores DIRECTOR DE PROYECTO ii AGRADECIMIENTO A Dios, por haberme dado salud para lograr mis objetivos, por fortalecer mi corazón e iluminar mi mente. A mi madre Miriam, por haberme apoyado en todo momento, por sus consejos, sus valores, por creer en mí, pero más que nada, por su amor y apoyo incondicional. A mi padre César, por su apoyo moral y económico durante toda mi carrera universitaria. A mis hermanas Johana y Mishel, por las bromas, y los buenos deseos les quiero mucho. A mi Director del Proyecto, el Ingeniero Fernando Flores, por su valiosa colaboración en la elaboración de este trabajo. En fin, a todas aquellas personas que de una u otra forma, y de manera desinteresada, me brindaron toda la ayuda necesaria con la finalidad de lograr el desarrollo de un buen trabajo. iii DEDICATORIA Este documento es un esfuerzo que involucra a muchas personas cercanas a mí. Por ello dedico esta tesis a mi mamá, mi papá, mis hermanas que gracias a sus consejos y palabras de aliento he crecido como persona, y principalmente a mi hija que es el motor de mi vida, y que me obliga a ser cada día mejor. A todos mis familiares y amigos, quienes me han brindado su apoyo en las caídas y con los que hemos celebrado las victorias en todo el proceso de la realización de este documento. Cami, eres el amor de mi vida, recuerda que siempre te voy a amar y que cuentas conmigo. iv CONTENIDO CAPÍTULO I FUNDAMENTOS TEÓRICOS…….……………………………..………1 1.1DETERMINACIÓN DE LOS REQUISITOS DE DISPONIBILIDAD ................ 2 1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA)..................................... 2 1.1.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .... 3 1.1.1.2 Evaluar el impacto Financiero – Operacional................................... 3 1.1.1.2.1 Evaluación del impacto financiero ................................................. 3 1.1.1.2.2 Evaluación del impacto estratégico ............................................... 3 1.1.1.3 Identificación de procesos críticos de la organización. ..................... 4 1.1.1.4 Identificación de sistemas y aplicaciones críticas de TI por proceso del negocio ...................................................................................................... 4 1.1.1.5 Identificación de tiempos máximos de caída (MTD) ......................... 4 1.1.1.6 Identificación del tiempo objetivo de recuperación (RTO) ................. 5 1.1.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ........... 5 1.1.1.7.1 Evaluación de RTO y WRT ........................................................... 5 1.1.1.8 Análisis del daño a consecuencia de la interrupción de un servicio de TI ………………………………………………………………………………6 1.1.2 REQUISITOS DE DISPONIBILIDAD ........................................................ 6 1.1.2.1 Resumen de disponibilidad de servicio TI ......................................... 6 1.2 DISEÑO PARA LA DISPONIBILIDAD .......................................................... 7 1.2.1 ELABORACIÓN DE LA INFRAESTRUCTURA TI .................................... 8 1.2.1.1 Elementos de la red .......................................................................... 9 1.2.1.2 Almacenamiento ............................................................................... 9 1.2.1.3 Impresión y Digitalización ................................................................. 9 1.2.1.4 Administración de TI ....................................................................... 10 1.2.1.5 Consideraciones para el entorno de la infraestructura de TI .......... 10 1.2.1.6 Consideraciones para el hardware y software. ............................... 11 1.2.1.6.1 Consideraciones de hardware ..................................................... 11 1.2.1.6.2 Consideraciones de software ...................................................... 11 1.2.2 ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES (SPOF).............................................................................................................. 11 1.2.1.2 Análisis del impacto del fallo de un componente (CFIA) ................. 11 v 1.2.1.3 Análisis por arboles de fallos (FTA) ................................................ 13 1.2.3 GESTIÓN Y ANÁLISIS DE RIESGO ...................................................... 15 1.2.3.1 Método de análisis y gestión de riesgos (CRAMM) ........................ 16 1.2.3.1.1 Identificación y valoración de activos .......................................... 16 1.2.3.1.2 Identificación y valoración de amenazas ..................................... 16 1.2.3.1.3 Identificación y valoración de vulnerabilidades............................ 17 1.2.3.1.4 Evaluación de niveles de riesgos ................................................ 18 1.2.3.1.5 Tratamiento de riesgo ................................................................. 18 1.3 DISEÑO DE LA RECUPERACIÓN .............................................................. 19 1.4 CONSIDERACIONES DE SEGURIDAD...................................................... 21 1.4.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS ................... 21 1.4.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO ...................... 21 1.4.3 SEGURIDAD DE LA INFORMACIÓN ................................................................ 22 1.4.4 SEGURIDAD FÍSICA Y DEL ENTORNO ................................................ 22 1.4.5 GESTIÓN DE COMUNICACIONES Y OPERACIONES ......................... 23 1.4.6 GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS DE CÓMPUTO. ...................................................................................................... 23 1.4.7 SEGURIDAD DE LA RED ...................................................................... 23 1.4.8 MONITORIZACIÓN................................................................................ 23 1.5 MANTENIMIENTO DEL PLAN .................................................................... 24 CAPÍTULO 2 ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN…………………………………………………………….………….25 2.1ANTECEDENTES ......................................................................................... 25 2.2DESCRIPCIÓN DE LA ORGANIZACIÓN ..................................................... 26 2.2.1 CONSTITUCIÓN GRUPO FARO ..................................................................... 27 2.2.1.1 Miembros fundadores ..................................................................... 27 2.2.1.2 Consejo ejecutivo............................................................................ 27 2.2.1.3 Consejo asesor ............................................................................... 27 2.2.1.4 Colaboradores ................................................................................ 29 2.2.2 DATOS GENERALES ............................................................................ 30 2.2.3 MISIÓN, VISIÓN, PERSPECTIVA.......................................................... 30 2.2.3.1 Misión ............................................................................................. 30 2.2.3.2 Visión .............................................................................................. 31 vi 2.2.3.3 Perspectiva ..................................................................................... 31 2.2.4 ESTRUCTURA ORGANIZACIONAL ...................................................... 32 2.3 PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN ............................................................................................... 36 2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN ........... 36 2.3.1.1 Estructura del departamento ti de la organización .......................... 37 2.3.1.2 Áreas relacionadas con el departamento de TI .............................. 38 2.3.1.3 Descripción de los Perfiles y Responsabilidades del Área de TI .... 38 2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI ...................................... 40 2.3.2.1 Servidores ....................................................................................... 40 2.3.2.2 Equipos ........................................................................................... 43 2.3.2.3 Otros dispositivos............................................................................ 47 2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO ..................... 47 2.3.4 DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL DEPARTAMENTO DE TI .................................................................................. 48 2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI ............. 50 2.4 NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO FARO ............. 52 CAPÍTULO 3 ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE TI…………………………..………………………………………………………………54 3.1 MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL NEGOCIO 57 3.1.1 ACTIVIDADES DEL NEGOCIO .............................................................. 61 3.2 ELEMENTOS DE CONFIGURACIÓN (CI) .................................................. 64 3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDW ARE ......................... 65 3.2.1.1 Desktops ......................................................................................... 65 3.2.1.2 Laptops ........................................................................................... 66 3.2.1.3 Impresoras ...................................................................................... 68 3.2.1.4 Switches ......................................................................................... 68 3.2.1.5 Servidores ....................................................................................... 69 3.2.1.6 Access Points ................................................................................. 69 3.2.1.7 Modem ............................................................................................ 69 3.2.1.8 Unidades de Almacenamiento ........................................................ 70 3.2.1.9 Sistema de Energía Ininterrumpida................................................. 72 3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE ......................... 72 vii 3.2.2.1 Herramientas Ofimáticas ................................................................ 73 3.2.2.2 BPMS Aura Portal ........................................................................... 74 3.2.2.3 Sistemas Operativos ....................................................................... 74 3.3 DETERMINACIÓN DE REQUERIMIENTOS DE DISPONIBILIDAD ........... 75 3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO ........................................... 75 3.3.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .. 75 3.3.1.2 Evaluar el impacto Financiero – Operacional................................. 77 3.3.1.2.1 Evaluación del impacto financiero ............................................... 77 3.3.1.2.2 Evaluación del impacto estratégico ............................................. 80 3.3.1.3 Identificación de procesos fundamentales de la organización. ...... 83 3.3.1.4 Identificación de Servicios de TI, por procesos del negocio. .......... 87 3.3.1.5 Identificación de tiempos máximos de caída (MTD). ..................... 88 3.3.1.6 Identificación del Tiempo objetivo de recuperación RTO. ............... 91 3.3.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ......... 92 3.3.1.8 Análisis del daño a consecuencia de la interrupción de un servicio de TI 101 3.3.2 REQUERIMIENTOS DE DISPONIBILIDAD ......................................... 103 3.4 DISEÑO DE LA DISPONIBILIDAD............................................................ 105 3.4.1 DESCRIPCIÓN DE LA INFRAESTRUCTURA ..................................... 105 3.4.1.1 Elementos de la red ...................................................................... 105 3.4.1.2 Administración de TI ..................................................................... 106 3.4.1.3 Respaldo y Almacenamiento ........................................................ 107 3.4.1.3.1 Respaldo ................................................................................... 107 3.4.1.3.2 Back-up ..................................................................................... 107 3.4.1.4 Impresión y Digitalización ............................................................. 107 3.4.1.5 Consideraciones para el Hardware y el Software ......................... 108 3.4.1.5.1 Requerimientos de Hardware .................................................... 108 3.4.1.5.2 Especificaciones de Software.................................................... 109 3.4.1.6 Consideraciones para la sala principal de equipos de Infraestructura TI …………………………………………………………………………...109 3.4.1.6.1 Sala principal de equipos .......................................................... 110 3.4.1.7 Análisis de Puntos individuales de fallo de componentes ............. 112 3.4.1.7.1 Análisis por arboles de Fallos FTA. ........................................... 112 viii 3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA .............. 115 3.4.1.8 Análisis y gestión de riesgos. ........................................................ 122 3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM ................... 122 3.4.1.8.1.1 Valoración de activos ............................................................. 122 3.4.1.8.1.2 Identificación y valoración de amenazas ............................... 123 3.4.1.8.1.3 Valoración de las amenazas .................................................. 125 3.4.1.8.1.4 Identificación de las vulnerabilidades .................................... 126 3.4.1.8.1.5 Valoración de las vulnerabilidades ........................................ 128 3.4.1.8.1.6 Evaluación de niveles de riesgos........................................... 131 3.4.1.8.1.7 Control y opciones de control de riesgos. ............................. 133 3.5 DISEÑO DE LA RECUPERACIÓN ............................................................ 136 3.5.1 MEDIDA DE RECUPERACIÓN DE INCIDENTE .................................. 137 3.5.2 MÉTRICAS DE RECUPERACIÓN ....................................................... 140 3.5.3 RESPALDO O BACK-UP ............................................................................ 141 3.5.3.1 Aspectos de las copias de seguridad. ........................................... 141 3.5.4 GESTIÓN DE SISTEMAS .................................................................... 142 3.5.5 RESTAURACIÓN DEL SERVICIO ....................................................... 143 3.6CONSIDERACIONES DE SEGURIDAD..................................................... 148 3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS ………………………………………………………………………………...148 3.6.1.1 Capacidades ................................................................................. 148 3.6.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO .................... 149 3.6.2.1 Seguridad de la información. ........................................................ 149 3.6.2.2 Gestión interna de soporte ............................................................ 149 3.6.3 PLAN DE CONTINGENCIAS INFORMÁTICAS ................................... 150 3.6.3.1 Estratégias Informáticas ............................................................... 150 3.6.4 SEGURIDAD FÍSICA Y DE ENTORNO ............................................................ 150 3.6.4.1 Identificadores de usuario y contraseñas ...................................... 151 3.6.5 QUEDA PROHIBIDO ........................................................................... 151 3.6.5.1 Software ........................................................................................ 151 3.6.5.2 Recursos de red............................................................................ 151 3.6.5.3 Conectividad a internet ................................................................. 152 3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD .................... 152 ix 3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA. .............................................................................................. 152 3.7MANTENIMIENTO DEL PLAN ................................................................... 152 3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS ................................. 153 3.7.1.1 Periodicidad .................................................................................. 153 3.7.1.2 Responsabilidad ........................................................................... 153 3.7.1.3 Involucrados.................................................................................. 153 3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD............................................... 153 3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD ................................... 154 3.7.4 MÉTODOS Y TÉCNICAS ............................................................................ 155 CAPÍTULO 4 CONCLUSIONES Y RECOMENDACIONES………………………156 4.1 CONCLUSIONES ...................................................................................... 156 4.2 RECOMENDACIONES .............................................................................. 157 BIBLIOGRAFÍA……………………………………………………….……………….159 ANEXOS…………………………………………………………………………..……161 x ÍNDICE DE FIGURAS Capítulo 1 Figura 1. 1 Relación entre niveles de disponibilidad y costos totales. .................. 8 Figura 1. 2 CFIA .................................................................................................. 12 Figura 1. 3 Análisis y Gestión de Riesgos ........................................................... 15 Capítulo 2 Figura 2. 1 Personal Grupo FARO 2011 ........................................................ 26 Figura 2. 2 Ubicación Grupo FARO ............................................................... 30 Figura 2. 3 Organigrama GRUPO FARO ...................................................... 32 Figura 2. 4 Áreas relacionadas al departamento de TI .................................. 38 Capítulo 3 Figura 3. 1 Actividades proactivas y reactivas .................................................. 56 Figura 3. 3 Análisis del Árbol de Fallos del Internet fuera de servicio. ........... 114 Figura 3. 4 Diagrama de Red de Grupo FARO con especificación de CIs. .... 116 xi ÍNDICE DE TABLAS Capítulo 2 Tabla 2. 1 Relaciones internas del Administrador de TI .................................. 39 Tabla 2. 2 Relaciones Externas del Administrador de TI. ................................ 39 Tabla 2. 3 Características hardware Servidor Grupo FARO ............................ 42 Tabla 2. 4 Lista de equipos administrados por el departamento de TI. ........... 46 Tabla 2. 5 Otros dispositivos administrados por el departamento de TI. ......... 47 Tabla 2. 6 Descripción de los servicios soportados por el departamento de TI 49 Tabla 2. 7 Listado de Procesos del Departamento de TI. ............................... 52 Capítulo 3 Tabla 3. 1 Servicios de TI administrados por el departamento de Tecnología. 61 Tabla 3. 2 Funciones y Procesos del negocio, y su relación con TI ................ 64 Tabla 3. 3 Equipos Desktop administrados por el departamento de TI ........... 66 Tabla 3. 4 Equipos Laptop administrados por el departamento de TI .............. 67 Tabla 3. 5 Impresoras Matriciales y de tinta administradas por el departamento de TI ....................................................................................... .68 Tabla 3. 6 Impresoras en Red administradas por el departamento de TI ........ 68 Tabla 3. 7 Switches administrados por el departamento de TI ........................ 68 Tabla 3. 8 Servidores administrados por el departamento de TI ..................... 69 Tabla 3. 9 Access Point administrados por el departamento de TI .................. 69 Tabla 3. 10 Modem administrado por el departamento de TI ............................ 70 Tabla 3. 11 Unidades de almacenamiento administradas por el departamento de TI ..................................................................................................... 72 Tabla 3. 12 UPS administrado por el departamento de TI ................................. 72 Tabla 3. 13 Herramientas ofimáticas administradas por el Departamento de TI 73 Tabla 3. 14 Frecuencia de uso de las herramientas ofimáticas administradas por el departamento de TI ..................................................................... 74 Tabla 3. 15 Herramientas de BMP administradas por el departamento de TI ... 74 xii Tabla 3. 16 Sistemas Operativos administrados por el departamento de TI ..... 75 Tabla 3. 17 Funciones y procesos de la organización ....................................... 77 Tabla 3. 18 Ponderación Impacto Financiero .................................................... 78 Tabla 3. 19 Evaluación del Impacto Financiero ................................................. 80 Tabla 3. 20 Ponderación del Impacto estratégico .............................................. 80 Tabla 3. 21 Evaluación del impacto estratégico................................................. 82 Tabla 3. 22 Impactos Financiero y Operación ................................................... 86 Tabla 3. 23 Procesos del negocio y servicios de TI utilizados ........................... 88 Tabla 3. 24 Escala MTD y equivalencia ............................................................. 88 Tabla 3. 25 Suma de Impactos y escala de equivalencia MTD ......................... 89 Tabla 3. 26 Definición de MTDs......................................................................... 91 Tabla 3. 27 Escala de equivalencia RTO ........................................................... 92 Tabla 3. 28 RTO en actividades de recuperación de Servicios de TI ................ 92 Tabla 3. 29 RTO y WRT por proceso de Negocio ........................................... 101 Tabla 3. 30 Análisis causado por la interrupción de un Servicio TI. ................. 103 Tabla 3. 31 Requerimientos de Disponibilidad y recuperación de los servicios 104 Tabla 3. 32 Requerimientos mínimos para servidores ..................................... 108 Tabla 3. 33 Requerimientos mínimos para estación de trabajo Desktop ......... 108 Tabla 3. 34 Requerimientos mínimos para estación de trabajo Laptop ........... 109 Tabla 3. 35 Mejores condiciones físicas para Sala principal de Equipos ......... 110 Tabla 3. 36 Mejores condiciones físicas para el cuarto de servidores ............. 111 Tabla 3. 37 Mejores condiciones físicas para el entorno de oficina ................. 112 Tabla 3. 38 Matriz de la configuración del Análisis del Impacto de Fallo de un componente de Grupo FARO ........................................................ 121 Tabla 3. 40 Valoración de activos de TI ........................................................... 123 Tabla 3. 41 Valoración de amenazas .............................................................. 126 Tabla 3. 42 Identificación de vulnerabilidades ................................................ 128 Tabla 3. 43 Valoración de las vulnerabilidades................................................ 130 Tabla 3. 44 Evaluación de niveles de riesgos .................................................. 132 Tabla 3. 45 Control de riesgos ......................................................................... 134 Tabla 3. 46 Opciones de control de Riesgos ................................................... 136 Tabla 3. 47 Medidas de recuperación de incidentes........................................ 138 Tabla 3. 48 Métricas de recuperación. ............................................................. 141 xiii RESUMEN En la actualidad, debido a la difusión de aplicaciones en Internet, se ha hecho latente la necesidad de diseñar e implementar un plan de disponibilidad, y al no contar con dichas especificaciones se limita la capacidad operativa de la organización. La información es lo más importante dentro de un establecimiento, independientemente del tipo de actividad a la cual se dedique, por ello, la necesidad de mantenerla la mayor cantidad de tiempo disponible, y con mayor razón para esta institución, la cual la mayoría de sus aplicaciones se encuentran en Internet, debido a que se utiliza la plataforma de Google Apps @grupofaro.org, en la que se encuentran los servicios de correo electrónico (Gmail), calendario en línea (Google Calendar), Google Docs, Google Sites, y Google Chat para mensajería interna, los cuales son utilizados permanentemente por los usuarios. El proyecto se basa en la oficina central de Grupo FARO, en el departamento de Tecnologías de Información, ya que aquí se encuentran los ejes de Dirección, Subdirección, Administración, Ambiente y Sociedad, Investigación, Gobernanza de lo público entre otras, y se manejan diferentes aplicaciones como Internet, Correo electrónico, servidor de archivos, Impresiones, etc; por tal motivo es de vital importancia contar con una red de datos disponible y segura. La elaboración busca implementar las soluciones tecnológicas más adecuadas a la institución, que en conjunto con las normas y procedimientos descritos en las políticas de seguridad aseguren que los servicios TI estén disponibles y funcionen correctamente siempre que los clientes y usuarios deseen hacer uso de ellos. xiv PRESENTACIÓN En el primer capítulo se describirá los conocimientos teóricos pertinentes al proyecto, los que se aplicarán en la Elaboración del Plan de Disponibilidad para Grupo FARO, basados en el capítulo Gestión de Disponibilidad de la librería Diseño del Servicio. ITIL V3. En el segundo capítulo se realizará una descripción completa de la organización, así como el mapeo de los servicios que soporta la empresa y los procesos del departamento de TI, lo cual nos dará una visión de los factores que requiere Grupo FARO, en la disponibilidad de TI A continuación en el tercer capítulo se determinarán los requisitos de disponibilidad identificando las actividades Vitales del Negocio y su relación con las TI mediante encuestas al personal Administrativo, además de presentar una lista de todos los dispositivos de hardware y software que forman parte de la infraestructura de TI. Posteriormente, se realizará el Análisis de Puntos individuales de fallo de componentes aplicando los mejores métodos descritos en la librerías, además del Análisis de Riesgo y en base a los resultados se especificarán criterios acerca de la gestión de riesgo, recuperación de los servicios, métricas de recuperación y consideraciones de seguridad. Se realizarán pruebas con interrupciones específicas a un servicio crítico, y gracias a los criterios presentados anteriormente, evaluar los resultados del Plan de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta al mismo. Para finalizar en el cuarto capítulo se indicarán varias conclusiones obtenidas al realizar el proyecto, y además recomendaciones de cómo aprovechar de la mejor manera posible este Plan xv 1 CAPÍTULO 1 FUNDAMENTOS TEÓRICOS Debido a que nuestras vidas, tanto personales como profesionales, dependen cada vez más de la tecnología, la cual ha aumentado su velocidad y aplicaciones de una manera vertiginosa, la gestión de Disponibilidad es responsable de optimizar y monitorizar los servicios de TI, para que estos funcionen ininterrumpidamente y de manera fiable y todo ello a un costo razonable. En el presente capítulo, se describe el procedimiento, el cual está de acuerdo a la Gestión de Disponibilidad de TI, descrito en la librería ITIL V3 y las actividades que se recomiendan seguir para la elaboración del Plan de Disponibilidad de Tecnologías de Información (TI). Las actividades descritas en este capítulo para la elaboración del Plan de Disponibilidad, son las siguientes. · Determinación de los requisitos de disponibilidad. o Análisis de Impacto en El Negocio (BIA)1. o Requerimientos de Disponibilidad. · Diseño para Disponibilidad. o Elaboración de la infraestructura TI. o Análisis de puntos individuales de fallo de componentes (SPOF).2 o Gestión y análisis de riesgo. · Diseño de la Recuperación. o Medida de recuperación de Incidente o Métricas de recuperación. o Respaldo o Back-up. o Restauración del Servicio. · Consideraciones de Seguridad. o Lineamientos para la adquisición de bienes informáticos. 1 Business Impact Analysis (BIA) 2 Single Point Of Failure (SPOF) 2 o Gestión interna de instalación de equipos de cómputo. o Seguridad de la información. o Gestión interna de soporte. o Plan de contingencias informáticas. o Estrategias informáticas. o Seguridad física y de entorno. o Identificadores de usuario y contraseñas . o Queda prohibido. o Actualizaciones de la política de seguridad. o Beneficios de implantar políticas de seguridad informática. · 1.1 Mantenimiento del Plan. DETERMINACIÓN DE LOS REQUISITOS DE DISPONIBILIDAD Es de suma importancia cuantificar los requisitos de Disponibilidad debido a que son la base para evaluar la capacidad operativa, que se posee en la Infraestructura de TI y estimar el soporte que la organización de TI debe proporcionar para satisfacer las necesidades de Disponibilidad del negocio. Antes de establecer los Requisitos de Disponibilidad de TI del negocio se deben desarrollar las siguientes actividades: · Análisis de Impacto en El Negocio (BIA). · Requerimientos de Disponibilidad. 1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) El Análisis de Impacto en el negocio define la relación entre la tecnología existente, los servicios ofrecidos por el departamento de TI y los procesos de negocio que los utilizan. Entre los objetivos principales al realizar el Análisis se tienen: · Identificar las Funciones y Procesos Críticos de la organización. · Determinar prioridad de cada proceso. 3 · Evaluar el Impacto financiero y estratégico. · Identificar los Sistemas y Aplicaciones Críticas de TI. · Determinar los tiempos máximos tolerables de interrupción (MTD) 3 y priorizar los procesos del negocio. · Especificar los tiempos Objetivos de Recuperación (RTO)4. · Identificar el Tiempo de recuperación del Trabajo (WRT)5. · Apoyar el proceso de determinar estrategias adecuadas de recuperación.”6 1.1.1.1 Identificar las Funciones y Procesos Críticos de la Organización. En esta sección se identifican todas las funciones y procesos críticos de la organización. Las funciones son las áreas contempladas en el plan de disponibilidad, a las cuales se las asocia con los procesos los cuales son las actividades específicas realizadas en cada área de negocio. 1.1.1.2 Evaluar el impacto Financiero – Operacional 1.1.1.2.1 Evaluación del impacto financiero El impacto financiero será evaluado de forma cualitativa, puesto que por criterios de seguridad financiera, las cifras reales no son publicables para la organización. El objetivo es tener una idea de la magnitud del impacto de pérdida financiera, si los procesos del negocio fuesen interrumpidos. 1.1.1.2.2 Evaluación del impacto estratégico La evaluación del impacto estratégico u operacional, se realiza para evaluar el nivel de daño que afectaría a la organización debido a un fallo en los servicios de TI, pero en sentido de los factores mostrados a continuación. 3 4 MTD : Maximum Tolerable Downtime RTO: Recovery Time Objective WRT: Work Recovery Time 6 Fuente: Tesis Elaboración del plan de disponibilidad de ti para la Empresa Reliance 5 4 Para la realización de la ponderación, se basará en el grado de magnitud de impacto sobre: Falta de confiabilidad operacional, satisfacción a los usuarios, eficacia del servicio. 1.1.1.3 Identificación de procesos críticos de la organización. Los procesos críticos de la organización, se basan en una evaluación cuantitativa, de los resultados anteriores, mediante la suma de los resultados de Impacto Financiero e Impacto estratégico. Un proceso será considerado como crítico, si: · Retrasa las actividades del personal de la organización. · Afecta a la correcta elaboración de las tareas del personal. · Discontinua la marcha de las operaciones de la organización. Y cuantitativamente según los siguientes valores • En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3, (impacto alto). • Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto medio), ó 4 (impacto alto). 1.1.1.4 Identificación de sistemas y aplicaciones críticas de TI por proceso del negocio En esta sección se identificará todo proceso de la empresa, que utilice servicios de TI, los cuales pueden ser sistemas, aplicaciones y recursos, administrados por el Departamento de TI. 1.1.1.5 Identificación de tiempos máximos de caída (MTD) Uno de los objetivos fundamentales del BIA, es determinar el Maximum Tolerable Downtime (MTD), el cual es el tiempo máximo sin servicio que una organización puede soportar y seguir cumpliendo con sus objetivos de negocio. Con este cálculo se intenta obtener valores cuantitativos con relación al impacto financiero – operacional que un evento adverso pueda tener sobre la organización. 5 La identificación de los MTD’s, se procede en función a la suma total de los puntos de los impactos financiero y estratégico. 1.1.1.6 Identificación del tiempo objetivo de recuperación (RTO) “El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en otras palabras cuanto puede permanecer la Organización sin ejecutar una actividad, el uso de una aplicación (hardware y/o software) o información relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El RTO se utiliza para decidir cada cuanto se deben realizar respaldos de información o backups; también es útil para decidir que infraestructura es requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de similares especificaciones al existente en la Organización, o un call center paralelo en una ubicación diferente a la que se utiliza de manera permanente.”7 1.1.1.7 Identificación del tiempo de recuperación de trabajo (WRT). El WRT (Work Recovery Time) es el tiempo disponible para recuperar datos perdidos una vez que los sistemas están reparados dentro del Tiempo Máximo de Inactividad MTD. 1.1.1.7.1 Evaluación de RTO y WRT Para la evaluación de los tiempos de RTO, se debe tener claro el tiempo que el área de Tecnología de la organización se demora en la recuperación de los sistemas y recursos críticos, esto se debe a que los servicios entregados y administrados por esta área son de alta criticidad para las actividades del negocio. La escala para el RTO se la valora en función del tiempo. La suma de los tiempos del RTO y WRT serán iguales o menores que el MTD, jamás pueden ser mayores. 7 Camelo, Leonardo. Análisis de Impacto de Negocios / Business Impact Analysis (BIA). http://seguridadinformacioncolombia.blogspot.com/2010/05/analisis-de-impacto-de-negocios.html. 6 1.1.1.8 Análisis del daño a consecuencia de la interrupción de un servicio de TI En este tema se especifican las consecuencias que se tendrían en la organización a causa de un incidente que involucre a un servicio o recurso de TI. 1.1.2 REQUISITOS DE DISPONIBILIDAD En esta sección del documento se especifica la base para determinar la capacidad de la Infraestructura de TI, implementada actualmente y el soporte que la organización de TI debe proporcionar para satisfacer las necesidades de Disponibilidad del negocio. Para plantear los requisitos del negocio de Disponibilidad de TI se considera lo siguiente: · Una definición de las actividades vitales para el negocio que dependan de los servicios TI. · Una definición del tiempo de caída del servicio TI, es decir, las condiciones bajo las cuales el negocio considera que el servicio TI no está disponible. · El impacto sobre el negocio ocasionado por la pérdida del servicio. · Las horas de servicio necesarias, esto es, cuándo se va a proporcionar el servicio. · 1.1.2.1 Las necesidades de seguridad específicas. Resumen de disponibilidad de servicio TI En este punto del documento se representa un resumen de los servicios TI con los siguientes criterios: · Tipo de servicio. · Nombre del servicio. · Disponibilidad. · Tiempo de recuperación. · Tipo de Soporte. · Utilidad. · Mantenimiento. · Responsable. 7 1.2 DISEÑO PARA LA DISPONIBILIDAD El Diseño para la disponibilidad es una actividad relacionada con la elaboración técnica de la infraestructura de TI, orientada a evitar la pérdida de disponibilidad de los servicios de TI, además de aportar criterios con la relación de proveedores internos y externos necesarios para satisfacer las necesidades de Disponibilidad de un servicio de TI. Los principales beneficios al elaborar un buen Plan de Disponibilidad son: · Reducción de costos asociados con cada nivel de disponibilidad. · Notar una mejor calidad de Servicio por parte del usuario. · Aumentar progresivamente los niveles de disponibilidad. · Reducir número de incidentes. Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio en el desarrollo de los nuevos servicios TI de forma que estos cumplan los estándares plasmados en el Plan de Disponibilidad. Un diferente nivel de disponibilidad puede requerir cambios drásticos en los recursos utilizados o en las actividades necesarias para suministrar un determinado servicio TI. Las actividades que deben realizarse para el diseño de la disponibilidad son: 8 · Elaboración de la Infraestructura TI. · Análisis de Puntos Individuales de Fallo de Componentes (SPOF)8 · Análisis de Impacto de Fallo de Componentes (CFIA)9. · Análisis por Árboles de Fallos (FTA)10. · Gestión y Análisis de Riesgo. SPOF: Single Point of Failure CFIA: Component Failure Impact Analysis 10 FTA: Fault Tree Analysis 9 8 1.2.1 ELABORACIÓN DE LA INFRAESTRUCTURA TI El objetivo la elaboración de la Infraestructura TI es realizar recomendaciones para el mejoramiento de la misma, contando con un mapeo de los elementos ya disponibles en la organización y con sugerencias en la adquisición de nuevos elementos tanto de hardware, software y técnicas, que permitan tener una elevada disponibilidad de servicios de TI. La Infraestructura de TI la componen hardware, software y servicios profesionales, necesarios para el correcto desempeño de las múltiples aplicaciones de tecnología de información, y que permite a la organización la automatización y apoyo de los procesos de negocio. Para establecer una mayor disponibilidad de los servicios de TI, es necesario también una gran inversión en cuanto a las soluciones existentes, como se muestra a continuación. Figura 1. 1 11 Relación entre niveles de disponibilidad y costos totales. 11 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 9 1.2.1.1 Elementos de la red Los elementos de la red, son todos los componentes mediante los cuales se tiene la posibilidad de ingresar electrónicamente desde puntos locales y remotos a las aplicaciones con las que se trabaja en la organización, plataformas de impresión, bases de datos, recursos de la red, brindando al usuario un mayor soporte, control y disponibilidad de los servicios de TI, de manera segura y confiable. Los beneficios que ofrecen los recursos de la Red a los usuarios son los siguientes: · Ingreso a plataformas internas, desde puntos remotos. · Acceso a la información mediante las tres propiedades indispensables de la información: Confidencialidad, Integridad, Disponibilidad. · 1.2.1.2 Compartición de recursos dispersos a lo largo de la infraestructura. Almacenamiento Son las herramientas de preservación, respaldo y disponibilidad de la información, las cuales ayudan a salvaguardar uno de los principales activos de la organización, la información, y así, encaminar la continuidad del negocio. Los beneficios que se obtienen con los componentes de almacenamiento son los siguientes: · Posibilidad de respaldos automáticos y en línea. · Protección de la información del negocio. · Disponibilidad de información en caso de contingencia. 1.2.1.3 Impresión y Digitalización Es el conjunto de equipos y herramientas de captura, digitalización y presentación de información impresa en papel. Los beneficios que se obtiene con los componentes de impresión y digitalización son los siguientes: 10 · Organización en el almacenamiento de la información. · Disponibilidad de contratos, solicitudes, oficios, informes, que permiten una manipulación más directa con el usuario. · Disponer de una mejor manera el espacio físico utilizado anteriormente para el almacenamiento de la información. · Posibilidad de tener una copia digitalizada de los documentos físicos de alta importancia, y así también ahorrar papel y colaborar con el medio ambiente. 1.2.1.4 Administración de TI Son todas aquellas herramientas tecnológicas que permiten controlar diversos aspectos como: inventarios, activos, prevención de riegos, ancho de banda, monitoreo, prevención de riesgos y fallas, etc. Los beneficios que se obtienen con los elementos de administración de TI son los siguientes: · Gestión de activos. · Mejor control y administración de recursos de TI, para evitar las fallas en los sistemas. · Ahorro de tiempo al distribuir software de manera centralizada. · Administración de plataformas de hardware y software. · Productividad al verificar que el software cargado en los clientes corresponda a su función. 1.2.1.5 Consideraciones para el entorno de la infraestructura de TI En esta sección se especificarán las mejores condiciones necesarias para la sala principal de Equipos de Tecnologías de Información como: acceso, ubicación, visibilidad, piso interno, etc. 11 1.2.1.6 Consideraciones para el hardware y software. 1.2.1.6.1 Consideraciones de hardware En este punto se especificarán las características mínimas necesarias que deberán tener los dispositivos informáticos a nivel de hardware, para mantener la disponibilidad de los servicios de TI. 1.2.1.6.2 Consideraciones de software En este punto se especificarán las características mínimas necesarias que deberán tener los aplicativos y herramientas de ofimática, para mantener la disponibilidad de los servicios TI. 1.2.2 ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES (SPOF) “Un Punto Único de Fallo es un riesgo potencial planteado por una falla en el diseño, la ejecución o la configuración de cualquier componente de la infraestructura de TI, o sistema en el que un fallo o mal funcionamiento hace que todo el sistema deje de funcionar, y se tenga así un impacto negativo sobre el negocio y los usuarios.”12 Cada vez que un sistema se expande (añadiendo una estación de trabajo a una red, o añadiendo nuevas aplicaciones a una red de computadores) el número de lugares donde un Punto Único de Fallo puede ocurrir, también se expandirá. 1.2.1.2 Análisis del impacto del fallo de un componente (CFIA) Component Failure Impact Analysis (Análisis del Impacto de Fallo de Componentes). Esta técnica consiste en identificar el impacto que tiene en la disponibilidad de los servicios TI el fallo de cada elemento de configuración involucrado. 12 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 12 El desarrollo del CFIA nos proporciona: 1. Identificar los Elementos de Configuración (CI) que pueden causar un incidente o falla. 2. Buscar elementos de configuración que no tienen back-up. 3. Evaluar el riesgo de las fallas en cada Elemento de configuración. 4. Justificar inversiones futuras 5. Tiempos de recuperación de los componentes. Figura 1. 2 CFIA 13 Para la realización del CFIA se procede a seleccionar un Servicio de TI, y obtener la lista de Elementos de Configuración de los elementos de la infraestructura detallada anteriormente. 13 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 13 Si no hay ninguna Base de Datos de Gestión de Configuración CMDB 14, entonces pedir a documentación, diagramas, y conocimiento en general de las tecnologías de información a quien corresponda. A continuación, se lista en una columna, los elementos de configuración CI los Servicio de TI en la fila superior. A continuación se realiza el siguiente procedimiento para cada Elemento de Configuración debajo de cada servicio. · Marcar una "X" en la columna en caso de que el fallo en dicho CI provoque un incidente e inoperatividad del servicio. · Marcar una "A" cuando el CI tiene un respaldo alternativo inmediato que pueda proporcionar el servicio. · Marcar una "B" cuando el CI tiene un respaldo alternativo, no tan inmediato para proporcionar el servicio. Ahora disponemos de una matriz básica de la CFIA. Cada "X" y "B" es una responsabilidad potencial. Para finalizar se debe realizar una matriz que representa a los Elementos de Configuración, el efecto que produce en las diferentes áreas del negocio, y el total de usuarios que son afectados por la pérdida de servicios de TI. 1.2.1.3 Análisis por arboles de fallos (FTA) El Análisis del Árbol de Fallos consiste en analizar cómo se propagan los fallos a través de la infraestructura y así tener claro su impacto en la disponibilidad del servicio. “Las ventajas fundamentales del FTA son: 14 · Permite realizar cálculos de la Disponibilidad. · Permite realizar las operaciones sobre el árbol de fallos resultante. · Permite elegir el nivel deseado de detalle del análisis. CMDB: Central Management Data Base. 14 Para el desarrollo del FTA, se distingue los siguientes sucesos: · Sucesos Básicos: Puntos terminales del árbol de fallo, como la pérdida de suministro eléctrico o un error del operador. Los sucesos básicos no se investigan con más profundidad. Si los sucesos básicos se investigan con más profundidad, automáticamente se convierten en sucesos resultantes. · Sucesos Resultantes: Nodos intermedios del árbol de fallos que resultan de una combinación de sucesos. Habitualmente, el punto superior del árbol de fallos es el fallo del servicio TI. · Sucesos Condicionados: Sucesos que solo ocurren bajo ciertas condiciones, como por ejemplo, el fallo del equipo de aire acondicionado solo afectara al servicio TI si la temperatura de los equipos supera los valores de servicio. · Sucesos Desencadenantes: Sucesos que lanzan otros sucesos, por ejemplo, el equipo de detección de la pérdida del suministro eléctrico puede lanzar el cierre automático de servicios TI. Estos sucesos se combinan mediante operadores lógicos, como: · AND: El evento resultante solo sucede cuando todos los sucesos entrantes ocurren simultáneamente. · OR: El evento resultante ocurre cuando suceden uno o más de los eventos entrantes. · OR exclusivo: El evento resultante solamente ocurre cuando se satisface la condición de entrada. · Inhibidor: El evento resultante solamente ocurre cuando no se satisface la condición de entrada”.15 15 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 15 1.2.3 GESTIÓN Y ANÁLISIS DE RIESGO “Análisis del Riesgo: Identifica y determina el nivel de (medida) los riesgos calculados a partir de los valores estimados de los activos y los valores estimados de las amenazas y las vulnerabilidades de tales activos. Gestión del Riesgo: Cubre la identificación, selección y adopción de contramedidas justificadas por los riesgos identificados para los activos en términos de su impacto potencial sobre los servicios si ocurriera un fallo, y la reducción de tales riesgos a un nivel aceptable.” En esta sección se realizará la búsqueda de cada una de las vulnerabilidades que posee la organización a los fallos de la configuración y la capacidad de la organización TI enfocados en el análisis a las configuraciones de cada uno de los activos tecnológicos de la organización. Análisis y Gestión de Riesgos es una técnica que se puede utilizar para identificar y cuantificar los riesgos además de medidas justificadas que se pueden implementar para proteger la disponibilidad de los sistemas informáticos. Para este análisis se utiliza el método CRAMM16 (Método de Análisis y Gestión de Riesgos), la cual es una técnica que consiste en identificar los riesgos y vulnerabilidades de la infraestructura para implementar contramedidas que los reduzca. Figura 1. 3 16 Análisis y Gestión de Riesgos 17 CRAMM: Central Computer and Telecommunications Agency Risk Analysis and Management Method Estructura de la figura tomada de: Office of Government Commerce (OGC). ITIL la Llave para la 17 16 1.2.3.1 Método de análisis y gestión de riesgos (CRAMM) CRAMM proporciona un armazón para calcular el riesgo del recurso, valor y vulnerabilidades, llamado el Análisis de Riesgo. El armazón también le ayuda a evitar, reducir, o escoger aceptar estos riesgos, llamado la Gestión de Riesgo. La idea es que analizando recursos, uno puede comprender el daño potencial causado por una falla en la Confidencialidad, Integridad o Disponibilidad. CRAMM puede mitigar el riesgo a un costo efectivo con un análisis estructurado de costos. Los pasos para realizar un correcto análisis de riesgos, son las siguientes. 1.2.3.1.1 Identificación y valoración de activos En primer lugar, se define el alcance de la revisión (datos, activos, software, etc). Aquí se puede utilizar la Base de datos de gestión de configuración CMDB, pero si no la tenemos se debe preguntar acerca de los datos importantes, software o activos físicos. 1.2.3.1.2 Identificación y valoración de amenazas En esta sección se procede a identificar, clasificar y valorar las amenazas las cuales son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.18 Para ello nos basaremos en la siguiente tabla: Nivel Definición Alta La amenaza está altamente promovida, y es suficientemente capaz de llevarse a cabo Media La amenaza es posible Baja La amenaza no posee suficiente motivación y capacidad Tabla 1. 1 Probabilidad de ocurrencia de un evento determinado Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 18 http://inf-tek.blogia.com/2009/060203-8.3-amenazas-y-vulnerabilidades.php 17 1.2.3.1.3 Identificación y valoración de vulnerabilidades. En esta sección se procede a identificar, clasificar y valorar las vulnerabilidades (puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa) 19 Para la identificación de las vulnerabilidades sobre la plataforma de tecnología nos basamos en los siguientes campos: Amenaza Humana: · Robo. · Hackers. · Artefactos explosivos. · Fugas de gas o agua. · Incendios. Amenaza Natural · Inundaciones. · Sismos. · Lluvias torrenciales. · Incendios. · Terremotos. Amenaza Tecnológica · Sabotaje computacional. · Acceso al centro de cómputo. · Escasez de energía. · Fallas en la red. · Acceso a la red por parte de personas ajenas a la entidad. · Falla en los dispositivos de almacenamiento del Servidor. 18 · Falla en los dispositivos de almacenamiento de las computadoras. · Fallo en el hardware de los equipos. · Configuración incorrecta de aplicaciones. · Sobredimensionamiento de clientes inalámbricos en la red. · Virus. · Falla de capacitación de TI. 1.2.3.1.4 Evaluación de niveles de riesgos “Un riesgo es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se entiende también como la medida de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y está en relación con la frecuencia con que se presente el evento.”20 EL proceso de evaluación del riesgo permite a una organización alcanzar los requerimientos estándar sobre su plataforma tecnológica, con el fin de generar un plan de implementación de controles que aseguren un ambiente informático seguro. El objetivo de la evaluación es identificar y evaluar los riesgos. Los riesgos son calculados por una combinación de valores de las amenazas, el valor de los activos y las vulnerabilidades. 1.2.3.1.5 Tratamiento de riesgo El tratamiento de riesgo se define, como el conjunto de decisiones tomadas con cada activo de información. Para el manejo del riesgo se pueden tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto. 20 Villalva, Juan. Riesgos. http://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtml, 20-072010 19 Aceptar el riesgo: Se basa en aceptar el riesgo, y no tomar medidas para anularlo, reducirlo o transferirlo. Anular el riesgo: Reside en eliminar completamente el riesgo mediante cambios y mejoras sustanciales en los procesos operacionales. Reducir el riesgo: Se trata de reducir la probabilidad de un riesgo al nivel más bajo nivel posible. Los métodos generalmente son los más sencillos, económicos y aplicables. Transferir el riesgo: Reside en repartir la responsabilidad con otra área o servicio externo, de igual manera, al transferir el riesgo, éste es minimizado. 1.3 DISEÑO DE LA RECUPERACIÓN Uno de las características principales de la disponibilidad de la información es la recuperación de la información, debido a que debe asegurarse un diseño efectivo para garantizar el retorno a las operaciones normales del negocio cuando fallen los servicios, tan pronto como sea posible. Actividades: Medida de recuperación de incidente La gestión de la Disponibilidad tiene relación con la Gestión del Incidente, para determinar parámetros de conocimiento acerca de los fallos y asegurarse la no repetición de los mismos. Para determinar de una manera clara la medida de recuperación de incidente es recomendable: · Definir procedimientos claros para la medida de recuperación de cada servicio. · Definir los roles y responsabilidades claros de los encargados de la recuperación. 20 Métricas de Recuperación. En este punto se elaborará una especificación de ciertos parámetros, los cuales se evaluarán en función del tiempo lo que proporcionará una estimación oportuna de los procesos para los cuales la recuperación tomará mayor cantidad de tiempo, y la priorización de los mismos. Respaldo o Back-Up. En esta sección, se procede a especificar los parámetros de recuperación, periodicidad, medio, de los componentes de hardware, software y datos en los que se basan los servicios de Tecnologías de la Información. Gestión de Sistemas Para aumentar los niveles de disponibilidad de la información, se debe proveer al departamento de TI de herramientas de gestión de sistemas. El correcto uso de estas herramientas ayuda con la detección y diagnóstico de los fallos permitiendo una recuperación más eficiente. Restauración del servicio. En esta sección se especificarán las acciones a realizar para la recuperación de un servicio de TI de la organización. Además se elaborará un ejemplo de interrupción del servicio, y los procedimientos a realizarse para su restauración. 21 1.4 CONSIDERACIONES DE SEGURIDAD Los sistemas de información son esenciales para las organizaciones y deben ser protegidos. La seguridad de TI consiste en garantizar que los recursos de software y hardware de una organización se usen responsablemente ya sea por el Área de Tecnologías de Información como todas las áreas de la organización. La seguridad informática se resume, por lo general, en tres objetivos principales: · Integridad: certificar que los datos no han sido modificados por personas no autorizadas. · Confidencialidad: garantizar el acceso a la información únicamente por los individuos autorizados. · Disponibilidad: asegurar el acceso a la información por personal autorizado en el momento que lo requieran. 1.4.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS Es muy importante para el departamento de Tecnologías de Información de la organización, tener claramente definido la persona responsable de la adquisición de los bienes informáticos, así como las características tanto de hardware como de software de los equipos a ser adquiridos. Además de los elementos de software permitido a ser instalados en los equipos. 1.4.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO En esta sección se determinarán los lineamientos a los que la instalación, ubicación y disposición de un equipo de cómputo nuevo o reasignado se debe acoger tales como: área, diagramas de ubicación, suministro eléctrico e infraestructura de cableado. 22 El objetivo es impedir daños, pérdidas, interrupción de actividades tanto del Área de Tecnologías de Información, como de las otras Áreas Transversales mediante la protección del equipamiento de las amenazas indicadas anteriormente. 1.4.3 SEGURIDAD DE LA INFORMACIÓN La Seguridad de la Información se basa en cuidar y proteger la información, en el interior de la organización mediante la aplicación de medidas preventivas y reactivas coordinadas por el personal de Tecnologías de la información. “La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos. Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.” 21 1.4.4 SEGURIDAD FÍSICA Y DEL ENTORNO El objetivo principal es impedir el acceso físico no autorizado, daños e interferencia en las instalaciones e información de la organización, así como impedir pérdidas, exposiciones al riesgo de los activos mediante la protección de la información crítica. Para la protección contra amenazas externas y del ambiente, se recomienda que se diseñe y aplique medios de protección contra daños potenciales causados por fuego, inundación, terremoto, y otras formas del hombre en áreas protegidas. 21 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n 23 1.4.5 GESTIÓN DE COMUNICACIONES Y OPERACIONES El objetivo es asegurar la operación correcta y segura de los recursos de tratamiento de información. Se recomienda establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos para el tratamiento de la información. 1.4.6 GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS DE CÓMPUTO. El objetivo es mantener la integridad y la disponibilidad de los servicios, aplicaciones y medios externos de la información. Se recomienda establecer procedimientos rutinarios de respaldo para realizar copias de seguridad y probar su puntual recuperación, basándose en una evaluación de riesgos para determinar los activos de información más relevantes. 1.4.7 SEGURIDAD DE LA RED El objetivo es asegurar la protección de la información en redes y la protección de la infraestructura de soporte. 1.4.8 MONITORIZACIÓN El objetivo es detectar las actividades de manipulación de información no autorizadas. Se recomienda monitorear los sistemas y los eventos de la seguridad de información registrados. El registro de los operadores y los registros de fallos deberían ser usados para garantizar la identificación de los problemas del sistema de información. El monitoreo del sistema debería ser utilizado para verificar la efectividad de los controles adoptados. 24 1.5 MANTENIMIENTO DEL PLAN Es de vital importancia para una organización, proyectar el mantenimiento del Plan de Disponibilidad, el cual debe ser elaborado con proyección a futuro, y con opciones de mejora continua. Uno de los resultados principales del proceso de Gestión de la Disponibilidad es la creación de un Plan de Disponibilidad, el cual debe ser a largo plazo para la mejora proactiva de la disponibilidad considerando las limitaciones de costo impuesto. 25 CAPÍTULO 2 ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN. En el presente capítulo se realiza una descripción general de la organización GRUPO FARO, en la cual se aplicara el desarrollo del Plan de Disponibilidad de Tecnologías de la Información (TI), mediante el uso de las buenas prácticas de la librería ITIL. 2.1 ANTECEDENTES “El 17 de diciembre 2004, doce ciudadanos crearon Grupo FARO debido a la necesidad de contar con un espacio independiente (a partidista) que apoye las capacidades institucionales del Estado, la sociedad civil y el sector privado para generar políticas públicas más cercanas a los y las ciudadanas. En poco tiempo, Grupo FARO atrajo gente emprendedora que tenía en mente aportar al bien público desde diferentes visiones políticas, conocimiento y experiencia. Cuando Grupo FARO nació, la inestabilidad política era tal que era casi imposible promover políticas públicas a largo plazo. Por ello, desarrolló gran flexibilidad para adaptarse a instituciones inestables y promover un espacio de dialogo plural e informado en un país fragmentado política e ideológicamente. Ahora, ha llegado el tiempo de construir sobre lo avanzado y, sin dejar de ser flexibles, innovadores y creativos, comenzar a pensar y actuar de forma estratégica. Grupo FARO tiene hoy el desafío de comenzar a creer en la posibilidad de ver el futuro como la historia que quiere escribir. Se siente orgulloso de lo avanzado y humilde frente a los desafíos que le quedan por delante. A pesar de ello, Grupo FARO crece firme y convencido de que la visión se cumplirá con el aporte de ciudadanos y ciudadanas unidos a favor del bien público.”22 22 http://www.grupofaro.org/node/172 26 2.2 DESCRIPCIÓN DE LA ORGANIZACIÓN “Grupo FARO surgió de la necesidad de contar con un espacio independiente y apartidista que apoye las capacidades institucionales del Estado ecuatoriano, a la sociedad civil y al sector privado pues los tres sectores deben tener una equitativa y activa participación en la creación de políticas públicas más cercanas a los ciudadanos. Figura 2. 1 Personal Grupo FARO 2011 ”23 “Grupo FARO (Fundación para el Avance para las Reformas y las Oportunidades) tomó su nombre de la torre vigía localizada en las costas y usada para guiar a las embarcaciones Grupo FARO orienta sus esfuerzos al fortalecimiento de la “esfera pública”, entendida como el espacio donde se encuentra el Estado, la sociedad civil y el sector privado para la deliberación de los desafíos comunes, la generación de soluciones innovadoras y la acción colectiva para implementarlas. En suma, el nombre Grupo FARO, es símbolo de colaboración, de generación de conocimiento.”24 23 24 Quiénes somos http://www.grupofaro.org/node/518 Qué significa Grupo FARO - http://www.grupofaro.org/node/517 27 2.2.1 CONSTITUCIÓN GRUPO FARO 2.2.1.1 Miembros fundadores ¨Los miembros fundadores de Grupo FARO en el año 2004 fueron: Orazio Bellettini. Elizabeth Linn Coombs. Brunella Bellettini. María José Gil Llorenti. Jorge Alberto Ramírez. Fernando Straface. Álvaro Vivanco. Diego Grijalva. Vinicio KarAtamaint. Camilo Páez Quevedo. María Paula Romo. Carolina Vizcaíno¨.25 2.2.1.2 Consejo ejecutivo “El Consejo Ejecutivo está compuesto por los (as) directores (as) de las diferentes áreas y ejes de trabajo de la organización. Entre sus funciones se encuentran definir los lineamientos estratégicos y operativos de la organización durante la ejecución de sus actividades a lo largo del año, así como ejercer un liderazgo que inspire a los y las integrantes de la organización a innovarse permanentemente para contribuir con soluciones a los principales desafíos de Ecuador y América Latina.”26 2.2.1.3 Consejo asesor “El Consejo Asesor está conformado por un grupo de profesionales, ecuatorianos y extranjeros, que se han destacado en sus respectivas áreas de conocimiento. Apoyan los fines y gestión de Grupo FARO. 25 26 Miembros Fundadores - http://www.grupofaro.org/node/178 Consejo ejecutivo - http://www.grupofaro.org/node/576 28 Se trata de un cuerpo asesor y consultivo cuya función es participar activamente en los procesos que apoyen el cumplimiento de su misión, visión y teoría de cambio. Asimismo, participan en la planificación y actualización de la agenda de investigación de Grupo FARO. Sus integrantes son los siguientes: Manuel Alcántara, Director del Centro de Estudios Latinoamericanos del Instituto Ortega y Gasset de la Universidad Autónoma de Madrid. Paúl Carrillo, Economista graduado en la Universidad Católica del Ecuador, Master y PhD en Economía en la Universidad de Virginia. Se desempeñó como Investigador del Banco Central del Ecuador y actualmente es Profesor Asociado de Microeconomía y Economía Regional de la George Washington University. Merilee Grindle, Profesora la Cátedra Edward Mason de Desarrollo Internacional en la Escuela Kennedy de Gobierno en la Universidad de Harvard y Directora del Centro David Rockfeller de Estudios para América Latina. Ricardo Hausmann, Director del Centro de Estudios Internacionales de la Universidad de Harvard y Profesor de Desarrollo Internacional de la Escuela Kennedy de Gobierno de la Universidad de Harvard. Grace Jaramillo, Máster en políticas públicas y relaciones internacionales de la Universidad de Pittsburgh - EEUU. Investigadora, articulista de diario EL COMERCIO y actual coordinadora del programa de relaciones internacionales de la Facultad Latinoamericana de Ciencias Sociales (FLACSO). Yolanda Kakabadse, Su vínculo con la conservación ambiental comenzó oficialmente en 1979, cuando fue nombrada Directora Ejecutiva de Fundación Natura en Quito. Fue Presidente de la Unión Mundial para la Conservación (UICN) desde 1996 hasta 2004 y Miembro del Directorio del Instituto de Recursos Mundiales (WRI), durante el mismo período. Fue co-Presidente del Grupo de Trabajo sobre Sustentabilidad Ambiental del Proyecto del Milenio, 2002 – 2005. 29 Robert Klitgaard, Profesor de la Cátedra Ford de Desarrollo y Seguridad Internacional y Presidente de la Universidad de Claremont. Andrés Mejía, Ph.D. en Ciencias Políticas de la Universidad de Norte Dame, 2004 e investigador en el Instituto de Ciencias del Desarrollo, Universidad Sussex, UK. David Robalino, Máster en Economía en la Universidad de Sorbona, Francia y un PhD en Análisis de Políticas Públicas en la Pardee Rand GraduateSchool. Actualmente se desempeña como Investigador Principal del Banco Mundial en temas de reformas a los sistemas de seguridad social. Andrés Velasco, Profesor Titular de la Cátedra Sumitomo de Economía Internacional en la Escuela de Gobierno John F. Kennedy School de la Universidad de Harvard y fundador de la Corporación Expansiva.”27 . 2.2.1.4 Colaboradores Los faristas son personas que tienen todas las competencias (conocimientos, destrezas, y actitudes) necesarias para cumplir la misión, la visión, y los objetivos de Grupo FARO, con el fin de hacer que la organización continúe formándose y desarrollándose. Estas competencias están divididas en tres áreas centrales: investigación, desarrollo de capacidades, y comunicación e incidencia política y; en cuatro ejes de intervención: ambiente y sociedad, equidad y oportunidades sociales, gobernanza de lo público y sociedad de la información. 27 Consejo Asesor - http://www.grupofaro.org/node/179 30 2.2.2 DATOS GENERALES Grupo FARO - Centro de Investigación de Políticas Públicas Dirección: Gregorio Bobadilla N38-88 y Granda Centeno Teléfono: (593 2) 2 456 367 ext. 11 Fax: (593 2) 2 264 719 Casilla postal: 17-16-135 Mail: [email protected] Figura 2. 2 Ubicación Grupo FARO28 2.2.3 MISIÓN, VISIÓN, PERSPECTIVA La misión, visión, objetivos estratégicos y valores de la empresa que se indican a continuación, han sido tomados del Documento “La Empresa GRUPO FARO S.A”. 2.2.3.1 Misión ¨Incidir en políticas públicas para construir una sociedad más democrática, innovadora, sustentable e incluyente a través de la investigación, el diálogo informado y la acción colectiva. 28 http://www.grupofaro.org/node/726 31 2.2.3.2 Visión Grupo FARO será reconocido globalmente como un centro de políticas públicas que promueve en Ecuador y América Latina el desarrollo sostenible basado en el conocimiento.¨29 2.2.3.3 Perspectiva Desde la perspectiva de Grupo FARO, los cambios en Ecuador se han producido por la imposición de un grupo económico, político, ideológico, regional o étnico sobre el resto de la sociedad. Desde nuestra visión, esto es causado por tres de los que consideramos los principales problemas de nuestro país: Fragmentación: el Ecuador se caracteriza por una alta fragmentación política, social, económica, geográfica, que ha determinado la dificultad de llegar a consensos. Nuestra visión es que cambios impuestos, producto de la fragmentación y la dificultad de actuar por el bien común, no contribuyen al progreso de la sociedad ni son sostenibles en el tiempo. Creemos que cambios duraderos ocurren cuando diferentes grupos de la sociedad (públicos y privados) coinciden en la definición de un problema y, sobre todo, asumen responsabilidades compartidas para resolverlo. 29 Misión y Visión Grupo FARO. En internet: http://www.grupofaro.org/node/173 32 2.2.4 ESTRUCTURA ORGANIZACIONAL En la Figura 2.3 se muestra el organigrama de la organización GRUPO FARO. Figura 2. 3 Organigrama GRUPO FARO30 A continuación se describe a cada una de las áreas de GRUPO FARO: Consejo directivo “El Consejo Directivo es el máximo órgano de gobierno de Grupo FARO y está conformado por un cuerpo colegiado y plural. Sus miembros son personas de diversa formación e identidad profesional, ideológica, política, religiosa y cultural; cuya participación agrega valor al trabajo de la organización. Dirección Ejecutiva Representa legal y oficialmente a Grupo FARO. Propone estrategias y coordina la gestión de fuentes de financiamiento; genera espacios de concertación, alianzas y acuerdos para garantizar el desarrollo óptimo de las actividades de la organización. Lidera la gestión institucional mediante el direccionamiento estratégico. 30 http://grupofaro.org/sites/default/files/recursos/archivos/2011/2011-10-27/Diapositiva1.jpg 33 Guía y apoya el establecimiento de políticas y normas que fortalezcan la institucionalidad y coadyuda al cumplimiento de la misión, vela por el desarrollo de programas y el cumplimiento de los requisitos establecidos en los convenios.” 31 Subdirección Se encarga de coordinar la elaboración de los Planes estratégico, operativo anual de Grupo FARO mediante el seguimiento, monitoreo y evaluación de su avance. Informa periódicamente acerca del avance de los planes institucionales y ejecuciones presupuestarias. Adicionalmente, se encarga de coordinar la solución de problemas administrativos y de recursos humanos que dificultan el desarrollo de los proyectos Área Administrativa Financiera Administra los recursos financieros y materiales de la Organización; gestiona el presupuesto, y la contabilidad; y, presta servicios administrativos en el marco de las leyes y normativas vigentes. Programar, formular, ejecutar y liquidar el presupuesto de la Organización en el marco de las disposiciones legales y políticas del organismo, además de conocer y aprobar los presupuestos de los proyectos Asesora al Director Ejecutivo y unidades administrativas en materia presupuestaria, contable y financiera. Área de Investigación Esta área es la encargada de impulsar, apoyar y monitorear la realización de las investigaciones de los diferentes ejes de intervención, con el acompañamiento continuo en las investigaciones que se están creando que, además de generar los conocimientos necesarios, sean una fuente de evidencia para la concepción de políticas públicas. Está compuesta por su Directora y una investigadora del área, a medida que transcurra el tiempo la dirección va a tener la posibilidad de crecer y tener más investigadores que consoliden el trabajo que se realiza. 31 http://www.grupofaro.org/node/338 34 Además apoya en el proceso de investigación para que sea relevante dentro de la esfera pública de Ecuador, no sólo que trasciendan el campo específico de cada uno de los ejes de intervención sino que con su fundamento sea fuente de evidencia para incidir en políticas públicas. Área de Desarrollo de Capacidades Se encarga de normar y coordinar acciones para desarrollar capacidades tanto para el personal de la Organización como para los actores sociales que participan en la ejecución de programas y proyectos, de tal forma que se fortalezcan sus habilidades individuales y de grupo para realizar tareas, resolver problemas, establecer y alcanzar objetivos de forma sustentable. Área de Comunicación e Incidencia Política El área de Comunicación e incidencia política difunde las ideas, las propuestas y/o resultados de sus investigaciones entre los actores internos (personal de GF) y externos (grupos de interés). Propone e implementa estrategias, procesos y políticas comunicacionales para promocionar y fortalecer la imagen institucional. Es una de las áreas transversales que desde este enfoque único apoya a las áreas transversales y temáticas para cumplir la misión y visión organizacional. Propicia alianzas con los distintos niveles de gobierno, sector privado y sociedad civil a través de diálogos informados y publicaciones que recogen la investigación y aporte de Grupo FARO. La gestión técnica de los investigadores de GF se sostiene con el apoyo de las estrategias de comunicación porque solo así tienen la capacidad de apoyar la toma de decisiones de diversos actores públicos, privados y de la sociedad civil. Por ello, se llevan a cabo diálogos informados, alianzas estratégicas con medios de comunicación y acercamiento directo con grupos de interés. 32 32 http://www.grupofaro.org/node/335 35 Eje de Ambiente y Sociedad El eje de Ambiente y Sociedad busca entender y analizar la relación entre el cambio ambiental y el cambio social. ¿Qué impulsa y provoca estos cambios a nivel local, nacional, regional o global? ¿Cuál es el impacto que tienen estos cambios en la sociedad, la economía y la institucionalidad? El propósito de este eje es incidir efectivamente en las políticas públicas que el país se plantea para alcanzar el desarrollo sustentable, desde las modalidades de intervención de Grupo FARO: generación de evidencia (investigación), desarrollo de capacidades y comunicación. Eje de Equidad y Oportunidades Sociales El Eje de Equidad y Oportunidades Sociales propone políticas y prácticas que permiten acortar las brechas que existen en la población para acceder a los servicios sociales, en especial en aquellas etapas de mayor vulnerabilidad del ser humano (infancia, enfermedad y desarraigo). El objetivo es que todas las personas alcancen su potencial en libertad y solidaridad. Durante los últimos años, las políticas sociales han adquirido gran relevancia, lo que se puede evidenciar con la alta inversión que ha recibido el sector. También realiza monitoreo de las políticas públicas sociales tanto en sus aspectos técnicos como políticos para promover un diálogo informado que permita lograr propuestas creativas para resolver estos problemas. Eje de Gobernanza de lo Público Investiga el rol del Estado y su relación con los miembros de la sociedad civil, la empresa privada y el sector público. Promueve la transparencia y el acceso a la información pública de forma oportuna, actualizada y ciudadana como el primer paso para un mayor involucramiento de la ciudadanía en las decisiones de su gobierno. Su estrategia de intervención, a través de éste y otros ejes temáticos de Grupo FARO, es la transparencia.33 33 http://www.grupofaro.org/node/58 36 Eje de Sociedad de la Información Es un eje cuyo objetivo es buscar, generar una cultura de información y conocimiento para generar en la sociedad participación proactiva en los procedimientos y procesos democráticos. Promueve el acceso igualitario a la información para la generación del conocimiento y la participación proactiva y democrática de los actores sociales. Un país capaz de generar conocimiento podrá potenciarlo como motor de desarrollo social, económico y político.34 Personal de apoyo operativo (recepción) Se encarga del área de recepción, así como de la logística de los eventos internos de Grupo FARO. Además de colaborar con Administración Financiera mediante la entrega y verificación de firmado de cheques y comprobantes de retención. 2.3 PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN 2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN El departamento de TI es dirigido por el Administrador de Red, el cual está encargado de brindar asesoría y soporte a todas las áreas administrativas y transversales de GRUPO FARO. Entre las tareas del área de tecnologías de información, están las siguientes · Crear y administrar una política de seguridad, acerca de accesos y uso del sistema y aplicaciones, permisos y seguridad física. · Administración de usuarios: Creación y mantenimiento de cuentas, actualización de permisos de acceso a bases de datos y aplicaciones. · El mantenimiento de sistema operativo: Revisar actualizaciones y asegurar el normal funcionamiento del sistema, programar las actividades de mantenimiento. · Administrar periféricos: Asegurar accesos y el normal funcionamiento de estaciones de trabajo e impresoras. 34 http://www.grupofaro.org/node/57 37 · Administrar licencias del software de servidor y periféricos. · Gestionar oportunamente la recuperación y puesta en marcha del sistema en caso de fallas de hardware, energía o comunicaciones. · Monitor de rendimiento del sistema. · Crear y mantener el sistema de archivos del servidor central. · Instalar el software nuevo y sus actualizaciones. · Crear y ejecutar la política de copias de seguridad y recuperación. · Administrar la red de comunicaciones: accesos, configuración y normal operación. 2.3.1.1 Estructura del departamento ti de la organización Cuenta con una persona que se encarga de administrar la Infraestructura de la Red, de realizar Backups, mantenimiento de Hardware y Software, adquisición de insumos y equipos informáticos, soporte a usuarios, creación de cuentas de usuario e implementación de proyectos tecnológicos. El departamento Ti se encarga del Área tecnológico y de dar soporte a los usuarios. El área de TI es la responsable de dar apoyo a los usuarios en las aplicaciones tanto en soporte en software como office, correo electrónico a aplicaciones internas de FARO además de proporcionar la infraestructura tecnológica. En GRUPO FARO, existen aproximadamente 50 equipos de computación, donde alrededor de 25 son computadores portátiles (laptops), 15 son computadores de escritorio (desktops) y 9 computadores Mac. El departamento de TI es dirigido bajo políticas de control y seguridad que le permiten operar dentro de los formatos apropiados en relación a la administración de la información. 38 2.3.1.2 Áreas relacionadas con el departamento de TI Departamento de TI Administración Dirección Comunicación e Incidencia Política Subdirección Investigación Ejes de proyectos Ambiente y Sociedad Gobernanza de lo público Equidad y oportunidades Sociedad de la Información Figura 2. 4 Áreas relacionadas al departamento de TI Los principales departamentos relacionados con el departamento de Tecnologías de Información son el departamento Administrativo- financiero, dirección y subdirección, comunicación e incidencia política, investigación. Están altamente conectados y obtienen los mayores recursos TI. En menor grado pero no menos importantes los ejes de: Ambiente y Sociedad, Gobernanza de lo público, Equidad y oportunidades sociales, Sociedad de la Información. 2.3.1.3 Descripción de los Perfiles y Responsabilidades del Área de TI Administrador de Tecnologías de Información Misión del Cargo: Administrar y controlar proyectos y recursos tecnológicos siguiendo las políticas y estándares de la corporación para asegurar y mejorar la operación del negocio. 39 Relaciones de Trabajo: Relaciones Internas Área N B I Administración N: Ninguna C x Dirección X Comunicación X Investigación X Ejes Proyectos X B: Básica I: Importante Tabla 2. 1 C:Crítica Relaciones internas del Administrador de TI Relaciones Externas Entes N B I Proveedores Clientes x X Proyectos Externos N: Ninguna B: Básica Tabla 2. 2 C x I:Importante C:Crítica Relaciones Externas del Administrador de TI. Responsabilidad y Funciones: • Programar planes de mantenimiento de infraestructura (RED, Servidores, Comunicaciones) y aplicaciones para mantener funcionamiento de los mismos. • Programar implementaciones tecnológicas definidas por la corporación para mejorar y mantener la operación. • Supervisar el apropiado desenvolvimiento de las operaciones dentro del área, con la finalidad de garantizar el fiel cumplimiento de los controles internos &Sistema Contable. • Supervisión de servicios tercerizados para garantizar la normal operación del negocio. • Supervisar las actividades de desarrollo e infraestructura para lograr eficiencia en los procesos. 40 • Programar los planes de contingencia sobre servidores y acceso a red con la finalidad de mantener operativo el negocio. • Programar nuevo requerimiento de usuario o necesidades internas de información para mejorar la gestión y la toma decisión. • Reportar, investigar y manejar de manera puntual actos y condiciones deficientes e identificar aspectos y riesgos. Educación: Ingeniero en Sistemas y/o Analista de Sistemas Conocimiento: CCNA Cisco; Servidores Windows Server 2008; Plataforma Microsoft Office 2007; Instalación y Recuperación de Hardware y Software; mantenimiento correctivo y preventivo de hardware. Experiencia: Mínima 2 años en cargos similares. Habilidades: Trabajo bajo presión, Habilidad numérica, Habilidad analítica, Trabajo en equipo, Trabajo Individual, Responsabilidad, Interacción y Comunicación Social y Orientación a los resultados. 2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI El Área de TI de la GRUPO FARO detalla el inventario de los equipos que posee a cargo. 2.3.2.1 Servidores Nombre PC SRV-AP Nombre Usuario Administrador Sistema Operativo Nombre SO Microsoft® Windows Server® 2008 Standard Versión SO 6.0.6001 Memoria Física Libre 2274 MB 41 Memoria Paginación Libre 6418 MB Memoria Virtual Libre 8502 MB Processor MainBoard Procesador Nombre CPU Intel(R) Xeon(R) CPU E5620 @ 2.40GHz Frecuencia de reloj 2399Mhz Max. Frecuencia de reloj 2399Mhz Reloj Externo 133Mhz Nº Serie BFEBFBFF000206C2 CPU ID Intel64 Family 6 Model 44 Stepping 2 MemoryDevice Memoria Total 6132 MB Memoria Usada 3859 MB Memoria Libre 2273 MB Memoria Usada Porcentaje 62% Memoria Física Descripción PhysicalMemory 2 Disp. Localizado PROC 1 DIMM 3 Velocidad 1333Mhz Unidad de disco Nombre HP LOGICAL VOLUME SCSI Disk Device Capacidad 500GB Tipo Bus SCSI Particiones 2 Unidad de CD-ROM Nombre hp DVDROM DH20N ATA Device 42 Letra E: Estado OK Network Conexión de área local Nombre del Producto Gigabit Ethernet Broadcom NetXtreme Dirección MAC 1C:C1:DE:E8:07:38 Conexión de área local 2 Nombre del Producto Gigabit Ethernet Broadcom NetXtreme Fichero Driver b57nd60a Manufactura Broadcom Dirección MAC 1C:C1:DE:E8:07:39 Tabla 2. 3 Características hardware Servidor Grupo FARO Equipos 4 GB Acer Aspire 4830T 2.53 GHz Intel Core i3-380M dualcore processor Estefanía Charvet 3 GB Intel Core i3 TOSHIBA Satélite L655 sp41351 Mireya Villacis 2 GB 1 GB CORE i5 Intel Core 2 duo Portatil HP Mac Sigrid Vásconez 6GB of DDR3 4GB Procesador Intel Core i7 2600 -3,4GHZ Intel Core i5-2410M (2.3 GHz 3GB 3GB 4GB 2GB 3GB MEMORIA RAM Intel Core 2 duo 2.66 GHz Intel Core 2 duo 2.66 GHz Intel Core 2 Duo 3.6Ghz Intel Pentium 4 2,2 GHz Intel core i5- 2410M 2.3Ghz PROCESADOR Daniel Bravo Asus K53SVAS1 Maritza Aguirre Genérico HP a64301a Mayra Cabezas Estefania de la Cruz HP a64301a Loredanna Medina Genérico TOSHIBA Satélite L305-55924 Alejandra Valdivieso Jazzmin Armas Asus K53SVAS1 MARCA Francisco Sanchez RESPONSABLE 500 GB 320 GB 500 GB 120 GB 640GB 1000GB 500GB 500GB 500´GB 160 GB 640 Gb DISCO DURO Windows 7 Home Premium Windows 7 Home Premiun WINDOWS 7 PROFESSIONAL MAC OS X 10.5 Windows 7 Home Premium (64 bit) Windows 7 Ultimate 64 bits Windows Vista Home edición Windows Vista Home edición Windows 7 home Premium Windows Xp Professional SP3 Windows 7 Home Premium (64 bit) SISTEMA OPERATIVO En la Tabla 2.4 se presenta la una lista de equipos administrados por el departamento de TI de GRUPO FARO. 2.3.2.2 43 Portatil HP Maria Dolores Lizarzaburu IMAC Liseth Estevez Genérico Genérico Genérico COMPAQ Andrea Zumárraga Diana Bolaños Mónica Orozco Asus Pasante 1 Alejandro Moya COMPAQ Gateway Daniel Almeida Francisco Delgado Intel Core 2 duo Toshiba Satellite L505DSP6013R Gabriela Erazo Intel Core 2 Duo Intel Pentium III Xeon Intel core 2 duo AMD Seprón Intel core duo de 1,6 Ghz Intel Core 2 Duo Core i3 3,06Ghz, ntel ® Core ™ 2 Intel Core 2 duo Intel core 2 Duo PROCESADOR MAC Daniela de la Torre MARCA RESPONSABLE 2 GB 2 GB 2 GB 4 GB 4 GB 2 GB 4 GB 1 GB 3 GB 2 GB 320 GB 320 GB 500 GB 320 GB 320 GB 320 GB 500 GB 120 GB 320 GB 250 GB 320 GB DURO RAM 2 GB DISCO MEMORIA WINDOWS 7 PROFESSIONAL Windows Xp Professional SP3 Windows Xp Professional SP3 WINDOWS 7 PROFESSIONAL WINDOWS 7 PROFESSIONAL WINDOWS 7 PROFESSIONAL MAC OS X 10.6 Windows Xp Professional SP3 WINDOWS 7 PROFESSIONAL MAC OS X 10.5 Windows 7 Home Premium SISTEMA OPERATIVO 44 COMPAQ Asus Asus MAC MAC Toshiba Toshiba María Paz Jervis Andrea Ordoñez Adriana Viteri Julio Echeverría Alicia Arias Josue Lopez Paul Medina Procesador Core i7 Intel Core i3 Procesador Intel Core i5 2.3Ghz Procesador Intel Core i5 2.3Ghz Intel core duo de 1,6 Ghz Intel core duo de 1,6 Ghz Intel Core 2 Duo Intel ATOM N450 ASPIRE ONE 532H-2238 NAV50 Esteban Tinoco Intel core 2 duo Intel core duo de 1,6 Ghz TOSHIBA Procesador Intel Core i5 2.3Ghz Centrino Pentium 4 1,7 GHz Intel Pentium III Xeon PROCESADOR Asus Ma. Carmen Pantoja Julio López MAC Genérico Juan Jose Herrera Mabel Andrade Genérico MARCA David Avilés RESPONSABLE 4 GB 3 GB 4 GB 4 GB 4 GB 4 GB 2 GB 2 GB 4 GB 2 GB 4 GB 512 MB 600 GB 320 GB 320 GB 320 GB 320 GB 320 GB 320 GB 250 GB 320 GB 320 GB 320 GB 80 GB 320 GB DURO RAM 2 GB DISCO MEMORIA WINDOWS 7 PROFESSIONAL WINDOWS 7 PROFESSIONAL MAC OS X 10.6 MAC OS X 10.6 WINDOWS 7 PROFESSIONAL WINDOWS 7 PROFESSIONAL WINDOWS 7 PROFESSIONAL Windows Xp Professional SP3 WINDOWS 7 PROFESSIONAL Windows Xp Professional SP3 MAC OS X 10.6 Windows Xp Professional SP3 Windows Xp Professional SP3 SISTEMA OPERATIVO 45 MAC Iván Borja MAC LIBRE -- Mabel Andrade Tabla 2. 4 Genérico MAC LIBRE AUDITORIA Dell XPSm140 Asus TOSHIBA ACER DELL Anabel Castillo María Gabriela Flores Francisco Enríquez HP Pavilon DV4 SONY Guillermo Jimbo Paul Salazar ACER Alexandra Rivadeneira 1 GB 512 MB 512 MB 512 MB 4 GB 4 GB 4 GB 3 GB 2 GB 4 GB 4 GB 4 GB 80 GB 40 GB 40 GB 60 GB 320 GB 500 GB 500 GB 320 GB 250 GB 640 GB 640 GB 320 GB 250 GB DURO RAM 2 GB DISCO MEMORIA Windows Xp Professional SP3 MAC OS X 10.4 MAC OS X 10.4 Windows Xp Professional SP3 Windows 7 Home Premium Windows 7 Ultimate Windows Vista home editon Windows Vista home editon MAC OS X 10.6 Windows 7 Ultimate Windows 7 Home Premium MAC OS X 10.6 Windows Xp Professional SP3 SISTEMA OPERATIVO Lista de equipos administrados por el departamento de TI. Intel core 2 duo Intel dual core Intel dual core Procesador Pentium 1,7 Ghz, Intel core duo de 1,6 Ghz Intel Core i3 Intel Core 2 duo Intel Core 2 duo Intel Core 2 duo Intel Core i5 480M - 2,66 Ghz Intel Core i5 2.3Ghz Intel Core i5 2.3Ghz Intel ATOM N450 ASPIRE ONE 532H-2238 NAV50 MAC PROCESADOR MARCA Orazio Bellettini Jorge Agama RESPONSABLE 46 47 2.3.2.3 Otros dispositivos En la Tabla 2.5 se muestra el inventario de otros dispositivos administrados por el departamento de TI de la empresa GRUPO FARO. CANTIDAD DISPOSITIVO 2 Proyectores 2 Impresora matricial 2 Impresora a tinta 1 Impresora multifuncional 1 Modem 3 Switch 1 UPS 2 Routers Inalámbricos 1 Disco Duro Externo 1 Central Telefónica Tabla 2. 5 Otros dispositivos administrados por el departamento de TI. 2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO Internet: El servicio de internet es proporcionado por SATNET, y es distribuido a la organización sin restricción de ancho de banda. Red: La topología de la red de la Infraestructura tecnológica de GRUPO FARO es de tipo estrella por ser la de mayor uso en redes por la confiabilidad y estabilidad que ofrece. El cableado estructurado de la red es conformado por cable UTP Categoría 5e, para la comunicación entre el modem y el proveedor, se usa cable coaxial. No se cuenta con un firewall, y tampoco con un antivirus corporativo. Correo electrónico es proporcionado por Google Apps, aprovechando los beneficios que se obtienen como organización no gubernamental. 48 2.3.4 DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL DEPARTAMENTO DE TI En la Tabla 2.6 se describe los servicios que soporta el departamento de TI de la empresa RELIANCE. SERVICIO DE TI DESCRIPCIÓN Microsoft Office Word Herramienta ofimática – procesamiento de texto Microsoft Office Excel Herramienta ofimática – hoja de cálculo Microsoft Office PowerPoint Herramienta ofimática – elaboración de presentaciones. Correo Electrónico Aplicación de correo electrónico, usado para envío y recepción de e-mails, tanto a nivel interno como externo de la empresa, servicio proporcionado por Google Apps. Internet Red pública usada para la comunicación, búsqueda y transferencia de información, la cual permite la interconexión con otras redes, provista por TVCABLE. Google Docs. Servicio de biblioteca de documentos usado para crear, guardar y compartir documentos, a los usuarios del dominio interno @grupofaro.org Mensajería interna Chat de comunicación interna de la organización Servidor de Archivos Partición disponible para almacenar información importante, de la cual se obtiene respaldos de forma periódica. Scanner Captura y digitalización de imágenes, documentos de texto, y transferencia de los mismos a una carpeta en red para su acceso. Impresoras Impresión de documentos. Copiadoras Copiado de documentos. Fax Servicio de envío y recepción de documentos vía telefónica. 49 SERVICIO DE TI DESCRIPCIÓN Conferencia Conferencia mediante central POLYCOM. UPS Sistema de alimentación de energía ininterrumpida, que permite proporcionar energía a un dispositivo en el caso de interrupción eléctrica. DBSYS (Sistema contable ) Sistema contable que permite la elaboración de contabilidad y presupuestos. AURAPORTAL (BPMS) Suite de administración de procesos internos de la organización. Antivirus Aplicación informática que permite prevenir, detectar y eliminar virus informáticos. Adobe Reader Software utilizado para apertura, lectura e impresión de documentos electrónicos con la extensión “ .pdf ”. Skype Software utilizado para la realización de videoconferencias a través de la red pública Internet. Enlaces de cableado Comunicación con servidores mediante cableado UTP cat. 5e. Enlace Mireles Comunicación con servidores mediante red inalámbrica con seguridad respectiva, SSID grupo Faro. Central telefónica Servicio de telefonía fija. VNC Aplicación de asistencia remota a usuarios de la organización. Equipos de computación y Material componentes Tabla 2. 6 necesario para administración de infraestructura de TI. Descripción de los servicios soportados por el departamento de TI 50 2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI En la Tabla 2.7 se muestra la lista de procesos del departamento de TI de la empresa GRUPO FARO. PROCESO DE TI Soporte a DESCRIPCIÓN usuarios Proceso ayudar PERIODICIDAD encargado a satisfacer necesidades de de Cada vez las usuario que de los organización un la lo usuarios con respecto a la requiere. correcta utilización de los equipos de TI tanto a nivel de hardware y software. Adquisición de Proceso encargado Software asesoramiento adquisición del Cada vez que un área y de la organización lo de nuevos requiere. paquetes de software. Mantenimiento y soporte Proceso del sistema encargado DBSYS asegurar que información de Diario. la administrada por el sistema DBSYS sea precisa, consistente y esté disponible a los usuarios cuando estos lo necesiten y en la forma requerida, especialmente para el área Administrativa Financiera de GRUPO FARO. 51 PROCESO DE TI DESCRIPCIÓN Adquisición de equipos Proceso PERIODICIDAD encargado del Cada vez que un área asesoramiento y de la organización lo adquisición de hardware, requiere. mediante la elaboración de cotizaciones y la elección de la mejor opción. Proceso encargado de la Cada Mantenimiento software de revisión del vez que software solicite se un utilizado en la organización, requerimiento por los para mantener en estado usuarios. óptimo el funcionamiento de los equipos de computación. Proceso Creación de usuarios encargado de Cada vez que ingresa registrar a los ejecutivos en un Active Directory. usuario organización. Obtención de El proceso de back-ups Semanalmente. Backups consiste en sacar un respaldo de las unidades de Red, y de los servidores que tienen aplicaciones locales como Aura Portal, Dbsys, etc. Mantenimiento de red Proceso encargado de la Diario. cableada revisión de los equipos activos red cableada de GRUPO FARO. a la 52 PROCESO DE TI DESCRIPCIÓN PERIODICIDAD Mantenimiento de red Actividades encargadas de Quincenal. inalámbrica la revisión de los equipos activos la red inalámbrica de GRUPO FARO, para mantener en estado óptimo el funcionamiento de los equipos de computación. Proceso Soporte a usuarios ayudar encargado a satisfacer necesidades de de Diario. las los usuarios con respecto a la correcta utilización de los equipos de TI tanto a nivel de hardware y software. Capacitación Usuarios de Capacitación realizada a Depende del ingreso nivel de software usado de nuevo personal, dentro de GRUPO FARO. así como del uso de nuevas aplicaciones de software. Tabla 2. 7 2.4 Listado de Procesos del Departamento de TI. 35 NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO FARO Se elaborará un plan de Disponibilidad de Tecnologías de Información, debido a que no existe ninguna clase de procedimiento a seguir en caso de fallos en la red de comunicaciones, ni energía eléctrica, y menos una política acerca del manejo de fallas de disponibilidad con los servicios externos contratados. 35 Autor: Alejandro Velasco GRUPO FARO 53 El principal servicio crítico para la organización es el Internet, debido a que se utiliza la plataforma de Google Apps @grupofaro.org, en la que se encuentran los servicios de correo electrónico (Gmail), calendario en línea (Google Calendar), Google Docs., Google Setes, y Google Chat para mensajería interna, los cuales son utilizados permanentemente por los usuarios. Además del Sistema contable Dbsys, el cual se encuentra en el Servidor Físico, mediante el cual se realizan todas las actividades pertinentes al Área Administrativa financiera tales como : Elaboración del rol de pagos, cheques, impuestos, etc. Otro servicio crítico que se dispone implementar es un BPMS Aura Portal, mediante el cual se planea modelizar los procesos operativos de la organización y ponerlos en ejecución automática, al cual ingresarán todos los usuarios de la organización, mediante la red interna. · A continuación se indican los principales factores que requiere GRUPO FARO en la disponibilidad de TI: • Reducir costos de operación y de adquisición de TI. • Monitorizar los servicios de TI. • Incrementar la calidad y satisfacción de los usuarios. • Incrementar la agilidad de TI para adaptarse a los cambios y requerimientos constantes del negocio. • Mejorar la infraestructura y servicios TI con el objetivo de aumentar los niveles de disponibilidad. 54 CAPÍTULO 3 ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE TI. En este capítulo se determinarán los requisitos de disponibilidad identificando las actividades Vitales del Negocio y su relación con las TI mediante encuestas al personal administrativo, mapeando las actividades realizadas con los servicios, prestados por el departamento de TI. Posteriormente se realizará el levantamiento de información en lo que se refiere a hardware y software activo y pasivo de la organización. Entonces, se realizará el Análisis de Puntos individuales de Fallo de componentes aplicando los mejores métodos descritos en la librerías, además del Análisis de Riesgo y en base a los resultados se especificarán criterios acerca de la gestión de riesgo, recuperación de los servicios, métricas de recuperación y consideraciones de seguridad. Este plan permitirá tener una visión de las actividades a ser realizadas para mejorar la disponibilidad de los servicios TI, además de la infraestructura tecnológica actual de la organización. Se realizarán pruebas con interrupciones específicas a un servicio crítico, y gracias a los criterios presentados anteriormente, evaluar los resultados del Plan de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta al mismo. Después se determinarán los requisitos de disponibilidad, mediante los cuales se pueden determinar las necesidades respecto a la Disponibilidad de las Tecnologías de Información. Gracias a la determinación de los requisitos de disponibilidad, se podrá evaluar si la infraestructura de TI de la organización, puede proporcionar los niveles necesarios de disponibilidad. 55 A continuación se realizará la actividad de diseño. Las actividades de diseño son: · El Diseño de la Disponibilidad. · El Diseño de la Recuperación. · Consideraciones sobre Seguridad. · Mantenimiento del Plan de Disponibilidad. La gestión de disponibilidad debe garantizar que los niveles de disponibilidad cumplan lo acordado en los servicios que se entreguen de manera eficiente mediante una relación costo-beneficio. Para conseguirlo la Gestión de Disponibilidad puede realizar actividades reactivas y proactivas. Actividades reactivas Las actividades reactivas de la Gestión de Disponibilidad consisten en monitorear, medir, analizar, reportar y revisar todos los aspectos de la disponibilidad de componentes y servicios. En cualquier lugar donde sean detectadas las brechas de disponibilidad, estos son investigados, y se ejecutan acciones correctivas. Estas operaciones son incluidas generalmente en los roles operativos. Actividades proactivas Para ser eficaz, la gestión de disponibilidad debería tener actividades proactivas, las cuales se centran en una planificación y en una implicación en la mejora de la disponibilidad. Las actividades proactivas de la Gestión de Disponibilidad implican: · Análisis y Gestión de Riesgo. · Programas de pruebas de disponibilidad. 56 · Análisis de Impacto de Fallo de Componentes (CFIA). · Análisis de Punto Individuales de Fallo (SPOF). · Análisis por Árboles de Fallos (FTA). En la Figura 3.1 se presentan las actividades Reactivas y Proactivas, y como estas se interrelacionan entre sí. Figura 3. 1 36 Actividades proactivas y reactivas 36 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 57 3.1 MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL NEGOCIO En la Tabla 3.1 podemos se muestran los Servicios de TI administrados por el departamento de Tecnología y las Áreas que utilizan dichos servicios. Las encuestas se realizaron mediante la herramienta Survey Monkey 37, con la cual se pueden realizar encuestas en línea gratuitamente. El formato y los resultados de las encuestas, se los puede encontrar en: Anexo 1: GF- Formato Encuesta ON-LINE. Anexo 8 - GF-Tabulación encuestas ON-LINE. ÁREA SERVICIO DE TI Dirección ejecutiva Word Excel Power Point Correo electrónico Chat Google Google Docs Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Copiadora Ricoh Aficio MP 171 Fax Ricoh Aficio MP171 Antivirus Internet Inalámbrico Central telefónica Polycom Central telefónica Área Administrativa Financiera Word Excel Power Point Correo electrónico Chat Google Google Docs Msm Messenger Documentos Compartidos 37 http://es.surveymonkey.com/ 58 Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Copiadora Ricoh Aficio MP 171 Impresora Epson Planta Baja Impresora EPSON LX-300 Impresora Matricial Epson Administración Sistema Contable DBSYS Software Impuestos Antivirus Acceso Remoto Internet Cableado Servidor de archivos (carpetas compartidas) Área de Investigación Word Excel Power Point Access Correo electrónico Chat Google Google Docs Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Fax Ricoh Aficio MP171 Antivirus Adobe Acrobat Central telefónica Polycom Skype Otros Paquetes estadísticos Área de Capacidades Desarrollo de Word Power Point Correo electrónico Google Docs Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Copiadora Ricoh Aficio MP 171 Antivirus Adobe Acrobat Acceso Remoto Internet Inalámbrico 59 Central telefónica Skype Área de Comunicación e Word Incidencia Política Excel Power Point Correo electrónico Chat Google Google Docs Impresora Ricoh Aficio MP171 Copiadora Ricoh Aficio MP 171 Impresora EPSON LX-300 Adobe Acrobat Internet Inalámbrico Skype Redes sociales, Adobe para diseño gráfico, google analytics, Eje de Ambiente y Sociedad Word Excel Power Point Correo electrónico Chat Google Google Docs Impresora Ricoh Aficio MP171 Antivirus Adobe Acrobat Internet Inalámbrico Central telefónica Skype Eje de Gobernanza de lo Word Público Excel Power Point Correo electrónico Chat Google Google Docs Msm Messenger Documentos Compartidos Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Copiadora Ricoh Aficio MP 171 60 Antivirus Adobe Acrobat Internet Inalámbrico Internet Cableado Servidor de archivos (carpetas compartidas) Skype Eje de Equidad y Oportunidades Sociales Word Excel Power Point Correo electrónico Chat Google Google Docs Documentos Compartidos Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Copiadora Ricoh Aficio MP 171 Antivirus Adobe Acrobat Internet Inalámbrico Central telefónica Skype SPSS Eje de Sociedad Información de la Word Excel Power Point Correo electrónico Chat Google Google Docs Msm Messenger Documentos Compartidos Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Copiadora Ricoh Aficio MP 171 Fax Ricoh Aficio MP171 Impresora Epson Planta Baja Impresora EPSON LX-300 Antivirus Adobe Acrobat Acceso Remoto 61 Internet Inalámbrico Central telefónica Polycom Internet Cableado Central telefónica Servidor de archivos (carpetas compartidas) Skype Personal de apoyo operativo Word (recepción) Excel Power Point Access Correo electrónico Chat Google Google Docs Impresora Ricoh Aficio MP171 Escáner Ricoh Aficio MP 171 Copiadora Ricoh Aficio MP 171 Fax Ricoh Aficio MP171 Impresora Epson Planta Baja Impresora EPSON LX-300 Impresora Matricial Epson Administración Adobe Acrobat Internet Inalámbrico Central telefónica Polycom Central telefónica Servidor de archivos (carpetas compartidas) Tabla 3. 1 Servicios de TI administrados por el departamento de Tecnología. 3.1.1 ACTIVIDADES DEL NEGOCIO En la Tabla 3.2 se describen las actividades del negocio que se presentan en cada Área, además de si se relacionan con las Tecnologías de Información, y el principal servicio de estas. El formato de la encuesta se encuentra en: Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y operacional. La tabulación de los datos se encuentra en: Anexo 7: GF-Tabulación encuestas Grupo FARO. 62 ÁREA DEL NEGOCIO PROCESO DEL NEGOCIO RELACIONADA CON TI SI Dirección ejecutiva Colaboración en el proceso de selección de NO 1 personal Auxiliar Contable Asistente Financiera Contable Asistente Contable Analista de Reportes Levantamiento de fondos 1 Generación de actas de reuniones 1 Revisión de cuentas 1 Revisión, orden y clasificación de archivos 1 Conciliaciones Bancarias 1 Cuadrar Proyectos 1 Secuencia de retenciones 1 Registro de Facturas 1 Emisión de cheques 1 Carga de transferencias 1 Registro de reembolso de gastos 1 Depósitos, Débitos e ingresos 1 Revisión de cuentas 1 Revisión de documentación física 1 Realización de conciliaciones bancarias 1 Revisión del centro de costos 1 Preparación de carpetas para auditorias 1 Control Presupuestario 1 Cronograma de Informes Financieros 1 Informes al donante 1 Revisión de documentación - respaldo Revisión y preparación de presupuestos 1 1 63 ÁREA DEL NEGOCIO PROCESO DEL NEGOCIO RELACIONADA CON TI SI Coordinadora Supervisar y Coordinar la ejecución de Financiera -Contable procesos contables 1 Obtener y revisar informes financieros 1 Declaración de Impuestos y similares 1 Revisión, ejecución mensual del NO 1 presupuesto institucional Área de Investigación Revisión de informes de donantes 1 Revisión de documentos académicos para 1 investigaciones internas Organización de temas relacionados con 1 eventos colaboración con tareas administrativas del 1 Área de Investigación Área de Comunicación Supervisar e Incidencia Política GRUPO FARO editorial y publicaciones de 1 Supervisar estándares de calidad de los 1 eventos de GRUPO FARO Desarrollo de reuniones estratégicas para el 1 área de Comunicación Monitoreo de medios Relación con 1 públicos externos de 1 comunicación Revisión y actualización de inventario de 1 Área de Comunicación elaboración y actualización de Bases de 1 Datos de contactos Personal de apoyo operativo (recepción y mensajería) Verificar estado tributario de las facturas Recibir y entregar facturas a 1 sus 1 responsables Elaborar solicitudes correspondientes de al pago 1 presupuesto institucional Elaborar adquisiciones contrataciones de servicios de bienes y/o 1 64 Mantener actualizado el inventario de 1 suministros Entregar y retirar documentación 1 Realizar el mantenimiento y apoyar con la 1 limpieza de oficinas Efectuar cobros y pagos Administración de TI 1 Realizar trámites en instituciones financieras 1 Administración de usuarios 1 Mantenimiento preventivo y correctivo de 1 Servidores. Administración de periféricos 1 Administración de licencias del software del 1 servidor y periféricos Soporte técnico in situm y remoto. 1 Monitorear el rendimiento del sistema. 1 Mantenimiento del sistema de archivos del 1 servidor central. Instalación de software y sus 1 Creación y ejecución de copias de seguridad 1 actualizaciones. y recuperación. Tabla 3. 2 3.2 Funciones y Procesos del negocio, y su relación con TI ELEMENTOS DE CONFIGURACIÓN (CI) ¨Los elementos de configuración son todos, tanto los componentes pertenecientes a la infraestructura tecnológica de la organización, como los servicios de TI. Los cuales pueden ser: Elementos de configuración de hardware: PCs, impresoras, routers, etc. así como sus componentes: tarjetas de red, teclados, lectores de CDs. Elementos de configuración de Software: Sistemas Operativos, aplicaciones. Elementos de configuración de Documentación: manuales, acuerdos de niveles de servicio. 65 En resumen, todos los componentes que han de ser gestionados por la organización TI.¨38 3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDWARE En esta sección se expondrá una lista de los dispositivos de hardware que se encuentran instalados en la infraestructura tecnológica de Grupo Faro. Como elementos de configuración, se considerarán los siguientes: · Desktops. · Laptops. · Impresoras. · Switches. · Servidores. · Access Points. · Routers. · Interfaces de Red. · Alimentador de Energía. 3.2.1.1 Desktops En la Tabla 3. 3, se muestran los ordenadores, administrados por el departamento de TI de Grupo FARO, con sus respectivas características. Las Desktops se representan mediante el identificador ¨ DSK ¨. ID USUARIO PROCESADOR MEMORIA RAM DISCO DURO DSK1 Jazmín Armas Intel Core 2 Duo 3.6Ghz 4GB 500 GB DSK2 Belén Abata Intel Core 2 duo 2.66 GHz 3GB 500GB DSK3 Alexandra Luje Intel Core 2 duo 2.66 GHz 3GB 500GB 38 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_configuraciones/introduccion_objetivos_g estion_de_configuraciones/definiciones_gestion_de_configuraciones.php 66 DSK4 Andrea Core i3 3,06Ghz, 4 GB 500 GB Zumárraga DSK5 Tics Intel Pentium III Xeon 2 GB 320 GB DSK6 Tics Intel Pentium III Xeon 2 GB 320 GB DSK7 Pasantía Intel Core i3 3 GB 320 GB Tabla 3. 3 3.2.1.2 Equipos Desktop administrados por el departamento de TI Laptops La Tabla 3. 4contiene una lista de todas las computadoras portátiles que se encuentran en Grupo Faro. Las Laptops se representan mediante el identificador ¨ LAP ¨. ID USUARIO LAP1 Hernan Abril LAP2 Stephanie PROCESADOR de la MEMORIA DISCO RAM DURO Intel core i5- 2410M 2.3Ghz 3GB 640 Gb Intel Pentium 4 2,2 GHz 2GB 160 GB Cruz LAP3 Elizabeth Tello Intel Core 2 duo 2.66 GHz 3GB 500GB LAP4 Maria Tobar Intel Core 2 duo 2.66 GHz 3GB 500GB LAP5 Ana Lucia Tenelema Procesador Intel Core i7 2600 -- 4GB 1000GB 3,4GHZ LAP6 Yolanda Telpiz Intel Core i5-2410M (2.3 GHz 6GB 640GB LAP7 Sigrid Vásconez Intel Core 2 duo 1 GB 120 GB LAP8 Daniel Bravo CORE i5 2 GB 500 GB LAP9 Mireya Villacis Intel Core i3 3 GB 320 GB LAP10 Estefanía Charvet 2.53 GHz Intel Core i3-380M dual- 4 GB 500 GB Intel core 2 Duo 2 GB 320 GB core processor LAP11 Maria Dolores Lizarzaburu LAP12 Daniela de la Torre Intel Core 2 duo 2 GB 250 GB LAP13 Gabriela Erazo Intel Core 2 duo 3 GB 320 GB LAP14 Daniel Almeida Intel ® Core ™ 2 1 GB 120 GB LAP15 Alejandro Moya Intel core duo de 1,6 GHz 4 GB 320 GB 67 ID USUARIO PROCESADOR MEMORIA DISCO RAM DURO LAP16 Andrea Zumárraga Intel core 2 duo 2 GB 500 GB LAP17 Mónica Orozco Intel Core 2 Duo 2 GB 320 GB LAP18 Juan José Herrera Centrino Pentium 4 1,7 GHz 512 MB 80 GB LAP19 Mabel Andrade Procesador Intel Core i5 2.3Ghz 4 GB 320 GB LAP20 Julio López Intel core 2 duo 2 GB 320 GB LAP21 Ma. Carmen Pantoja Intel core duo de 1,6 Ghz 4 GB 320 GB LAP22 Esteban Tinoco Intel ATOM N450 2 GB 250 GB LAP23 María Paz Jervis Intel Core 2 Duo 2 GB 320 GB LAP24 Andrea Ordoñez Intel core duo de 1,6 Ghz 4 GB 320 GB LAP25 Marcela Morales Intel core duo de 1,6 Ghz 4 GB 320 GB LAP26 Julio Echeverría Procesador Intel Core i5 2.3Ghz 4 GB 320 GB LAP27 Alicia Arias Procesador Intel Core i5 2.3Ghz 4 GB 320 GB LAP28 Josué López Intel Core i3 3 GB 320 GB LAP29 Paul Medina Procesador Core i7 4 GB 600 GB LAP30 Jorge Agama Intel ATOM N450 2 GB 250 GB LAP31 Orazio Bellettini Intel Core i5 2.3Ghz 4 GB 320 GB LAP32 Alexandra Rivad Intel Core i5 2.3Ghz 4 GB 640 GB LAP33 Iván Borja Intel Core 2 duo 2 GB 250 GB LAP34 Paul Salazar Intel Core 2 duo 3 GB 320 GB LAP35 Francisco Enríquez Intel Core 2 duo 4 GB 500 GB LAP36 Gabriela Flores Intel Core i3 4 GB 500 GB LAP37 Anabel Castillo Intel core duo de 1,6 Ghz 4 GB 320 GB LAP38 DELL Procesador Pentium 1,7 Ghz, 512 MB 60 GB LAP39 Mabel Andrade 512 MB 40 GB LAP40 AUDITORIA Intel core 2 duo 1 GB 80 GB LAP41 AUDITORIA Intel core 2 duo 1 GB 80 GB LAP42 LIBRE Intel core 2 duo 1 GB 80 GB Tabla 3. 4 Equipos Laptop administrados por el departamento de TI 68 3.2.1.3 Impresoras En la Tabla 3. 5 se presentan las impresoras compartidas en red y conectadas directamente a ciertos equipos de Grupo FARO, además de los usuarios que tienen acceso a impresión. ID Modelo Tipo I1 EPSON LX300 - II Matricial I2 EPSON L200 Tinta Tabla 3. 5 Impresoras Matriciales y de tinta administradas por el departamento de TI En la se presentan las características de la impresora de red instalada en Grupo Faro, la cual se comparte mediante TCP/IP para todas las áreas de la organización. Las impresoras se representan mediante el identificador ¨ I ¨. ID Modelo Dirección I3 Ricoh Aficio MP 171 – B/N 192.168.10.143 I4 Ricoh Aficio MPC 400 – Color 192.168.10.146 Tabla 3. 6 3.2.1.4 Impresoras en Red administradas por el departamento de TI Switches En la tabla 3.7 se indican los switches administrados por el departamento de TI de Grupo FARO. Los switches se representan mediante el identificados ¨ SWI ¨. ID Modelo Número de puertos SWI1 Dlink – DES 1008 A 8 SWI2 Dlink – DES 1008 A 8 SWI3 Cisco SF200 24 Tabla 3. 7 Switches administrados por el departamento de TI 69 3.2.1.5 Servidores En la Tabla 3.8 se presentan las características de los equipos servidores administrados por el departamento de TI de Grupo FARO. Los servidores se representan mediante el identificados ¨ SRV ¨. ID Tipo Aplicación Procesador RAM Disco RAID Duro SRV1 Físico WEB Server IIS Intel64 Family 6 6 GB 500 GB RAID 1 Model 44 Stepping 2 SRV2 Virtual Active Directory - 2 GB 20 GB - SRV3 Virtual SQL - 2 GB 20 GB - SRV4 Físico Servidor archivos Intel Core 2 DUO E 4 GB 500 GB 4600 2,4 Ghz Tabla 3. 8 3.2.1.6 Servidores administrados por el departamento de TI Access Points En la Tabla 3.9 se presentan las características de Access-points administrados por el departamento de TI de Grupo FARO. Los Access Points se representan mediante el identificados ¨ AP ¨. ID Marca Modelo Puertos Puertos LAN WAN AP1 Trendnet Trendnet 639 GR 4 1 AP2 CISCO WRT 310 N 4 1 Tabla 3. 9 3.2.1.7 Access Point administrados por el departamento de TI Modem En la Tabla 3.10 se presentan las características del Modem administrados por el departamento de TI de Grupo FARO. 70 El Modem se representa mediante el identificados ¨ M ¨. ID Marca M1 Arris Tabla 3. 10 3.2.1.8 Modelo Puertos Puertos LAN teléfono TM602G / 115 1 2 Modem administrado por el departamento de TI Unidades de Almacenamiento En la tabla 3.11 se presenta una lista de equipos de unidades de almacenamiento tales como discos duros que se encuentran en las máquinas y que son administrados por el departamento de TI. Los dispositivos de disco duro, se representan mediante el identificador ¨ HD ¨. ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD HD1 Unidad de disco Hernan Abril 640 Gb HD2 Unidad de disco Stephanie de la Cruz 160 GB HD3 Unidad de disco Elizabeth Tello 500 GB HD4 Unidad de disco Alexandra Luje 500GB HD5 Unidad de disco Ana Lucia Tenelema 500GB HD6 Unidad de disco Yolanda Telpiz 1000GB HD7 Unidad de disco Sigrid Vásconez 120 GB HD8 Unidad de disco Daniel Bravo 500 GB HD9 Unidad de disco Mireya Villacis 320 GB HD10 Unidad de disco Estefanía Charvet 500 GB HD11 Unidad de disco Maria Dolores Lizarzaburu 320 GB HD12 Unidad de disco Daniela de la Torre 250 GB HD13 Unidad de disco Gabriela Erazo 320 GB ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD HD14 Unidad de disco Daniel Almeida 120 GB 71 HD15 Unidad de disco Liseth Estevez 500 GB HD16 Unidad de disco Francisco Delgado 320 GB HD17 Unidad de disco Alejandro Moya 320 GB HD18 Unidad de disco Pasante 1 320 GB HD19 Unidad de disco Andrea Zumárraga 500 GB HD20 Unidad de disco Diana Bolaños 320 GB HD21 Unidad de disco Mónica Orozco 320 GB HD22 Unidad de disco David Avilés 320 GB HD23 Unidad de disco Juan José Herrera 80 GB HD24 Unidad de disco Mabel Andrade 320 GB HD25 Unidad de disco Julio López 320 GB HD26 Unidad de disco Ma. Carmen Pantoja 320 GB HD27 Unidad de disco Esteban Tinoco 250 GB HD28 Unidad de disco María Paz Jervis 320 GB HD29 Unidad de disco Andrea Ordoñez 320 GB HD30 Unidad de disco Marcela Morales 320 GB HD31 Unidad de disco Julio Echeverría 320 GB HD32 Unidad de disco Alicia Arias 320 GB HD33 Unidad de disco Josué López 320 GB HD34 Unidad de disco Paul Medina 600 GB HD35 Unidad de disco Jorge Agama 250 GB HD36 Unidad de disco Orazio Bellettini 320 GB HD37 Unidad de disco Alexandra Rivadeneira 640 GB HD38 Unidad de disco Guillermo Jimbo 640 GB HD39 Unidad de disco Iván Borja 250 GB HD40 Unidad de disco Paul Salazar 320 GB ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD HD41 Unidad de disco Francisco Enríquez 500 GB HD42 Unidad de disco María Gabriela Flores 500 GB 72 HD43 Unidad de disco Anabel Castillo 320 GB HD44 Unidad de disco DELL 60 GB HD45 Unidad de disco LIBRE 40 GB HD46 Unidad de disco LIBRE -- Mabel Andrade 40 GB HD47 Unidad de disco AUDITORIA 80 GB HD48 Unidad de disco AUDITORIA 80 GB HD49 Unidad de disco LIBRE 80 GB Tabla 3. 11 Unidades de almacenamiento administradas por el departamento de TI 3.2.1.9 Sistema de Energía Ininterrumpida En la Tabla 3.12 se presenta un Dispositivo de Energía Ininterrumpida, que se encuentran en las máquinas y que son administrados por el departamento de TI. El Dispositivo de Energía Ininterrumpida UPS, se representa mediante el identificador ¨ UPS ¨. ID Marca Modelo UPS1 APC Smart UPS RT 1500 Tabla 3. 12 UPS administrado por el departamento de TI 3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE En esta sección se expondrá una lista de los dispositivos de software que se encuentran instalados en la infraestructura tecnológica de Grupo FARO. Como elementos de configuración, se considerarán los siguientes: · Herramientas ofimáticas. · Sistemas Operativos. · Sistema BPMS Aura Portal. 73 3.2.2.1 Herramientas Ofimáticas En la Tabla 3.13 se presenta una lista de las herramientas ofimáticas que son administradas por el departamento de TI. Las herramientas operativas, se representan mediante el identificador ¨ SW ¨. ID SOFTWARE NOMBRE SOFTWARE SW1 Winrar SW2 Adobe Acrobat Reader SW3 Microsoft office 2010 SW4 Mozilla Firefox SW5 Internet Explorer SW6 Chrome SW7 Nero SW8 Adobe Creative Suite SW9 Antivirus SW10 Google Apps SW11 VNC – Virtual Network computing SW12 Sistema Contable Dbsys Tabla 3. 13 Herramientas ofimáticas administradas por el Departamento de TI. En la Tabla 3.14, se presentan un extracto de las herramientas ofimáticas especificadas anteriormente y su frecuencia de uso. Las especificaciones para cada usuario y el formato de la encuesta, se lo puede encontrar en el Anexo 1: GF-Formato Encuesta ON-LINE. La tabulación se encuentra en: Anexo 8: GF-Tabulación encuestas ON-LINE. 74 Usuario Jazmín Armas Tabla 3. 14 ID Software Uso SW1 Winrar Rara vez SW2 Microsoft Office 2010 Frecuente SW3 Mozilla Firefox Ocasional SW4 Internet Explorer Ocasional SW5 Chrome Frecuente SW8 Antivirus Rara vez SW9 Gmail Frecuente Frecuencia de uso de las herramientas ofimáticas administradas por el departamento de TI. 3.2.2.2 BPMS Aura Portal ¨Aura Portal es un software empresarial diseñado de origen 100% Internet y constituido por una ‘suite’ (BPMS) o conjunto que contiene 6 productos.¨ 39 En la Tabla 3.15 se presentan un resumen de las características de la Suite de Gestión de Procesos Administrativos que se desea implementar en Grupo FARO. Bussiness Process Management Suit, se representa mediante el identificador ¨BPMS ¨. Tabla 3. 15 3.2.2.3 ID NOMBRE SOFTWARE BPMS1 Aura Portal BPM Suite Herramientas de BMP administradas por el departamento de TI Sistemas Operativos La lista de sistemas Operativos administrados por el departamento de TI se presenta en la Tabla 3.16. 39 http://www.auraportal.com/ES/ES0-PRODUCTS-BPM-CRM.aspx 75 El Sistema Operativo se representa mediante el identificador ¨SO ¨. ID Tabla 3. 16 3.3 NOMBRE SOFTWARE SO1 Windows XP Professional SP3 SO2 Windows 7 Professional edition SO3 Windows Server 2008 R2 SO4 Ubuntu versión 10.4 Sistemas Operativos administrados por el departamento de TI DETERMINACIÓN DE REQUERIMIENTOS DE DISPONIBILIDAD 3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO Se trata de identificar los diversos eventos que pudieran afectar la continuidad de sistemas críticos de la información, para ello se realizaron encuestas y entrevistas al diferente personal que trabaja en Grupo FARO. El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y operacional. 3.3.1.1 Identificar las Funciones y Procesos Críticos de la Organización. En la Tabla 3.17, se representan las Funciones del negocio40 y Procesos del negocio41, de las Áreas administrativas de Grupo FARO. 40Un equipo o grupo de personas y las herramientas que usan para llevar a cabo uno o más Procesos o Actividades ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009) 41Un Proceso que le pertenece y que lo conduce el Negocio. Un Proceso de Negocio contribuye a la entrega de un producto o Servicio para un Cliente del Negocio. ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009) 76 FUNCIÓN DEL NEGOCIO PROCESO DEL NEGOCIO Dirección ejecutiva Colaboración en el proceso de selección de personal Levantamiento de fondos Generación de actas de reuniones Auxiliar Contable Revisión de cuentas Revisión, orden y clasificación de archivos Conciliaciones Bancarias Cuadrar Proyectos Secuencia de retenciones Asistente Financiera - Contable Registro de Facturas Emisión de cheques Carga de transferencias Registro de rembolso de gastos Asistente Contable Revisión de cuentas Revisión de documentación física Realización de conciliaciones bancarias Revisión del centro de costos Preparación de carpetas para auditorias Analista de Reportes Control Presupuestario Cronograma de Informes Financieros Informes al donante Revisión de documentación - respaldo Revisión y preparación de presupuestos Coordinadora Financiera Contable - Supervisar y Coordinar la ejecución de procesos contables Obtener y revisar informes financieros Declaración de Impuestos y similares Revisión, ejecución mensual del presupuesto institucional Revisión de informes de donantes Área de Investigación Revisión de documentos académicos para investigaciones internas Organización de temas relacionados con eventos colaboración Investigación con tareas administrativas del Área de 77 FUNCIÓN DEL NEGOCIO Área de Comunicación PROCESO DEL NEGOCIO e Incidencia Política Supervisar editorial y publicaciones de GRUPO FARO Supervisar estándares de calidad de los eventos de GRUPO FARO Desarrollo de reuniones estratégicas para el área de Comunicación Monitoreo de medios Relación con públicos externos de comunicación Revisión y actualización de inventario de Área de Comunicación elaboración y actualización de Bases de Datos de contactos Personal de apoyo operativo Verificar estado tributario de las facturas (recepción y mensajería) Recibir y entregar facturas a sus responsables Elaborar solicitudes de pago correspondientes al presupuesto institucional Elaborar adquisiciones de bienes y/o contrataciones de servicios Mantener actualizado el inventario de suministros Entregar y retirar documentación Realizar el mantenimiento y apoyar con la limpieza de oficinas Efectuar cobros y pagos Realizar trámites en instituciones financieras Tabla 3. 17 Funciones y procesos de la organización 3.3.1.2 Evaluar el impacto Financiero – Operacional 3.3.1.2.1 Evaluación del impacto financiero Como se mencionó en el capítulo anterior, el impacto financiero se evaluará cuantitativamente considerando los siguientes valores: 78 Impacto Ponderación No produce impacto 1 Bajo impacto 2 Impacto medio 3 Alto Impacto 4 Tabla 3. 18 Ponderación Impacto Financiero En la Tabla 3.19 se muestra la información del impacto financiero de todas las áreas del negocio. El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y operacional. IMPACTO FUNCIÓN PROCESO Dirección ejecutiva Auxiliar Contable Asistente Financiera - Contable Asistente Contable Analista Reportes de FINANCIERO Colaboración en el proceso de selección de personal 3 Levantamiento de fondos 4 Generación de actas de reuniones 1 Revisión de cuentas 4 Revisión, orden y clasificación de archivos 4 Conciliaciones Bancarias 4 Cuadrar Proyectos 4 Secuencia de retenciones 4 Registro de Facturas 4 Emisión de cheques 4 Carga de transferencias 3 Registro de rembolso de gastos 4 Depósitos, Débitos e ingresos 4 Revisión de cuentas 4 Revisión de documentación física 4 Realización de conciliaciones bancarias 4 Revisión del centro de costos 4 Preparación de carpetas para auditorias 4 Control Presupuestario 4 Cronograma de Informes Financieros 3 Informes al donante 4 Revisión de documentación - respaldo 2 Revisión y preparación de presupuestos 4 79 IMPACTO PROCESO FINANCIERO Supervisar y Coordinar la ejecución de procesos 4 FUNCIÓN Coordinadora Financiera - Contable contables Obtener y revisar informes financieros 4 Declaración de Impuestos y similares 4 Revisión, ejecución mensual del presupuesto 3 institucional Revisión de informes de donantes Área de Investigación Revisión de documentos 3 académicos para 3 investigaciones internas Organización de temas relacionados con eventos 3 colaboración con tareas administrativas del Área de 2 Investigación Área de Comunicación e Incidencia Política Supervisar editorial y publicaciones de GRUPO FARO 3 Supervisar estándares de calidad de los eventos de 4 GRUPO FARO Desarrollo de reuniones estratégicas para el área de 4 Comunicación Monitoreo de medios 4 Relación con públicos externos de comunicación 3 Revisión y actualización de inventario de Área de 1 Comunicación elaboración y actualización de Bases de Datos de 1 contactos Personal de apoyo Verificar estado tributario de las facturas 3 operativo Recibir y entregar facturas a sus responsables 3 Elaborar solicitudes de pago correspondientes al 2 (recepción mensajería) y presupuesto institucional Elaborar adquisiciones de bienes y/o contrataciones 3 de servicios Mantener actualizado el inventario de suministros 1 Entregar y retirar documentación 4 Realizar el mantenimiento y apoyar con la limpieza de 1 oficinas Efectuar cobros y pagos 3 Realizar trámites en instituciones financieras 3 80 IMPACTO FUNCIÓN FINANCIERO PROCESO Administración de Administración de usuarios 1 TI Mantenimiento preventivo y correctivo de Servidores. 3 Administración de periféricos 1 Administración de licencias del software del servidor y 2 periféricos Soporte técnico in situm y remoto. 1 Monitorear el rendimiento del sistema. 1 Mantenimiento del sistema de archivos del servidor 1 central. Instalación de software y sus actualizaciones. 2 Creación y ejecución de copias de seguridad y 1 recuperación. Tabla 3. 19 3.3.1.2.2 Evaluación del Impacto Financiero Evaluación del impacto estratégico Para la evaluación del impacto estratégico se tomarán en cuenta los siguientes factores. · Falta de confiabilidad operacional. · Satisfacción al usuario. · Eficacia en el servicio. En la siguiente tabla, se muestran los valores a ser tomados para dicha evaluación. Impacto Ponderación No produce impacto Ninguno – 1 Bajo impacto Bajo – 2 Impacto medio Medio – 3 Alto Impacto Alto - 4 Tabla 3. 20 Ponderación del Impacto estratégico En la Tabla 3.21 Se muestra el impacto estratégico de cada proceso en Grupo FARO. El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y operacional. 81 FUNCIÓN Clasificación del impacto estratégico PROCESO Falta de Satisfacció Eficaci confiabilida n a los a del d usuarios servici operacional Dirección Colaboración en el proceso de selección de ejecutiva personal o 3 4 4 Levantamiento de fondos 4 4 4 Generación de actas de reuniones 2 2 2 Auxiliar Revisión de cuentas 4 4 4 Contable Revisión, orden y clasificación de archivos 4 3 4 Conciliaciones Bancarias 3 4 4 Cuadrar Proyectos 3 3 4 Secuencia de retenciones 3 3 4 Registro de Facturas 4 4 4 Emisión de cheques 4 4 4 Carga de transferencias 2 2 3 Registro de rembolso de gastos 4 4 4 Depósitos, Débitos e ingresos 4 4 4 Asistente Revisión de cuentas 4 4 4 Contable Revisión de documentación física 4 3 4 Realización de conciliaciones bancarias 4 4 4 Revisión del centro de costos 4 4 4 Preparación de carpetas para auditorias 4 4 4 Control Presupuestario 4 4 4 Cronograma de Informes Financieros 3 3 4 Informes al donante 4 4 4 Revisión de documentación - respaldo 4 4 4 Revisión y preparación de presupuestos 4 4 4 4 4 4 Obtener y revisar informes financieros 4 3 3 Declaración de Impuestos y similares 4 4 4 Revisión, ejecución mensual del presupuesto 3 3 3 Revisión de informes de donantes 3 3 3 Revisión de documentos académicos para 4 4 4 4 4 4 4 4 4 Asistente Financiera - Contable Analista de Reportes Coordinadora Financiera Supervisar - Contable y Coordinar la ejecución de procesos contables institucional Área de Investigación investigaciones internas Organización de temas relacionados con eventos Colaboración con Área de Investigación 82 FUNCIÓN Clasificación del impacto estratégico PROCESO Falta de Satisfacció Eficaci confiabilida n a los a del d usuarios servici operacional Supervisar estándares de calidad de los o 4 4 4 3 3 3 3 4 4 de 3 3 3 Revisión y actualización de inventario de Área 3 4 4 Elaboración y actualización de Bases de Datos 3 4 4 Verificar estado tributario de las facturas 2 3 3 apoyo Recibir y entregar facturas a sus responsables 2 3 3 operativo Elaborar solicitudes de pago correspondientes 2 3 3 2 3 3 1 2 2 Entregar y retirar documentación 3 3 3 Realizar el mantenimiento y apoyar con la 2 2 2 Efectuar cobros y pagos 2 3 3 Realizar trámites en instituciones financieras 2 3 3 Administració Administración de usuarios 2 2 3 n de TI Mantenimiento 4 3 4 Administración de periféricos 2 2 3 Administración de licencias del software del 4 4 4 Soporte técnico in situm y remoto. 3 3 4 Monitorear el rendimiento del sistema. 2 2 2 Mantenimiento del sistema de archivos del 2 3 2 Instalación de software y sus actualizaciones. 2 2 3 Creación y ejecución de copias de seguridad y 2 2 3 eventos de GRUPO FARO Desarrollo de reuniones estratégicas para el área de Comunicación Monitoreo de medios Relación con públicos externos comunicación de Comunicación Personal (recepción de y mensajería) al presupuesto institucional Elaborar adquisiciones de bienes Mantener actualizado el inventario de suministros limpieza de oficinas preventivo y correctivo de Servidores. servidor y periféricos servidor central. recuperación. Tabla 3. 21 Evaluación del impacto estratégico 83 3.3.1.3 Identificación de procesos fundamentales de la organización. Los resultados mostrados en la Tabla 3.19 y la Tabla 3.21 obtenidos del Impacto Financiero y el Impacto estratégico, permiten identificar los procesos críticos para la organización. En la Tabla 3.22 se muestra la suma de los resultados de Impacto Financiero e Impacto estratégico, para obtener un criterio de los procesos fundamentales los cuales deberán cumplir los siguientes criterios: • En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3, (impacto alto). • Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto medio), ó 4 (impacto alto). 4 Secuencia de retenciones Reportes Analista de Asistente Contable Contable 4 4 Revisión del centro de costos Preparación de carpetas para auditorias 3 4 2 Cronograma de Informes Financieros Informes al donante Revisión de documentación - respaldo 4 4 Realización de conciliaciones bancarias Control Presupuestario 4 Revisión de documentación física 4 Depósitos, Débitos e ingresos 4 4 Registro de rembolso de gastos Revisión de cuentas 3 4 Carga de transferencias Emisión de cheques - 4 Cuadrar Proyectos Financiera 4 Conciliaciones Bancarias 4 4 Revisión, orden y clasificación de archivos Registro de Facturas 4 1 Generación de actas de reuniones Revisión de cuentas 4 Levantamiento de fondos operacional FINANCIERO 4 4 3 4 4 4 4 4 4 4 4 2 4 4 3 3 3 4 4 2 4 3 confiabilidad Falta de IMPACTO 3 PROCESO Colaboración en el proceso de selección de personal Asistente Auxiliar Contable Dirección ejecutiva .FUNCIÓN 4 4 3 4 4 4 4 3 4 4 4 2 4 4 3 3 4 3 4 2 4 4 usuarios n a los Satisfacció IMPACTO ESTRATÉGICO 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 2 4 4 servicio del Eficacia 14 16 13 16 16 16 16 15 16 16 16 10 16 16 14 14 15 15 16 7 16 14 SUMA 84 e de de Incidencia Política Comunicación Área Investigación Área .FUNCIÓN 3 3 Revisión, ejecución mensual del presupuesto institucional Revisión de informes de donantes de 1 4 elaboración y actualización de Bases de Datos de contactos de 1 área Revisión y actualización de inventario de Área de Comunicación el 3 para Relación con públicos externos de comunicación estratégicas 4 reuniones 4 Monitoreo de medios Comunicación Desarrollo FARO Supervisar estándares de calidad de los eventos de GRUPO 3 2 colaboración con tareas administrativas del Área de Investigación Supervisar editorial y publicaciones de GRUPO FARO 3 Organización de temas relacionados con eventos internas 3 4 Declaración de Impuestos y similares Revisión de documentos académicos para investigaciones 4 FINANCIERO IMPACTO 4 Obtener y revisar informes financieros PROCESO Revisión y preparación de presupuestos usuarios operacional 3 3 3 3 3 4 4 4 4 4 3 3 4 4 4 3 4 3 4 4 4 4 4 3 3 4 3 n a los 4 Satisfacció Falta de SUMA 4 confiabilidad ESTRATÉGICO IMPACTO 4 4 4 3 4 3 4 4 4 4 4 3 3 4 3 servicio del Eficacia 4 12 12 12 15 13 16 15 14 15 15 12 12 16 14 16 85 TI Administración .FUNCIÓN de 2 Elaborar solicitudes de pago correspondientes al presupuesto 4 1 3 3 Entregar y retirar documentación Realizar el mantenimiento y apoyar con la limpieza de oficinas Efectuar cobros y pagos Realizar trámites en instituciones financieras 2 1 1 1 2 1 Administración de licencias del software del servidor y periféricos Soporte técnico in situm y remoto. Monitorear el rendimiento del sistema. Mantenimiento del sistema de archivos del servidor central. Instalación de software y sus actualizaciones. Creación y ejecución de copias de seguridad y recuperación. operacional 2 2 2 2 3 4 2 4 2 2 2 2 3 1 2 2 2 2 3 2 3 4 2 3 2 3 3 2 3 2 3 3 3 n a los usuarios confiabilidad 2 Satisfacció IMPACTO ESTRATÉGICO Falta de Impactos Financiero y Estratégico. 1 Administración de periféricos Tabla 3. 22 3 Mantenimiento preventivo y correctivo de Servidores. 1 1 Mantener actualizado el inventario de suministros Administración de usuarios 3 Elaborar adquisiciones de bienes y/o contrataciones de servicios institucional 3 FINANCIERO IMPACTO Recibir y entregar facturas a sus responsables PROCESO 3 3 2 2 4 4 3 4 3 3 3 2 3 2 3 3 3 servicio del Eficacia 8 9 8 7 11 14 8 14 8 11 11 7 13 6 11 10 11 SUMA 86 87 Con los valores obtenidos en la Tabla 3.22, tenemos un criterio más claro de los procesos críticos y no críticos para el negocio. Por ejemplo el proceso de Recepción de Facturas posee un valor de 10, el cual en el Área de Recepción se coloca en el lugar más alto, consecuentemente se lo considera el proceso más crítico de esta Área, todo lo contrario con el proceso de Recepción de correspondencia el cual posee un valor de 6 y es el proceso menos crítico. 3.3.1.4 Identificación de Servicios de TI, por procesos del negocio. En la Tabla 3.23 se especifican las aplicaciones que requieren de tecnología y los recursos de TI utilizados por las mismas. FUNCIONES PROCESOS SERVICIOS DE TI Dirección Colaboración en el proceso de selección Word ejecutiva de personal Excel Correo Electrónico y mensajería Impresora Levantamiento de fondos Excel Aplicación WEB Give and Gain Generación de actas de reuniones Word Impresora Auxiliar Revisión de cuentas Contable Excel Correo Electrónico y mensajería Impresora Sistema Contable Dbsys Revisión, orden y clasificación de archivos Excel Impresora Copiadora Sistema Contable Dbsys Conciliaciones Bancarias Excel Carpetas Compartidas Red FARO Excel Correo Electrónico y 88 mensajería Google Apps (Gdocs, Gcalendar) Impresora Copiadora Fax - Escáner Sistema Contable Dbsys Internet Inalámbrico Software SRI Adobe Acrobat Reader Tabla 3. 23 3.3.1.5 Procesos del negocio y servicios de TI utilizados Identificación de tiempos máximos de caída (MTD). Una vez identificados los procesos críticos, procederemos a realizar la identificación de lo MTDs, el cual es el tiempo máximo sin servicio que una organización puede soportar y seguir cumpliendo con sus objetivos de negocio. La Tabla 3.25, representa una estimación de los MTDs, en función de la suma total de puntos de los impactos financiero y operacional. Destacando que, entre mayor sea la suma de los puntos del Impacto financiero y Operacional, el MTD, debe ser menor, debido a que se trata de un proceso crítico y Tiempo Máximo de Caída debe ser corto. MTD Escala de equivalencia De 1 a 4 horas A De 5 a 8 horas B De 9 a 12 horas C De 13 a 24 horas D De 25 a 48 horas (Dos días) E De Dos a Tres días F De Tres días a 7 días G Tabla 3. 24 Escala MTD y equivalencia 89 Suma impacto financiero más impacto Escala de equivalencia estratégico 16 A 15 A 14 A 13 B 12 B 11 B 10 C 9 D 8 E 7 F 6 G Tabla 3. 25 Suma de Impactos y escala de equivalencia MTD En la Tabla 3.26 representaremos los tiempos máximos de caída por cada proceso de la organización. FUNCIÓN PROCESO SUMA MTD Dirección Colaboración en el proceso de selección de personal 14 A ejecutiva Levantamiento de fondos 16 A Generación de actas de reuniones 7 F Auxiliar Revisión de cuentas 16 A Contable Revisión, orden y clasificación de archivos 15 A Conciliaciones Bancarias 15 A Cuadrar Proyectos 14 A Secuencia de retenciones 14 A Registro de Facturas 16 A Emisión de cheques 16 A Carga de transferencias 10 C Registro de rembolso de gastos 16 A Depósitos, débitos e ingresos 16 A Asistente Revisión de cuentas 16 A Contable Revisión de documentación física 15 A Realización de conciliaciones bancarias 16 A Revisión del centro de costos 16 A Preparación de carpetas para auditorias 16 A Asistente Financiera Contable - 90 FUNCIÓN Analista PROCESO de SUMA MTD Control Presupuestario 16 A Cronograma de Informes Financieros 13 B Informes al donante 16 A Revisión de documentación - respaldo 14 A Revisión y preparación de presupuestos 16 A 16 A Obtener y revisar informes financieros 14 A Declaración de Impuestos y similares 16 A Revisión, ejecución mensual del presupuesto institucional 12 B Revisión de informes de donantes 12 B 15 A Organización de temas relacionados con eventos 15 A Colaboración con tareas administrativas del Área de 14 B Supervisar editorial y publicaciones de GRUPO FARO 15 A Comunicación Supervisar estándares de calidad de los eventos de 16 A e GRUPO FARO 13 B Monitoreo de medios 12 B Relación con públicos externos de comunicación 15 A Revisión y actualización de inventario de Área de 12 B Elaboración y actualización de Bases de Datos 12 B Verificar estado tributario de las facturas 11 B apoyo Recibir y entregar facturas a sus responsables 11 B operativo Elaborar 10 C Elaborar adquisiciones de bienes 11 B Mantener actualizado el inventario de suministros 6 G Entregar y retirar documentación 13 B Realizar el mantenimiento y apoyar con la limpieza de 7 F Efectuar cobros y pagos 11 B Realizar trámites en instituciones financieras 11 B Reportes Coordinadora Supervisar Financiera - Contable Área de Investigación y Coordinar la ejecución de procesos contables Revisión de documentos académicos para investigaciones internas Investigación Área de Incidencia Política Desarrollo de reuniones estratégicas para el área de Comunicación Comunicación Personal (recepción mensajería) de y solicitudes de pago correspondientes al presupuesto institucional oficinas 91 FUNCIÓN PROCESO SUMA MTD Administració Administración de usuarios 8 E n de TI Mantenimiento preventivo y correctivo de Servidores. 14 A Administración de periféricos 8 E Administración de licencias del software del servidor y 14 A Soporte técnico in situm y remoto. 11 B Monitorear el rendimiento del sistema. 7 F Mantenimiento del sistema de archivos del servidor 8 E 9 D 8 E periféricos central. Instalación de software y sus actualizaciones. Creación y ejecución de copias de seguridad y recuperación. Tabla 3. 26 Definición de MTDs El proceso de Recepción de Facturas se ha definido un MTD de A, lo cual quiere decir que el proceso no puede sobrepasar su inactividad más de 3 horas, ya que esto representaría para la organización la pérdida de trabajo y acumulación de tareas para sus empleados. El proceso de Recepción de correspondencia, se ha definido un MTD de E, lo cual quiere decir que el proceso requiere atención por lo menos en 72 horas. 3.3.1.6 Identificación del Tiempo objetivo de recuperación RTO. A continuación se realizará la determinación del RTO (tiempo máximo permitido para la recuperación de un Servicio de TI tras una interrupción)42. En base al RTO, se pueden tener criterios de periodicidad de back-ups, además de infraestructura requerida para la re-inicialización de las operaciones. La Tabla 3.27, representa la escala de tiempos determinados para la recuperación de un Servicio de TI que ha quedado fuera de operación. 42 ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009) 92 RTO Escala de equivalencia De 1 a 3 horas A De 3 a 8 horas B De 8 a 24 horas C De 24 a 48 horas (Dos días) D De 48 a 72 horas (Tres días) E Tabla 3. 27 Escala de equivalencia RTO El RTO, se realizará en primer lugar en los servicios que tienen prioridad, como la recuperación de actividades en infraestructura de TI. En la Tabla 3.28 se presenta el RTO en actividades de recuperación de Servicios de TI. SERVICIO DE TI RTO Recuperación servicio Active Directory 6 horas Recuperación servicio Internet 2 horas Recuperación correos electrónicos 1 hora Recuperación BPMs Aura Portal Externamente 3 horas Antivirus 1 hora Recuperación servicio Software Contable DBSYS 2 horas Recuperación de red interna 2 horas Recuperación Servidor de Archivos 3 horas Tabla 3. 28 3.3.1.7 RTO en actividades de recuperación de Servicios de TI Identificación del tiempo de recuperación de trabajo (WRT). El WRT (Work Recovery Time) es el tiempo que transcurre desde que se recobra el servicio, hasta que se han recuperado todos los archivos que han sido perdidos, por lo que, éste será aplicado solamente a las aplicaciones que almacenen datos. Es muy importante que la suma de los tiempos del RTO y WRT serán iguales o menores que el MTD, jamás pueden ser mayores. 93 En la Tabla 3.29, se muestran los tres tiempos MTD, RTO y WRT para las aplicaciones críticas de TI. FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Dirección Colaboració 1-4 horas Word 1 hora 30 minutos ejecutiva n Excel 1 hora 30 minutos 1 hora 30 minutos en el proceso de Correo selección de mensajería personal Impresora 30 minutos - Excel 1 hora 30 minutos 1 hora - Word 1 hora 30 minutos Impresora 30 minutos - Levantamie nto 1-4 horas de Electrónico Aplicación fondos WEB y Give and Gain Generación 2-3 días de actas de reuniones FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Auxiliar Revisión de 1-4 horas Excel 1 hora 30 minutos Contable cuentas 1 hora 30 minutos Impresora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Excel 1 hora 0 y Impresora 30 minutos 0 clasificación Copiadora 30 minutos - de archivos Sistema Contable Dbsys 1 hora y 30 0 Excel 1 hora 0 30 minutos - y 1 hora 30 minutos Google Apps (Gdocs, 1 hora - Impresora 30 minutos - Copiadora 30 minutos - Fax - Escáner 30 minutos 0 Sistema Contable Dbsys 1 hora y 30 1 hora Internet Inalámbrico 1 hora y 30 - Software SRI 1 hora 0 Correo Electrónico y mensajería Revisión, orden 1-4 horas Conciliacion 1-4 horas es Carpetas Bancarias Red FARO Correo Compartidas Electrónico mensajería Gcalendar) 94 Cuadrar 1-4 horas Proyectos Adobe Acrobat Reader 30 minutos 0 Excel 1 hora 30 minutos 1 hora 30 minutos Impresora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Excel 1 hora 30 minutos 1 hora 30 minutos Impresora 30 minutos - Software SRI 1 hora 1 hora Correo Electrónico y mensajería Secuencia 1-4 horas de Correo retenciones mensajería Electrónico y FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Asistente Registro de 1-4 horas Carpetas 30 minutos - 1 hora - Impresora 30 minutos - Copiadora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora 1 hora 30 minutos 30 minutos - 1 hora 30 minutos Impresora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora De 1 a 4 Excel 1 hora 30 minutos horas Correo y 1 hora 30 minutos Google Apps (Gdocs, 1 hora - Impresora 30 minutos - Copiadora 30 minutos - 1 hora 30 minutos y 1 hora 30 minutos Google Apps (Gdocs, 1 hora - Financiera - Facturas Compartidas Red FARO Contable Google Apps (Gdocs, Gcalendar) Emisión de De 1 a 4 Excel cheques horas Carpetas Compartidas Red FARO Correo Electrónico y mensajería Carga de transferenci as Electrónico mensajería Gcalendar) Registro de De 1 a 4 Excel reembolso horas Correo de gastos Electrónico mensajería Gcalendar) 95 Depósitos, Débitos e Impresora 30 minutos - Copiadora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora De 1 a 4 Correo y 1 hora 30 minutos horas mensajería Google Apps (Gdocs, 1 hora - Impresora 30 minutos - Copiadora 30 minutos - ingresos Electrónico Gcalendar) FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Asistente Revisión de De 1 a 4 Excel 1 hora 30 minutos Contable cuentas horas Correo 1 hora 30 minutos Sistema Contable Dbsys 1 hora y 30 1 hora 1 hora 30 minutos 30 minutos - 1 hora 30 minutos Impresora 30 minutos - Copiadora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora 1 hora 30 minutos 30 minutos - 1 hora 30 minutos Impresora 30 minutos - Copiadora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora 1 hora 30 minutos 30 minutos - 1 hora 30 minutos Impresora 30 minutos - Copiadora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Electrónico y mensajería Revisión de De 1 a 4 Excel documentac horas Carpetas ión física Compartidas Red FARO Correo Electrónico y mensajería Realización De 1 a 4 Excel de horas Carpetas Compartidas conciliacion Red FARO es Correo bancarias mensajería Revisión del De 1 a 4 Excel centro horas Carpetas costos de Electrónico y Compartidas Red FARO Correo Electrónico y mensajería 96 Preparación De 1 a 4 Excel de carpetas horas Carpetas 1 hora 30 minutos 30 minutos - 1 hora 30 minutos Impresora 30 minutos - Copiadora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Compartidas para Red FARO auditorias Correo Electrónico y mensajería FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Analista Control De 1 a 4 Excel 1 hora 30 minutos Presupuesta horas Correo 1 hora 30 minutos Impresora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Internet Inalámbrico 1 hora y 30 - Reportes de rio Electrónico y mensajería Cronograma De 5 a 8 Word 1 hora 30 minutos de Informes horas Excel 1 hora 30 minutos 1 hora 30 minutos Sistema Contable Dbsys 1 hora y 30 1 hora Internet Inalámbrico 1 hora y 30 - Financieros Correo Electrónico y mensajería Informes al De 1 a 4 Word 1 hora 30 minutos donante horas Excel 1 hora 30 minutos 1 hora 30 minutos Impresora 30 minutos - Copiadora 30 minutos - Fax - Escáner 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Internet Inalámbrico 1 hora y 30 - Adobe Acrobat Reader 30 minutos - Correo Electrónico y mensajería Revisión de De 1 a 4 Copiadora 30 minutos - documentac horas Fax - Escáner 30 minutos - De 1 a 4 Excel 1 hora 30 minutos horas Correo 1 hora 30 minutos ión - respaldo Revisión y preparación de Electrónico mensajería y 97 presupuesto Impresora 30 minutos - s Copiadora 30 minutos - Fax - Escáner 30 minutos - Internet Inalámbrico 1 hora y 30 - Adobe Acrobat Reader 30 minutos - FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Coordinador Supervisar y De 1 a 4 Word 1 hora 30 minutos a Financiera - Coordinar la horas Excel 1 hora 30 minutos Contable ejecución Carpetas 30 minutos - de procesos Red FARO contables Correo y 1 hora 30 minutos Google Apps (Gdocs, 1 hora - Impresora 30 minutos - Copiadora 30 minutos - Fax - Escáner 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Internet Inalámbrico 1 hora y 30 - Software SRI 1 hora 1 hora Adobe Acrobat Reader 30 minutos - De 1 a 4 Excel 1 hora 30 minutos horas Carpetas Compartidas 30 minutos - informes Red FARO financieros Sistema Contable Dbsys 1 hora y 30 1 hora Compartidas Electrónico mensajería Gcalendar) Obtener y revisar Declaración De 1 a 4 Excel 1 hora 30 minutos de horas Impresora 30 minutos - Impuestos y Sistema Contable Dbsys 1 hora y 30 1 hora similares Software SRI 1 hora 1 hora Anexo Transaccional 30 minutos 30 minutos 1 hora 30 minutos 30 minutos - 1 hora 30 minutos Sistema Contable Dbsys 1 hora y 30 1 hora 1 hora 30 minutos 1 hora 30 minutos Revisión, De 5 a 8 Excel ejecución horas Carpetas Compartidas mensual del Red FARO presupuesto Correo institucional mensajería Revisión de De 5 a 8 Excel informes de horas Correo Electrónico Electrónico y y 98 donantes mensajería Google Apps (Gdocs, 1 hora - Impresora 30 minutos - Sistema Contable Dbsys 1 hora y 30 1 hora Internet Inalámbrico 1 hora y 30 - Gcalendar) FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Área de Revisión de De 1 a 4 Word 1 hora 30 minutos Investigación documentos horas Correo 1 hora 30 minutos Electrónico y académicos mensajería para Impresora 30 minutos - investigacio Internet Inalámbrico 1 hora y 30 - nes internas Adobe Acrobat Reader 30 minutos - Organizació De 1 a 4 Word 1 hora 30 minutos n de temas horas Excel 1 hora 30 minutos 1 hora 30 minutos Impresora 30 minutos - Copiadora 30 minutos - Fax - Escáner 30 minutos - Internet Inalámbrico 1 hora y 30 - 1 hora 30 minutos 1 hora 30 minutos relacionado Correo s mensajería con eventos Colaboració De 5 a 8 Excel n con tareas horas Correo Electrónico Electrónico y y administrati mensajería vas del Área Impresora 30 minutos - de Copiadora 30 minutos - Investigació Fax - Escáner 30 minutos - n FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Área Supervisar De 1 a 4 Word 1 hora 30 minutos horas Correo 1 hora 30 minutos de Comunicació editorial n publicacion mensajería Incidencia es Impresora 30 minutos - Política GRUPO Adobe CS5 2 horas 1 hora e y de Electrónico y FARO Supervisar De 1 a 4 Word 1 hora 30 minutos estándares horas Excel 1 hora 30 minutos Power Point 1 hora 30 minutos 1 hora 30 minutos de calidad de los Correo Electrónico y 99 eventos de mensajería GRUPO Impresora 30 minutos - FARO Copiadora 30 minutos - Fax - Escáner 30 minutos - Adobe CS5 2 horas 1 hora Desarrollo De 5 a 8 Word 1 hora 30 minutos de horas Excel 1 hora 30 minutos reuniones Power Point 1 hora 30 minutos estratégicas Carpetas 30 minutos - para el área Red FARO Compartidas de Comunicaci ón Revisión y actualizació n De 5 a 8 Word 1 hora 30 minutos horas Excel 1 hora 30 minutos 30 minutos - y 1 hora 30 minutos 1 hora - de Carpetas Compartidas inventario Red FARO de Área de Correo Comunicaci mensajería ón Google Apps (Gdocs, Electrónico Gcalendar) Elaboración De 5 a 8 Word 1 hora 30 minutos y horas Excel 1 hora 30 minutos 1 hora 30 minutos actualizació Correo n de Bases mensajería de Datos de Impresora 30 minutos - Electrónico y contactos FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Personal Verificar De 5 a 8 Internet Inalámbrico 1 hora y 30 - apoyo estado horas Software SRI 1 hora 1 hora operativo tributario de (recepción y las facturas mensajería) Recibir De 5 a 8 Word 1 hora 30 minutos Word 1 hora 30 minutos de y entregar facturas horas a sus responsable s Elaborar De 5 a 8 100 adquisicion horas Correo Electrónico y 1 hora 30 minutos es de bienes mensajería y/o Impresora 30 minutos - contratacion Internet Inalámbrico 1 hora y 30 - es de servicios Mantener De 3 a 7 Excel 1 hora 30 minutos actualizado días Impresora 30 minutos - De 5 a 8 Impresora 30 minutos - horas Copiadora 30 minutos - Realizar De 5 a 8 Copiadora 30 minutos - trámites en horas el inventario de suministros Entregar y retirar documentac ión institucione s financieras FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT Administraci Administrac De 5 a 8 Word 1 hora 30 minutos ón de TI ión horas Aura Portal 2 horas 1 hora Mantenimie De 1 a 4 Excel 1 hora 30 minutos nto horas Impresora 30 minutos - Internet Inalámbrico 1 hora y 30 - de usuarios preventivo y correctivo de Servidores. Administrac De 9 a 12 Excel 1 hora 30 minutos ión horas Internet Inalámbrico 1 hora y 30 - Administrac De 1 a 4 Internet Inalámbrico 1 hora y 30 - ión horas Correo 1 hora 30 minutos de periféricos de licencias del software del servidor periféricos y Electrónico mensajería y 101 Soporte De 5 a 8 Internet Inalámbrico 1 hora y 30 - horas Servidores 2 horas 1 hora Monitorear De Dos a Internet Inalámbrico 1 hora y 30 - el Tres días Servidores 2 horas 1 hora Mantenimie De 25 a Carpetas 30 minutos - nto del 48 horas Red FARO sistema de y 1 hora 30 minutos y 1 hora 30 minutos Internet Inalámbrico 1 hora y 30 - De 9 a 12 Internet Inalámbrico 1 hora y 30 - horas Servidores 2 horas 1 hora técnico in situm y remoto. rendimiento del sistema. Correo archivos del Compartidas Electrónico mensajería servidor central. Instalación De 13 a Correo de software 24 horas mensajería y sus Electrónico actualizacio nes. Creación y ejecución de copias de seguridad y recuperació n. Tabla 3. 29 3.3.1.8 MTD, RTO y WRT por proceso de Negocio Análisis del daño a consecuencia de la interrupción de un servicio de TI En este tema se especifican las consecuencias que se darían a causa de la interrupción de un servicio o recurso de TI. En la Tabla 3.30, se muestra el análisis causado por la interrupción de un servicio de TI. 102 Funciones Hardware Proceso Consecuencia Impresora No se pueden obtener impresiones de documentos importantes como oficios y autorizaciones Scanner La interrupción digitalización de de este servicio documentos e impide la imágenes importantes, especialmente para el departamento administrativo, debido a ello, se retrasan procesos de envío de información. Fax La interrupción de este servicio impide la transmisión telefónica de material escaneado a otro número telefónico, usado por todas las áreas de Grupo Faro, para el envío de documentos específicos que solo se deben enviar mediante este dispositivo. Copiadora La interrupción de este servicio, impide el fotocopiado de documentos importantes realizados en el transcurso del día, así como publicaciones, papers, etc. Cableado La interrupción de este servicio, impide el acceso a Estructurado todas las aplicaciones y servicios importantes que se utilizan en Grupo Faro durante la jornada laboral. Equipos de computación El falla y/o interrupción del hardware de computación provocan la interrupción de actividades de cualquier usuario de la organización. Hardware de conectividad El fallo en este equipo activo de la capa física, provoca la interrupción inmediata del acceso a las aplicaciones y servicios usados por el personal de Grupo FARO. Acceso remoto La interrupción de este servicio, impide el acceso remoto a los equipos disponibles en Grupo FARO, lo que retrasa el servicio de Soporte Técnico para incidentes que pueden ser solucionados con mayor eficiencia. Software Disco duro de El daño o la falta de discos duros de back-up Back-up provoca el retraso en la copia de los archivos que se han especificado para el respaldo. Microsoft El daño o falla de este software, provoca un retraso Office en la elaboración de documentos de texto, hojas de cálculo, presentaciones, con todas las funcionalidades que nos ofrece la plataforma Office. 103 Correo EL daño o falla de este servicio no permite a los electrónico usuarios el envío y la recepción de correos electrónicos, tanto internos como externos, por ejemplo el envío de confirmación de reuniones tanto internas, como con otras ONGs. Software La interrupción de este servicio provoca que todos contable los procesos contables no tengan continuidad e impide al Departamento Administrativo realizar sus funciones. Aura Portal La interrupción de este servicio impediría el seguimiento por parte de los usuarios de Grupo FARO de los procesos que se están por implementar. Antivirus La interrupción en este servicio, incrementa el riesgo a la infección de virus informáticos, lo que provoca brechas de inseguridad y lentitud en los equipos de computación. Tabla 3. 30 3.3.2 Análisis causado por la interrupción de un Servicio TI. REQUERIMIENTOS DE DISPONIBILIDAD A continuación en la Tabla 3.31 se especificarán los servicios que ofrece el departamento de TI de Grupo FARO, en donde, en primer lugar, se tomarán parámetros como: horas de servicio, tiempos de recuperación, capacidad para adaptarse, utilidad, mantenimiento. Tipo de Servicio Nombre Disponi Tiempo de Tipo de Utilid Mantenimie Responsa del bilidad recuperaci Soporte ad nto ble Interno Media Semanal Alejandro Servicio Software Active ón 24/7 1 hora Directory Internet Velasco 24/7 1 hora Interno – Alta Semanal Externo Alejandro Velasco Tv Cable Correo 24/7 30 minutos electrónic Interno – Alta Semanal Externo Alejandro Velasco o Microsoft 24/7 30 minutos Interno Alta Semanal Alejandro – 104 Office Outlook Velasco 24/7 30 minutos Interno Media Semanal Alejandro Velasco Aura 24/7 2 horas Portal Interno – Media Semestral Externo Alejandro Velasco – Marcelo Avilés Antivirus 10/7 30 minutos Interno Media Semestral Alejandro Velasco Software 24/7 20 minutos Contable Interno - Alta Diario Externo Alejandro Velasco – Soporte Dbware Hardware Tipo de Servicio Nombre Disponi Tiempo de Tipo de Utilid Mantenimie Responsa del bilidad recuperaci Soporte ad nto ble Interno – Alta Semanal Alejandro Servicio Hardware Impresora ón 24/7 1 hora Externo Velasco – Soporte Ecuaprint Copiador 24/7 1 hora a Interno – Alta Semanal Externo Alejandro Velasco – Soporte Ecuaprint Fax 10/5 1 hora Interno Baja Semanal Alejandro Velasco Soporte Ecuaprint Cableado 24/7 2 horas Interno Alta Semanal Estructura Alejandro Velasco do Equipos 24/7 3 horas de Interno – Media Semanal Externo Alejandro Velasco computaci ón Hardware de 24/7 1 hora Interno Externo Alta Mensual Alejandro Velasco – 105 conectivid ad Acceso 24/7 30 minutos Interno Media remoto Cada que vez se Alejandro Velasco presenta un incidente Disco duro 24/7 30 minutos Interno Media Diario de Alejandro Velasco Back-up Tabla 3. 31 Requerimientos de Disponibilidad y recuperación de los servicios 3.4 DISEÑO DE LA DISPONIBILIDAD 3.4.1 DESCRIPCIÓN DE LA INFRAESTRUCTURA 3.4.1.1 Elementos de la red Como se describió anteriormente, los componentes que integran la infraestructura de la red de Grupo FARO son: Servidores: Se tienen dos servidores mediante los cuales se gestiona: Servidor 1 Servidor DHCP Servidor DNS Servidor Proxy Servidor de Datos Servidor 2 Servidor Virtual SQL Servidor Virtual Active Directory Servidor Aura Portal Servidor WEB Cor Social Francisco de Orellana Servidor WEB Cor Social Ushahidi GPS 106 Clientes: Se refiere a todos los computadores tanto portátiles, de escritorio, MAC, que son utilizados por los usuarios de la Red de comunicaciones de Grupo FARO. Impresoras: Equipos usados para la realizar la impresión de documentos, los cuales han sido descritos anteriormente. Equipos Activos: Son elementos que se encargan de generar o modificar las señales en la capa física, entre los cuales, en la red de Grupo FARO se tienen: Switch: Se utiliza para la conmutación de paquetes, para aumentar la agilidad en la transferencia de la información. Modem: Se utiliza un modem, del proveedor TV Cable, mediante el cual se obtiene el Internet para la organización. Access Point: Equipo usado para generar la señal inalámbrica, la cual provee de internet a la gran mayoría de usuarios de la red. Equipos Pasivos: Son elementos que se encargan de transmitir las señales en la capa física, como el cableado estructurado. Sistemas Operativos: Actualmente se trabajan con los siguientes sistemas operativos en Grupo FARO. · Ubuntu 10.8 para el Servidor 1 · Windows Server 2008 R2, para el Servidor 2 · Windows XP, para los clientes · Windows 7, para los clientes. Se ha implementado un Servidor Proxy, pero no se han implementado políticas para la navegación de los usuarios de Grupo FARO. 3.4.1.2 Administración de TI La organización en la actualidad, únicamente cuenta con herramientas básicas para la Administración de TI la cual es: · MAC Scanner · Iptools · Nagios 107 Se recomienda, implementar herramientas más profesionales para la administración de diferentes necesidades como: Gestión de Inventario, monitoreo de recursos de servidores Recomendaciones: · OCS Inventory · Foglight · OTRS 3.4.1.3 Respaldo y Almacenamiento Al momento en la organización se cuenta con los siguientes elementos de respaldo y almacenamiento. 3.4.1.3.1 Respaldo Se posee un arreglo de discos RAID 1 (Redundant Array of Independence Disks), implementado en el servidor HP ProLiant G6, cada disco con 500 Gb de capacidad. 3.4.1.3.2 Back-up Se utiliza las tareas automáticas de Windows, para la realización de las copias de seguridad de los datos. Para el almacenamiento físico se lo realiza en un disco duro externo HP, de 1 Terabyte de capacidad. Las unidades de almacenamiento que se posee en cada equipo de trabajo de la organización. 3.4.1.4 Impresión y Digitalización Para la impresión y digitalización se utilizan: Impresora Ricoh Aficio MP 171 Impresora Ricoh Aficio MPC 400 - Color Impresora EPSON LX300 108 3.4.1.5 Consideraciones para el Hardware y el Software 3.4.1.5.1 Requerimientos de Hardware Se tienen especificados tres estándares de consideraciones mínimos de hardware, para servidores, estaciones de trabajo Desktop, estaciones de trabajo portátil. Servidores Requerimientos mínimos para servidores Procesador Intel® Xeon® E5502 (2 núcleos, 1,86 GHz, 4 MB L3, 80W) Teclado Teclado HP USB estándar español Mouse Ratón óptico USB Memoria RAM 4 GB Disco duro 500 GB – Arreglo Discos RAID 1 Tabla 3. 32 Requerimientos mínimos para servidores Estación de trabajo Desktop Requerimientos mínimos para estación de trabajo Desktop Procesador Intel® Core™ i3-3240 Processor (3M Cache, 3.40 GHz)43 Teclado Teclado USB español estándar Mouse Ratón óptico USB Memoria RAM 4 GB- DDR3 SDRAM Disco duro 350 GB – Serial ATA 5400 RPM Monitor Monitor LCD de 19 pulgadas Tabla 3. 33 Requerimientos mínimos para estación de trabajo Desktop Estación de trabajo Laptop Requerimientos mínimos para estación de trabajo Laptop Procesador Intel® Core™ i5-3570S Processor (6M Cache, 3.80 GHz) Teclado 43 Teclado español estándar http://ark.intel.com/es/products/family/65503/3rd-Generation-Intel-Core-i3Processors/desktop 109 Mouse Memoria Puntero touchpad RAM 4 GB - DDR3 SDRAM Disco duro 500 GB – Serial ATA – 5400 RPM Monitor 14.1 "Active Matrix TFT LCD a color Tabla 3. 34 Requerimientos mínimos para estación de trabajo Laptop 3.4.1.5.2 Especificaciones de Software Entre las consideraciones de software, tanto para servidores, como para estaciones de trabajo, se especifican las siguientes: · Sistema Operativo Servidor.- Windows Server 2008 R2. · Sistema Operativo Servidor 2.- Ubuntu 10.8. · Sistema Operativo Estación de Trabajo.- Windows XP Service Pack 3, Windows 7 Professional. · Herramientas Ofimáticas.- Microsoft Office 2007. Es recomendable, mantener actualizado el sistema operativo, tanto en estaciones de trabajo, como en servidores, debido a que mediante dichas actualizaciones se reducen vulnerabilidades de seguridad. 3.4.1.6 Consideraciones para la sala principal de equipos de Infraestructura TI Cada organización debería producir una política de entorno para la ubicación de equipos, con las normas mínimas acordadas para concentraciones particulares de equipos. Adicionalmente, los mínimos estándares deben ser acordados para la protección de edificios que contienen los equipos. Las siguientes tablas se cubren los principales aspectos que deben ser considerados, con características de ejemplo.44 Los equipos de Infraestructura, deben permanecer en las mejores condiciones físicas, como se presenta en la siguiente tabla. 44Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI; Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental architectures and standards; 245 110 3.4.1.6.1 Sala principal de equipos SALA PRINCIPAL DE EQUIPOS Acceso Entrada segura controlada, uso de combinación/clave, tarjeta magnética, cámara de video(Si el negocio es crítico y sin vigilancia) Ubicación Primera planta siempre que sea posible, sin agua, gas, químicos o riesgos de incendio dentro de la zona, por encima, por debajo o adyacente. Visibilidad No señalización, no ventanas exteriores. Revestimiento Revestimiento externo: impermeable, hermético, aislamiento acústico, resistente al fuego (0,5 horas a 4 horas dependiendo de la criticidad) Equipo de Deberían tomarse medidas adecuadas para la entrega y Entrega colocación de equipos grandes sensibles. Piso Interno Sellado Planta Eléctrica Separada Fuente de alimentación interrumpible (UPS). El suministro eléctrico y de distribución, unidades de manipulación de aire, unidades duales y salas de trabajo. Externo Generador para Data Centers mayores y sistemas críticos para el negocio. Tabla 3. 35 Mejores condiciones físicas para Sala principal de Equipos45 En la Tabla 3.36, se muestran las especificaciones para el Cuarto de Servidores o Equipos. CUARTO DE SERVIDORES O EQUIPOS Acceso Entrada controlada, por el uso de combinación/clave, tarjeta magnética o calve y llave. En algunos casos los equipos pueden encontrarse en oficinas abiertas en bastidores o gabinetes con llave. Temperatura Entorno de oficina normal, pero si las habitaciones son cerradas o bloqueadas se debería proveer una ventilación adecuada. Humedad 45Office Entorno normal de oficina. of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI; Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental architectures and standards; Table E2; 245 111 Calidad del aire Entorno normal de oficina. Power Energía continua suministrada con una fuente de poder sustituta – UPS a la granja de servidores completa. Piso Falso Recomendación mínima de 3 m entre el suelo y el techo, con todos los cables asegurados en canalización multi-compartimiento. Paredes interiores Siempre que sea posible las paredes deben ser resistentes al fuego. Detección / Prevención Sistema de detección de incendios/humo normal de oficina, a menos de que existan importantes concentraciones de equipo. incendio Detectores en el Para humo, energía, con capacidad de alarma sonora Entorno Iluminación Los niveles normales de iluminación de techo con luces de emergencia en caso de corte de energía. Conexión a Tierra Se debe proveer de conexión a tierra a los equipos. Con los botones de apagado claramente identificados. Extinguidores de Suficientes extintores de incendio eléctrico con señalización adecuada Fuego y procedimiento. Vibración Las vibraciones deben ser mínimas dentro de la zona Interferencia Interferencia mínima (1.5V/m campo de fuerza ambiente) Electromagnética Instalaciones Todos los equipos e instalaciones eléctricas deben ser suministrados e instalados por proveedores cualificados y normas adecuadas de salud y seguridad Conexiones de Red El equipo de campo debe ser de cable aislado con una capacidad adecuada para un crecimiento razonable. Todos los cables deben ser colocados y sujetos a las bandejas de cable adecuado. Recuperación de Completamente probado y los planes de recuperación deben Desastres desarrollarse de acuerdo al caso. Tabla 3. 36 Mejores condiciones físicas para el cuarto de servidores 112 En la Tabla 3.37, se muestran las especificaciones para el entorno de Oficina. ENTORNO DE OFICINA Acceso Todas las oficinas deben tener la seguridad de acceso adecuado según la empresa, la información y el equipo que está contenido dentro de ellas. Iluminación, Entorno normal, ambiente de la oficina cómoda y temperatura, ordenada, conforme a la salud de la organización, humedad y calidad seguridad y medio ambiente de aire. Alimentación de Energía continua suministrada con una fuente de poder sustituta – Energía UPS a la granja de servidores completa. Piso Falso Recomendada de 3 m mínima entre el suelo y el techo, con todos los cables asegurados en varios compartimentos. Detección de Detección de incendios, prevención de humo, sistemas de incendios, detección de incendios, sistemas de alerta de intrusión si prevención y aquí están las principales concentraciones de los equipos. extintores Suficientes extintores del tipo adecuado, con señalización adecuada y los procedimientos Conexiones de Red El espacio de oficinas preferentemente debe tener ser por cable con la capacidad adecuada para un crecimiento razonable. Todos los cables deben ser colocados y sujetos a las bandejas de cable adecuado. Todos los equipos de red deben estar protegidos en armarios o gabinetes de seguridad. Recuperación de Desastres Tabla 3. 37 3.4.1.7 Completamente probado y los planes de recuperación deben desarrollarse de acuerdo al caso. Mejores condiciones físicas para el entorno de oficina46 Análisis de Puntos individuales de fallo de componentes 3.4.1.7.1 Análisis por arboles de Fallos FTA. • Análisis del Árbol de Fallas es una técnica usada para identificar la cadena de eventos que llevan a fallar a un servicio de TI. • Se traza un árbol separado para cada servicio, usando símbolos booleanos. 46Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI; Mejores Prácticas para la Provisión del Servicio; versión 3; 2007; Appendix E: Environmental architectures and standards; Table E.6; Pag 248 113 • El árbol es atravesado de abajo hacia arriba. • El Análisis del Árbol de Fallas distingue los siguientes elementos: • Eventos Básicos – entradas en el diagrama (círculos) tales como caídas de energía eléctrica y errores del operados. Esos eventos no son investigados. • Eventos Resultantes – nodos en el diagrama, resultantes de eventos anteriores. • Eventos Condicionales – eventos que sólo ocurren bajo ciertas condiciones, tales como una falla del aire acondicionado. • Eventos Disparadores (Trigger Events) - eventos que causan otros eventos, tales como una desconexión automática del suministro de corriente iniciada por un UPS. • Los eventos pueden estar combinados con operaciones lógicas, tales como: – Operación AND – El Evento Resultante ocurre si todas las entradas ocurren simultáneamente. – Operación OR – El Evento Resultante ocurre si una o más de las entradas ocurren. – Operación XOR – El Evento Resultante ocurre si sólo una de las entradas ocurre. Operación Inhibir – el evento resultante ocurre si las condiciones de la entrada no son satisfechas. A continuación en la figura, se presenta el árbol de fallos con respecto al Internet fuera de servicio, las demás figuras representando a los otros servicios de TI, se encuentran en el Anexo 3: GF-Análisis por Árboles de Fallo. 114 Figura 3. 2 Análisis del Árbol de Fallos del Internet fuera de servicio. En la Figura 3.3 se expone el Árbol de Fallos con respecto al Internet fuera de servicio. Básicos · Corte de energía eléctrica · Fallo de Modem Condicionados Pérdida de Energía Fallo por parte del ISP · Mantenimiento de Enlaces · Fallo en switch Fallo de Hardware de conectividad · Fallo en el Access point interno 115 Desencadenantes Resultantes · Pérdida de Energía Internet fuera de servicio · Fallo por parte del ISP · Fallo en el Hardware de conectividad interno Podemos observar que el Suceso resultante de Internet fuera de servicio, es desencadenado por la pérdida de energía, el fallo por parte del ISP, y el fallo en el Hardware de conectividad. Además los sucesos básicos afectan inmediatamente a un Suceso Resultante por ejemplo: · Si tenemos pérdida de energía, como resultante tendremos Internet fuera de servicio. · Si se tiene un fallo en el Modem, enseguida se expone el Internet fuera de servicio. 3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA En la Figura 3.3 se indica un diagrama de la red de Grupo FARO, con los Elementos de Configuración (CI), mencionados anteriormente, mediante los cuales podemos realizar de una mejor manera el CFIA. En la Tabla 3.38, contiene una matriz en la cual se representan los Elementos de Configuración, además de los procesos más críticos para cada Área de la organización incluyendo el tipo de fallo en la infraestructura. Figura 3. 3 Diagrama de Red de Grupo FARO con especificación de CIs. INFRAESTRUCTURA DE RED – GRUPO FARO 116 CI Suministro eléctrico UPS1 C1 M1 C15 R1 C2 DE AXC AXC AFC AFC AFC AC AR Revisión y preparación de presupuestos AR Supervisar y Coordinar la ejecución de CFC X X Control Presupuestario X X X X A X A Realización de conciliaciones bancarias X X X X A X A Depósitos, Débitos e ingresos X X X X A X A Emisión de cheques X X X X A X A Registro de Facturas X X X X A X A Conciliaciones Bancarias X X X X A X A Revisión de cuentas X X X X A X A X X X X A X A X X X X A X A Levantamiento de fondos procesos contables Declaración de Impuestos y similares CFC X X X X A X A presupuesto institucional CFC X X X X A X A Revisión, ejecución mensual del Revisión de documentos académicos I X X X X A X A para investigaciones internas X X X X A X A eventos de GRUPO FARO X X X X A X A Grupo FARO X X X X A X A contratación de servicios X B X X A X A Servidores. X B X X A X A del servidor y periféricos TI Administración de licencias del software TI Mantenimiento preventivo y correctivo de O Elaborar adquisiciones de bienes y/o C Supervisión editorial de publicaciones de C Supervisar estándares de calidad de los 117 CI C3 SRV4 C4 SRV1 SRV2 SRV3 SWI1 C16 C5 AP1 C7 X B X X Levantamiento de fondos Registro de Facturas A X B Conciliaciones Bancarias A X B A B A B Revisión de cuentas Emisión de cheques A A Control Presupuestario X B Realización de conciliaciones bancarias X B B Depósitos, Débitos e ingresos A X B Revisión y preparación de presupuestos Supervisar y Coordinar la ejecución de A X A X B procesos contables A X A X B Revisión, ejecución mensual del presupuesto institucional A X B Declaración de Impuestos y similares Revisión de documentos académicos para B X investigaciones internas Supervisar estándares de calidad de los A X B X eventos de GRUPO FARO Supervisión editorial de publicaciones de A X B X Grupo FARO Elaborar adquisiciones de bienes y/o B contratación de servicios Mantenimiento preventivo y correctivo de X X X X B A A B Servidores. Administración de licencias del software X X X X B A del servidor y periféricos 118 CI I4 C6 AP2 C17 I3 C8 SWI2 C9 DSK2 C14 I1 C10 B X X Levantamiento de fondos Control Presupuestario X X X B X B Realización de conciliaciones bancarias X X X B X B Depósitos, Débitos e ingresos X X X B X B Emisión de cheques X X X B X B Registro de Facturas X X X B X B Conciliaciones Bancarias X X X B X B X X X X B X B X X X X X X B X X A X X Revisión de cuentas Revisión y preparación de presupuestos Supervisar y Coordinar la ejecución de X X X B X B procesos contables X X X B X B Revisión, ejecución mensual del presupuesto institucional X X X B X B Declaración de Impuestos y similares Revisión de documentos académicos para B X X investigaciones internas Supervisar estándares de calidad de los B X X eventos de GRUPO FARO Supervisión editorial de publicaciones de B X X Grupo FARO Elaborar adquisiciones de bienes y/o X X X B contratación de servicios Mantenimiento preventivo y correctivo de X X X B Servidores. Administración de licencias del software del X X X B servidor y periféricos 119 CI DSK3 C11 LAP3 C12 LAP6 C13 LAP5 DSK1 LAP4 LAP16 LAP25 SW1 SW2 X Levantamiento de fondos Revisión de cuentas Conciliaciones Bancarias B Registro de Facturas B Emisión de cheques B Depósitos, Débitos e ingresos X X Realización de conciliaciones bancarias X X X X X Control Presupuestario Revisión y preparación de presupuestos Supervisar y Coordinar la ejecución de X X X procesos contables X X Revisión, ejecución mensual del presupuesto institucional X X Declaración de Impuestos y similares Revisión de documentos académicos para X X investigaciones internas Supervisar estándares de calidad de los X X eventos de GRUPO FARO Supervisión editorial de publicaciones de X Grupo FARO Elaborar adquisiciones de bienes y/o X X contratación de servicios Mantenimiento preventivo y correctivo de X Servidores. Administración de licencias del software X del servidor y periféricos 120 CI SW3 SW4 SW5 SW6 SW7 SW8 SW9 SW10 SW11 SW12 SW13 A X X A X X Revisión de cuentas Conciliaciones Bancarias Emisión de cheques A A A X A A X X Registro de Facturas A A Control Presupuestario A Revisión y preparación de presupuestos A A X Realización de conciliaciones bancarias A A X A A X X A A X X Depósitos, Débitos e ingresos Supervisar y Coordinar la ejecución de A A A A X X A A X A A X X X procesos contables Revisión, ejecución mensual del presupuesto institucional Declaración de Impuestos y similares Revisión de documentos académicos para A A A X investigaciones internas Supervisar estándares de calidad de los A A A B X eventos de GRUPO FARO Supervisión editorial de publicaciones de Grupo FARO Elaborar adquisiciones de bienes y/o A A A A X contratación de servicios Mantenimiento preventivo y correctivo de A A A A X X X Servidores. Administración de licencias del software A A A A X X X Matriz de la configuración del Análisis del Impacto de Fallo de un componente de Grupo FARO A A A Tabla 3. 38 Levantamiento de fondos del servidor y periféricos 121 122 3.4.1.8 Análisis y gestión de riesgos. 3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM 3.4.1.8.1.1 Valoración de activos Es el estimado del valor que un proceso u otro activo representa para la empresa. Este valor es importante para el Análisis del Riesgo. 1 à Muy Bajo 2 à Bajo 3 à Medio 4 à Alto 5 à Muy Alto La Tabla 3.40 presentada a continuación presenta una lista de los activos de TI, con su respectiva valoración. La valoración se la realizó en base a la utilización diaria de los activos de Tecnologías de Información, conocimiento que se lo ha adquirido empíricamente, gracias a las actividades de administración de la infraestructura que se las han realizado durante un año. Además, también se basó en la tabulación de las encuestas realizadas al personal administrativo de Grupo FARO, el cual se encuentra en el Anexo 7-GFTabulación encuestas Grupo FARO. ACTIVO TI VALORACIÓN Impresora 2 Scanner 3 Fax 2 Copiadora 3 Cableado Estructurado 5 Equipos de computación 5 123 Acceso remoto 4 Disco duro de Back-up 3 Servidores 5 Microsoft Office 4 Correo electrónico 5 Software contable 5 Aura Portal 3 Antivirus 3 Adobe Reader 1 Switch 3 Router 5 Access Point 5 Interfaces de Red 4 Discos Duros 5 Acceso Remoto 2 Tabla 3. 39 3.4.1.8.1.2 Valoración de activos de TI Identificación y valoración de amenazas “Amenaza: Cualquier cosa que pueda aprovecharse de una Vulnerabilidad. Cualquier causa potencial de un Incidente puede ser considerada como una amenaza. Por ejemplo, el fuego es una Amenaza que podría explotar la Vulnerabilidad de las moquetas inflamables. Este término suele usarse en la Gestión de la Seguridad de la Información y en la Gestión de la Continuidad del Servicio de TI, pero también se aplica a otras áreas como la Problemas y Gestión de la Disponibilidad.“47 47ITIL® 2009) V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 124 Analizando las posibles amenazas que la organización GRUPO FARO está propensa a tener, se han categorizado los mismos como se muestra a continuación. Amenaza Humana: · Robo. · Hackers. · Artefactos explosivos. · Fugas de gas o agua. · Incendios. Amenaza Natural · Inundaciones. · Sismos. · Lluvias torrenciales. · Incendios. · Terremotos. Amenaza Tecnológica · Sabotaje computacional. · Acceso al centro de cómputo. · Escasez de energía. · Fallas en la red. · Acceso a la red por parte de personas ajenas a la entidad. · Falla en los dispositivos de almacenamiento del Servidor. · Falla en los dispositivos de almacenamiento de las computadoras. · Fallo en el hardware de los equipos. · Configuración incorrecta de aplicaciones. · Sobredimensionamiento de clientes inalámbricos en la red. · Virus. · Falla de capacitación de TI. 125 Una vez que los riesgos han sido identificados, se presenta las tablas de Probabilidad y Vulnerabilidad con sus respectivas probabilidades y vulnerabilidades asociadas y los riesgos detectados para las posibles amenazas. El Análisis del Riesgo identifica las amenazas y vulnerabilidades de los activos de la empresa e indica el nivel de vulnerabilidad de cada activo ante determinadas amenazas. 3.4.1.8.1.3 Valoración de las amenazas Para la valoración de las amenazas establece un rango enmarcado en la probabilidad de ocurrencia de dicha amenaza. 1. Baja probabilidad de ocurrencia. 2. Media baja probabilidad de ocurrencia. 3. Media probabilidad de ocurrencia. 4. Media Alta probabilidad de ocurrencia. 5. Alta probabilidad de ocurrencia. COD AMENAZA VALOR AMENAZA A1 Robo 3 A2 Hackers 3 A3 Artefactos explosivos 2 A4 Fugas de gas o agua 5 A5 Incendios 3 A6 Inundaciones 5 A7 Sismos 2 A8 Lluvias torrenciales 4 A9 Incendios 4 A10 Terremotos 3 A11 Sabotaje computacional 3 A12 Acceso al centro de cómputo 4 126 A13 Escasez de energía 3 A14 Fallas en la red 3 A15 Acceso a la red por parte de personas ajenas a la entidad 3 A16 Falla en los dispositivos de almacenamiento del Servidor 4 A17 Falla en los dispositivos de almacenamiento de las 5 computadoras A18 Fallo en el hardware de los equipos 5 A19 Configuración incorrecta de aplicaciones 3 A20 Sobredimensionamiento de clientes inalámbricos en la 4 red. A21 Virus 5 A22 Falla de capacitación de TI 4 Tabla 3. 40 3.4.1.8.1.4 Valoración de amenazas Identificación de las vulnerabilidades Para la identificación de las vulnerabilidades48, se toma cada amenaza y se especifica que debilidad puede aprovechar esta. AMENAZA Robo CÓDIGO V1 VULNERABILIDAD Pérdida de Equipos Pérdida de Información física y lógica Retraso en trabajo Hackers V2 Pérdida de Equipos Pérdida de Información lógica Retraso en trabajo Artefactos explosivos V3 Pérdida de Equipos Retraso en trabajo 48Una debilidad que puede ser aprovechada por una Amenaza. Por ejemplo un puerto abierto en el cortafuegos, una clave de acceso que no se cambia, o una alfombra inflamable. También se considera una Vulnerabilidad un Control perdido. Spanish (Latin American) 2011 Glosary 127 AMENAZA CÓDIGO Fugas de gas o agua V4 VULNERABILIDAD Pérdida de Equipos Pérdida de Información física y lógica Retraso en trabajo Incendios V5 Daño de Equipos Pérdida de Información física y lógica Retraso en trabajo Inundaciones V6 Daño de Equipos Pérdida de Información física y lógica Retraso en trabajo Sismos V7 Daño de Equipos Retraso en trabajo Lluvias torrenciales V8 Daño de Equipos Retraso en trabajo Incendios V9 Daño de Equipos Retraso en trabajo Terremotos V10 Daño de Equipos Retraso en trabajo Sabotaje computacional Acceso al centro V11 de V12 cómputo Escasez de energía Retraso en trabajo Pérdida de Información física y lógica Retraso en trabajo V13 Pérdida de Información lógica Retraso en trabajo Indisponibilidad de información Fallas en la red V14 Pérdida de Información lógica Retraso en trabajo Indisponibilidad de información Acceso a la red por parte V15 Pérdida de información confidencial de personas ajenas a la entidad Falla en los dispositivos V16 Pérdida de Información lógica de almacenamiento del Retraso en trabajo Servidor Indisponibilidad de información 128 AMENAZA CÓDIGO VULNERABILIDAD Falla en los dispositivos V17 Pérdida de Información lógica de almacenamiento de las Retraso en trabajo computadoras Indisponibilidad de información personal Fallo en el hardware de V18 Pérdida de Información lógica los equipos Retraso en trabajo Indisponibilidad de información Configuración incorrecta V19 Retraso en trabajo de aplicaciones Sobredimensionamiento V20 de clientes inalámbricos Retraso en trabajo Fallo de acceso a la red en la red. Virus V21 Pérdida de Información lógica Modificación de información lógica Retraso en trabajo Falla de Capacitación de V22 Retraso en trabajo TI Tabla 3. 41 3.4.1.8.1.5 Identificación de vulnerabilidades Valoración de las vulnerabilidades Para la valoración de las vulnerabilidades establece un rango enmarcado en el impacto que tendría una amenaza si esta ocurriese. 1. Bajo impacto. 2. Medio Bajo impacto. 3. Medio impacto. 4. Medio Alto impacto. 5. Alto impacto. 129 AMENAZA CÓDIGO VULNERABILIDAD VALORACIÓN Robo V1 Pérdida de Equipos 5 Pérdida de Información física y lógica Retraso en trabajo Hackers V2 Pérdida de Equipos 4 Pérdida de Información lógica Retraso en trabajo Artefactos explosivos V3 Pérdida de Equipos 3 Retraso en trabajo Fugas de gas o agua V4 Pérdida de Equipos 4 Pérdida de Información física y lógica Retraso en trabajo Incendios V5 Daño de Equipos 5 Pérdida de Información física y lógica Retraso en trabajo Inundaciones V6 Daño de Equipos 4 Pérdida de Información física y lógica Retraso en trabajo Sismos V7 Daño de Equipos 2 Retraso en trabajo Lluvias torrenciales V8 Daño de Equipos 2 Retraso en trabajo Incendios V9 Daño de Equipos 3 Retraso en trabajo Terremotos V10 Daño de Equipos 3 Retraso en trabajo Sabotaje computacional V11 Retraso en trabajo 2 Acceso al centro de V12 Pérdida de Información física y 3 cómputo lógica Retraso en trabajo 130 Escasez de energía V13 Pérdida de Información lógica 5 Retraso en trabajo Indisponibilidad de información AMENAZA CÓDIGO VULNERABILIDAD VALORACIÓN Fallas en la red V14 Pérdida de Información lógica 4 Retraso en trabajo Indisponibilidad de información Acceso a la red por V15 Pérdida parte confidencial de personas de información 3 ajenas a la entidad Falla en los dispositivos V16 Pérdida de Información lógica de almacenamiento del Retraso en trabajo Servidor Indisponibilidad de información Falla en los dispositivos V17 Pérdida de Información lógica de almacenamiento de Retraso en trabajo las computadoras Indisponibilidad de información 5 4 personal Fallo en el hardware de V18 Pérdida de Información lógica los equipos Retraso en trabajo 3 Indisponibilidad de información Configuración incorrecta V19 Retraso en trabajo 3 Retraso en trabajo 4 de aplicaciones Sobredimensionamiento V20 de clientes inalámbricos Fallo de acceso a la red en la red. Virus V21 Pérdida de Información lógica Modificación de 5 información lógica Retraso en trabajo Falla de capacitación en V22 Retraso en trabajo TI Tabla 3. 42 Valoración de las vulnerabilidades 4 131 Luego se analizarán las Probabilidades y Vulnerabilidades de cada riesgo identificado, con lo cual se justificarán las decisiones tomadas. 3.4.1.8.1.6 Evaluación de niveles de riesgos “Riesgo.- Evento que podría causar daño o pérdidas, o afectar la habilidad de alcanzar Objetivos. Un Riesgo es medido por la probabilidad de una Amenaza, la Vulnerabilidad del Activo a esa Amenaza, y por el Impacto que tendría en caso que ocurriera.”49 A continuación en la Tabla 3.43, la cual es un extracto del Anexo 4: GFEvaluación de Riesgos, se presenta la probabilidad de ocurrencia del riesgo, para uno de los activos más sensibles de Grupo FARO que es el Sistema Contable. Para la determinación del riesgo, se han tomado extractos de las tablas: Tabla 3.39: Valoración de activos TI. Tabla 3.40: Valoración de amenazas. Tabla 3.42: Valoración de las vulnerabilidades. Con dichos datos, se realizó la operación: Riesgo = Amenaza * Vulnerabilidad. ACTIVO VALOR AMENAZA VALOR DE VULNERABILIDAD AMENAZA DEL VALOR DE RIESGO VULNERABILIDAD ACTIVO 5 A1 3 V1 5 75 5 A2 3 V2 4 60 5 A3 2 V3 3 30 SOFTWARE 5 A4 5 V4 4 100 CONTABLE 5 A5 3 V5 5 75 5 A6 5 V6 4 100 5 A7 2 V7 2 20 5 A8 4 V8 2 40 49 ITIL Spanish (Latin American) 2011 Glossary 132 5 A9 4 V9 3 60 5 A10 3 V10 3 45 5 A11 3 V11 2 30 5 A12 4 V12 3 60 5 A13 3 V13 5 75 5 A14 3 V14 4 60 5 A15 3 V15 3 45 5 A16 4 V16 5 100 5 A17 5 V17 4 100 5 A18 5 V18 3 75 5 A19 3 V19 3 45 5 A20 4 V20 4 80 5 A21 5 V21 5 125 5 A22 4 V22 4 80 Tabla 3. 43 Evaluación de niveles de riesgos Como podemos observar en la Tabla 3.43 los valores de niveles de riesgos para los Activos de Tecnologías de Información de Grupo FARO son altos para Sistema Contable y bajos para Adobe Reader. Revisión de Riesgo Software Contable Como ejemplo tomaremos el caso del valor de riesgo igual a 125, que se basa en la probabilidad de que la organización tenga una amenaza (A21) Virus conjuntamente con la vulnerabilidad (V21) Pérdida de información lógica, Modificación de información lógica, Retraso en el trabajo, este hace referencia a la probabilidad de un mayor impacto en los procesos del negocio, si el servidor es propenso a ataques de virus informáticos. Observamos que las vulnerabilidades con mayor ponderación del software contable son: V1: Robo. V5: Incendios. V13: Escasez de energía. V16: Falla en los dispositivos de almacenamiento del servidor. V21: Virus 133 Gracias a los datos que se extraen de la Tabla 3.44 Control de riesgos, podemos observar para este caso específico las actividades que se deben realizar; por ejemplo, en el caso de Robo, el impacto se reduciría si se toman las siguientes acciones: · Contratar seguro contra robo. · Realizar respaldo de equipos. · Elaborar políticas de back-up. Para el valor de riesgo igual a 20, que se basa en la probabilidad tenga una amenaza de (A7) Sismos conjuntamente con la vulnerabilidad (V7) Daño de equipos, Retraso en el trabajo, no se debe descartar dicho riesgo, pero de igual manera, se debe tener en cuenta las opciones de control debido a que si se tendrá un impacto en los procesos del negocio si ocurriese un Sismo. 3.4.1.8.1.7 Control y opciones de control de riesgos. La siguiente tabla nos muestra los Riesgos y el control que se les dará. AMENAZA CONTROL DE RIESGO Robo Seguro contra robo Respaldo equipos Políticas back-up Hackers Políticas de back-up Firewall Monitoreo de Red Artefactos explosivos Sanciones por negligencia Fugas de gas o agua Buenas prácticas de ubicación de equipos Seguro de equipos Incendios Alarma contra incendios Seguro contra incendio Respaldo de elementos de la red Inundaciones Respaldo de equipos Sismos Políticas de seguridad Lluvias torrenciales Seguro de equipos Buenas prácticas de ubicación de equipos Incendios Alarma contra incendios Seguro contra incendio 134 Respaldo de elementos de la red Terremotos Seguro contra terremotos Respaldo de equipos Sabotaje computacional Sanciones por negligencia Acceso al centro de cómputo Puerta con candado del centro de cómputo Escasez de energía Planta de energía alterna Equipos de protección de equipos Fallas en la red Monitoreo de la red Mantenimiento de la red Acceso a la red por parte de personas Aumentar seguridad en el acceso a la red ajenas a la entidad Falla en los dispositivos de almacenamiento del Servidor Falla en los Discos respaldo servidor Política de Back-up dispositivos de Concientización a usuarios almacenamiento de las computadoras Políticas de Back-up Fallo en el hardware de los equipos Garantía de equipos Respaldo de equipos Hardware back-up Configuración incorrecta de Manual de procedimientos de aplicaciones aplicaciones Sobredimensionamiento de clientes Access Point extra inalámbricos en la red. Monitoreo de red Virus Antivirus actualizado Concientización a usuarios Políticas de Back-up Políticas de Seguridad Falla capacitación en TI Tabla 3. 44 Capacitación a usuarios Control de riesgos Las opciones de control de Riesgo se dividen en cuatro categorías Aceptación del Riesgo.- Reside en aceptar el riesgo, y no tomar acciones para evitarlo. Anulación del Riesgo.-Consiste en reducir el riesgo a niveles tolerables. Reducción del Riesgo.- Reside en reducir el riesgo a niveles tolerables. Transferencia de Riesgo.- Consiste en escalar el riesgo a otra entidad especializada en el mismo. 135 En la siguiente tabla se las ha organizado en función a cada Amenaza y su control de riesgo. AMENAZA CONTROL DE RIESGO OPCIÓN DE CONTROL Robo Seguro contra robo Transferencia del riesgo Respaldo equipos Reducción del riesgo Políticas back-up Reducción del riesgo Políticas de back-up Reducción del riesgo Firewall Reducción del riesgo Monitoreo de Red Reducción del riesgo Artefactos explosivos Políticas de seguridad Reducción del riesgo Fugas de gas o agua Seguro de equipos Transferencia del riesgo Incendios Alarma contra incendios Reducción del riesgo Seguro contra incendio Transferencia del riesgo Respaldo de elementos de la Reducción del riesgo Hackers red Inundaciones Seguro contra inundaciones Anulación del riesgo Respaldo de equipos Reducción del riesgo Seguro contra terremotos Transferencia del riesgo Respaldo de equipos Reducción del riesgo Lluvias Torrenciales Respaldo de equipos Reducción del riesgo Incendios Alarma contra incendios Reducción del riesgo Seguro contra incendio Transferencia del riesgo Respaldo de elementos de la Reducción del riesgo Sismos red Sabotaje computacional Sanciones por negligencia Reducción del riesgo Recalentamiento de equipos Seguro técnico de equipos Transferencia del riesgo Mantenimiento preventivo Reducción del riesgo Planta de energía alterna Anulación del riesgo Escasez de energía Equipos de protección de Reducción del riesgo equipos Fallas en la red Monitoreo de la red Reducción del riesgo Mantenimiento preventivo de Reducción del riesgo la red Acceso a la red por parte de Aumentar personas ajenas a la entidad ingreso autorizado seguridad a solo en el personal Anulación del riesgo 136 AMENAZA CONTROL DE RIESGO OPCIÓN DE CONTROL Falla en los dispositivos de Discos respaldo servidor Reducción del riesgo almacenamiento del Servidor Política de Back-up Reducción del riesgo Respaldo de información on Reducción del riesgo line Falla en los dispositivos de Concientización a usuarios Reducción del riesgo almacenamiento las Políticas de Back-up Reducción del riesgo Fallo en el hardware de los Garantía de equipos Reducción del riesgo equipos Respaldo de equipos Reducción del riesgo Hardware back-up Reducción del riesgo Configuración incorrecta de Manual de procedimientos de Anulación del riesgo aplicaciones aplicaciones de computadoras Sobredimensionamiento de clientes inalámbricos en la Access Point extra Anulación del riesgo Monitoreo de red Reducción del riesgo Antivirus actualizado Reducción del riesgo Concientización a usuarios Reducción del riesgo Políticas de Back-up Reducción del riesgo Políticas de Seguridad Reducción del riesgo Capacitación a usuarios Reducción del riesgo red. Virus Falla capacitación en TI Tabla 3. 45 3.5 Opciones de control de Riesgos DISEÑO DE LA RECUPERACIÓN En esta sección se especificará el proceso previo que se seguirá para mejorar los niveles de recuperación del servicio, además que se desarrollará una explicación breve de las medidas, las métricas y los procesos empleados para la recuperación. Las copias de seguridad son una forma de protección de datos tal que permiten la recuperación de la información (ya sean datos o aplicaciones) en el caso de: Pérdida del equipamiento informático (o hardware), debido a desastres naturales, fallos de disco, errores de operación del sistema. 137 De igual importancia que la protección física del equipamiento es la protección de los medios empleados para realizar las copias de seguridad. 3.5.1 MEDIDA DE RECUPERACIÓN DE INCIDENTE En la tabla 3.46, se especifican las medidas de recuperación para cada servicio que se tiene en la organización. Nombre del Servicio Active Directory Medida de recuperación · Tener un respaldo de las bases de datos de usuarios del dominio. · Tener un servidor Virtual con Active Directory de Back-up Internet · Disponer de dispositivos de internet portables para las áreas críticas del negocio. · Cambio del dispositivo entregado por el proveedor. · Definir las vías de contacto directo con los proveedores (teléfono convencional, teléfono celular, correo electrónico) Correo electrónico · Configurar el correo electrónico en el computador, mediante POP3. · Elaborar una política de respaldo semanal del archivo de correos en medios externos. · Elaborar un nuevo archivo de correo si este sobrepasa el 1Gb. Microsoft Office · Contar con el instalador de la versión software instalado. · Establecer copias de seguridad automáticas de los archivos creados en Microsoft Office Outlook · Contar con el instalador de la versión software instalado. Aura Portal · Contar con un respaldo del instalador con la versión empleada para el servidor. · Contar con manuales de instalación y configuración del servidor y clientes. · Tener un respaldo de las Bases de datos de usuarios del sistema, configuraciones de procesos, etc. 138 · Disponer de un servidor virtual de remplazo con todas las configuraciones realizadas. · Nombre del Servicio Antivirus Medida de recuperación · Contar con un respaldo del instalador. · Disponer de un archivo con las actualizaciones de las bases de datos del antivirus. Software Contable · Disponer de un respaldo del instalador y las configuraciones pertinentes. · Contar con manuales de instalación y configuración del servidor y clientes. · Tener un respaldo de las bases de datos, tanto en un medio externo, como en línea. Impresora · Escalar al proveedor solicitando el arreglo inmediato del dispositivo. Copiadora · Escalar al proveedor solicitando el arreglo inmediato del dispositivo. Fax · Escalar al proveedor solicitando el arreglo inmediato del dispositivo. Cableado Estructurado · Disponer del diagrama detallado de la red. · Poseer suministros de respaldo como: Jacks, ponchadora, cable CAT 5e. Equipos de computación · Disponer de equipos de contingencia. · Mantener actualizado el inventario y según el mismo coordinar los equipos con disponibilidad Hardware de conectividad · Disponer de hardware de infraestructura de TI extra. Acceso remoto · Disponer de un inventario de direcciones IP organizado y actualizado. Disco duro de Back-up · Disponer de un disco duro aparte, y en un lugar distinto al cuarto de equipos. Tabla 3. 46 Medidas de recuperación de incidentes En la tabla 3.47, se muestra un extracto de la tabla 3.31: Requerimientos de disponibilidad y recuperación de los servicios, mediante la cual, obtenemos información como: Tiempo de recuperación y responsable de la recuperación. 139 Nombre del Tiempo de Tipo Servicio recuperación Soporte Active Directory 1 hora Interno Internet 1 hora Interno de Alejandro Velasco – Externo Correo 30 minutos electrónico Interno Responsable Alejandro Velasco – Tv Cable – Alejandro Velasco Externo Microsoft Office 30 minutos Interno Alejandro Velasco Outlook 30 minutos Interno Alejandro Velasco Aura Portal 2 horas Interno Alejandro Velasco Interno Software 20 minutos Interno - Externo 1 hora Interno 1 hora Fax 1 hora Interno Alejandro Velasco – Alejandro Velasco – Alejandro Velasco Externo Soporte Ecuaprint Interno Alejandro 2 horas Interno Velasco 3 horas Interno Alejandro Velasco Estructurado Equipos de computación Hardware 1 hora conectividad duro Alejandro Velasco Interno - Alejandro Velasco Externo Acceso remoto Disco – Externo de de – – Soporte Ecuaprint Soporte Ecuaprint Cableado – Soporte Dbware Externo Copiadora Velasco Marcelo Avilés 30 minutos Impresora Alejandro Externo Antivirus Contable – 30 minutos Interno Alejandro Velasco 30 minutos Interno Alejandro Velasco Back-up Tabla 3. 47 Servicios de Ti, tiempo de recuperación y responsables. – – 140 3.5.2 MÉTRICAS DE RECUPERACIÓN Determinar los servicios sensibles de TI y el tiempo de recuperación los mismos. A continuación en la Tabla 3.48 se muestran parámetros los cuales serán evaluarán en función del tiempo. Parámetro Especificación Tiempo de adquisición de un Tiempo servidor que se solicita el servidor al con similares características al afectado. Tiempo transcurrido, desde 3 días proveedor, hasta que el mismo es entregado Tiempo de instalación y Tiempo transcurrido, desde configuración de Aplicaciones en que se inicializa la instalación Servidor. del Sistema Operativo 2 días en servidor utilizado por Grupo FARO, hasta la finalización y comprobación de su correcto funcionamiento Tiempo de configuración instalación y software en de equipos de usuarios Tiempo transcurrido, desde 5 horas que se recibe una notificación de instalación hasta la finalización y comprobación de su correcto funcionamiento de los sistemas operativos descritos en la Tabla 2.4 Tiempo de Instalación y configuración de impresoras Tiempo transcurrido, desde 4 horas que se recibe la impresora por parte del proveedor, hasta que está se encuentra instalada y habilitada para todos los usuarios de la organización Tiempo de configuración instalación del BPMS y Aura Portal Tiempo que transcurrido, se inicializan instalaciones, servicio desde hasta se 2 días las que el encuentra levantado y probado. Tiempo de Obtención de back-ups Tiempo transcurrido, desde que se inicia con la obtención de back-ups, hasta la 3 horas 141 finalización y comprobación de la información respaldada en el disco externo. Tiempo para configuración instalación del y Software Contable Tiempo que transcurrido, se desde inicializan instalaciones del 3 horas las Software Contable, hasta que el servicio se encuentra activado y probado. Tiempo para el diseño e Tiempo transcurrido desde el implementación de una red LAN diseño de la red LAN, hasta la exclusiva para el Área implementación y pruebas de Administrativa la misma Tiempo para la implementación de Tiempo transcurrido, desde la Access Points extras. adquisición del Access point 5 días 5 días hasta la instalación y pruebas del mismo. Tabla 3. 48 Métricas de recuperación. 3.5.3 RESPALDO O BACK-UP A continuación se especifica un extracto del Anexo 5: GF-Política de Back-up. 3.5.3.1 Aspectos de las copias de seguridad. Ámbito de aplicación.-El sistema del que se pretende realizar copias de seguridad está formado por un servidor de aplicaciones (Aura Portal) y diversos puestos de trabajo. Tipo de Datos.- El tipo de datos de los cuales se realizará el back up serán los documentos empleados por cada usuario. Periodicidad Las copias de respaldo se las realizará cada día, a las 13h00. 142 Elección del soporte para el backup Las copias se van a realizar en tres soportes distintos: · Disco duro Servidor particionado con RAID 1. · Disco duro externo HP 500Gb. · Backup remoto. Los archivos serán respaldados cada día entre las 12h30 y las 13h00 en el disco duro externo. Método empleado El método empleado será incremental y absoluto. Ubicación final de las copias. La ubicación final de los dispositivos de backup y alternativamente los medios de almacenamiento debe realizarse en una zona alejada respecto de la sala de equipamiento informático. Responsables Administrador de TI será el encargado de realizar las copias de seguridad así como de llevar a cabo la comprobación de la integridad de los datos. 3.5.4 GESTIÓN DE SISTEMAS En la sección 3.4.1.2 se especifican las herramientas usadas actualmente, y las recomendadas a implementar en la organización, como por ejemplo. · MAC Scanner. · OCS Inventory . 143 3.5.5 RESTAURACIÓN DEL SERVICIO Para la restauración del servicio, se tomará en cuenta los datos especificados anteriormente en la Tabla 3.31 Requerimientos de Disponibilidad y recuperación de los servicios, y en la Tabla 3.48 Métricas de recuperación. Se mantendrá el criterio de que para que un incidente sea cerrado, el servicio debe ser instalado y se ha restablecido el funcionamiento normal de los procesos del negocio. Si la restauración del servicio se lo realiza por personal externo, se debe probar mediante un checklist el correcto funcionamiento de los servicios restablecidos, para que dicho personal pueda realizar las correcciones necesarias de ser el caso. Se realizará una prueba con interrupciones específicas a un servicio crítico, obteniendo la información de la Tabla 3.22 - Mantenimiento preventivo y correctivo de servidores. Como podemos observar el siguiente extracto de la Tabla 3.22, se observa que la suma de los impactos financiero y estratégico es de 14 (nivel alto). Impacto Impacto Operacional financiero Falta de Satisfacción a Eficacia confiabilidad los usuarios del operacional Mantenimiento preventivo y correctivo de Servidores. Además, 3 obtenemos información servicio 4 de 3 la SUMA Tabla 3.31 4 14 Requerimientos de Disponibilidad y recuperación de los servicios, mediante la cual tenemos información clara para este servicio crítico de: 144 Tiempo de recuperación : 3 horas Tipo de soporte : Interno y Externo Responsable : Alejandro Velasco Nombre del Servicio Disponibilidad Tiempo de recuperación Tipo de Soporte Utilidad Mantenimiento Responsable Equipos de computación 24/7 3 horas Interno – Externo Media Semanal Alejandro Velasco A continuación se muestra un extracto de la Tabla 3.29: MTD, RTO y WRT por proceso de Negocio. Observamos que por ejemplo las herramientas que usamos para realizar el mantenimiento son Excel, Impresora e Internet Inalámbrico, y tenemos un tiempo de 1 a 4 horas, para tenerlo operativo nuevamente. PROCESOS MTD SERVICIOS DE RTO WRT Excel 1 hora 30 min 30 min - 1 h y 30 - TI Mantenimiento preventivo y De 1 a 4 Impresora correctivo de Servidores. horas Internet Inalámbrico El Mantenimiento preventivo y correctivo de los servidores, se lo realiza principalmente para mantener el Servicio de Internet Activo, debido a esto, se puede observar en la Figura 3.2 Análisis del Árbol de Fallos del Internet fuera de servicio, los procedimientos de soporte in situm a seguir. 145 Mediante el Análisis del Árbol de fallos, la persona encargada del soporte en la organización puede basarse en el mismo para reducir los tiempos de respuesta ante un incidente, en este caso, se procederá a revisar: a) Fallo de hardware de conectividad interno. a. Fallo en el Switch, (SW1) b. Fallo en el Access Point, (AP1) ó (AP2) b) Fallo por parte del ISP. a. Mantenimiento de enlaces, (C1 , C15, C2, C3, C4, C16, C5, C6, C17) b. Fallo modem, (M1) c) Pérdida de Energía. a. Corte de energía eléctrica, (Suministro eléctrico) A continuación se muestra un extracto de la Tabla 3.38 Matriz de la configuración del Análisis del Impacto de Fallo de un componente de Grupo FARO, en la cual podemos observar los componentes antes mencionados y el grado de impacto de los mismos. 146 Al tener claramente definidos los elementos de configuración, y el impacto hacia el proceso, se deben tomar en cuenta los backups del elemento de configuración a llevar, por ejemplo. SWI1 : Se tiene un respaldo alternativo, no inmediato AP1 : Se tiene un respaldo alternativo no inmediato AP2 : La falla de este elemento, provocará inoperatividad del servicio. M1 : La falla de este elemento, provocará inoperatividad del servicio. Suministro eléctrico : La falla de este elemento, provocará inoperatividad del servicio. CI Suministro eléctrico UPS1 Mantenimiento preventivo y correctivo de Servidores. X B C1 X M1 X C15 A R1 X C2 A SRV4 X SRV1 X SRV2 X SRV3 X SWI1 B C16 A C5 A AP1 B C6 X AP2 X C17 X I3 B SW2 X SW3 A 147 SW4 A SW5 A SW6 A SW9 X SW10 X SW11 X En la Tabla 3.46, medidas de recuperación de incidentes, podemos disponer de las mismas para este caso: Internet · Disponer de dispositivos de internet portables para las áreas críticas del negocio. · Cambio del dispositivo entregado por el proveedor. · Definir las vías de contacto directo con los proveedores (teléfono convencional, teléfono celular, correo electrónico). Se puede contactar al proveedor mediante: a) Formulario de contacto, ingresando a la siguiente dirección electrónica: http://www.grupotvcable.com.ec/grupo/contacto_corporativo b) Teléfono convencional : 6004111 Para la atención como cliente corporativo, debemos presentar el RUC de la empresa: 1791975081001. Cableado Estructurado · Disponer del diagrama detallado de la red. · Poseer suministros de respaldo como: Jacks, ponchadora, cable CAT 5e. Back up o respaldo Si mientras ocurre el incidente, tenemos información que necesitamos recuperar, nos debemos guiar en la sección 3.5.3 de este documento: Respaldo o Back-up. En este caso las medidas de recuperación serían: a) Verificar información en el Servidor de Archivos. b) Verificar información en el Disco Duro Externo de la organización. c) Verificar información en el respaldo on-line. 148 3.6 CONSIDERACIONES DE SEGURIDAD Para las consideraciones de seguridad, se han establecido los siguientes parámetros los cuales han sido un extracto de las consideraciones de seguridad presentes en el Estándar Internacional ISO/IEC 17799. A continuación se presenta un extracto del Anexo 6: GF-Política de Seguridad. 3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS · Toda adquisición de tecnología informática se efectuará a través del personal de la Administración de Informática. · La adquisición de Bienes de Informática en GRUPO FARO, quedará sujeta a los lineamientos establecidos en este documento. 3.6.1.1 Capacidades Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área. Para la adquisición de Hardware se observará lo siguiente: · Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país. · La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica microcomputadores, y refaccionaria local. Tratándose de a fin de mantener actualizada la arquitectura informática de GRUPO FARO. · Los dispositivos de almacenamiento, así como las interfaces de entrada / salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos, como en procesamiento. 149 Las impresoras deberán apegarse a los estándares de Hardware y Software vigentes en el mercado y en GRUPO FARO, corroborando que los suministros (cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor. 3.6.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO La instalación del equipo de cómputo, quedará sujeta a los siguientes lineamientos: · Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo y tráfico de personas. · La Administración de Informática, así como las áreas operativas deberán contar con un croquis actualizado de las instalaciones eléctricas y de comunicaciones del equipo de cómputo en red. 3.6.2.1 Seguridad de la información. La información almacenada en medios magnéticos se deberá inventariar, anexando la descripción y las especificaciones de la misma, clasificándola en dos categorías: · Información de interés de la organización. · Información de interés exclusivo de alguna área en particular. En caso de información vital para el funcionamiento del área, se deberán tener procesos colaborativos, así como tener el respaldo diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente. 3.6.2.2 Gestión interna de soporte Es obligación de la Administración de Informática vigilar que el equipo de cómputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne. 150 Se establecen los siguientes lineamientos: · Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello. · Verificar la información que provenga de fuentes externas a fin de corroborar que esté libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos. 3.6.3 PLAN DE CONTINGENCIAS INFORMÁTICAS La Administración de Informática creará para los departamentos un plan de contingencias informáticas que incluya al menos los siguientes puntos: · Continuar con la operación del área con procedimientos informáticos alternos. · Tener los respaldos de información en un lugar seguro, fuera del lugar en el que se encuentran los equipos. · Contar con un instructivo de operación para la detección de posibles fallas, para que toda acción correctiva se efectúe con la mínima degradación posible de los datos. 3.6.3.1 Estratégias Informáticas La estrategia informática de GRUPO FARO está orientada hacia los siguientes puntos: · Estandarización de hardware, software base, utilitarios y estructuras de datos. · Manejo de proyectos conjuntos con las diferentes áreas. 3.6.4 SEGURIDAD FÍSICA Y DE ENTORNO Sólo al personal autorizado le está permitido el acceso a las instalaciones donde se almacena la información confidencial de GRUPO FARO. 151 Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en las instalaciones donde se almacena la información confidencial, y durante un período de tiempo justificado. 3.6.4.1 · Identificadores de usuario y contraseñas Todos los usuarios con acceso a un sistema de información o a una red informática, dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña. · Ningún usuario recibirá un identificador de acceso a la Red de Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no acepte formalmente la Política de Seguridad vigente. 3.6.5 QUEDA PROHIBIDO · El uso de estos recursos para actividades no relacionadas con el propósito del negocio, o bien con la extralimitación en su uso. · Introducir en los Sistemas de Información o la Red Corporativa contenidos obscenos, amenazadores, inmorales u ofensivos. 3.6.5.1 Software Todo el personal que accede a los Sistemas de Información de GRUPO FARO debe utilizar únicamente las versiones de software facilitadas y siguiendo sus normas de utilización. 3.6.5.2 Recursos de red De forma rigurosa, ninguna persona debe: · Conectar a ninguno de los Recursos, ningún tipo de equipo de comunicaciones (Ej. módem) que posibilite la conexión a la Red Corporativa. · Conectarse a la Red Corporativa a través de otros medios que no sean los definidos. 152 3.6.5.3 Conectividad a internet La autorización de acceso a Internet se concede exclusivamente para actividades de trabajo. Todos los colaboradores de GRUPO FARO tienen las mismas responsabilidades en cuanto al uso de Internet. El acceso a Internet se restringe exclusivamente a través de la Red establecida para ello, es decir, por medio del sistema de seguridad con cortafuegos incorporado en la misma. 3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD Debido a la propia evolución de la tecnología y las amenazas de seguridad, y a las nuevas aportaciones legales en la materia, GRUPO FARO se reserva el derecho a modificar esta Política cuando sea necesario. Los cambios realizados en esta Política serán divulgados a todos los colaboradores de GRUPO FARO. 3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA. Los beneficios de un sistema de seguridad con políticas claramente concebidas bien elaboradas son inmediatos, ya que GRUPO FARO trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos: · Aumento de la productividad. · Aumento de la motivación del personal. · Compromiso con la misión de la compañía. · Mejora de las relaciones laborales. · Ayuda a formar equipos competentes. 3.7 MANTENIMIENTO DEL PLAN Entre las consideraciones del Mantenimiento del plan tenemos las siguientes: · Periodicidad y responsabilidad. · Monitoreo de la gestión de disponibilidad. 153 · Actualización de requisitos de disponibilidad. · Métodos y técnicas usados para la gestión de disponibilidad. 3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS 3.7.1.1 Periodicidad La periodicidad se basa en los siguientes eventos · Cada vez que se implemente un nuevo servicio. · Cambios en procesos del negocio. · Posterior a un incidente. · Cada cuatro meses. 3.7.1.2 Responsabilidad Administrador de Tecnologías de Información de Grupo FARO. 3.7.1.3 Involucrados Administrador de Tecnologías de Información, Subdirección General. 3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD Se recomienda optimizar el uso de las herramientas ya existentes: · MAC Scanner. · Iptools. · Nagios. Además de implementar otras herramientas gratuitas para el monitoreo de Red como: · “OCS Inventory.- Open Computers and Software Inventory Next Generation es una solución de gestión técnica de los activos de TI.”50 50 http://www.ocsinventory-ng.org/en/ 154 · “OTRS.- Es la suite de código abierto líder en innovación de servicios, que incluye Help Desk, una solución para la gestión de servicios de IT (ITSM) compatible con ITIL®, así como la plataforma tecnológica de soporte.”51 3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD Si se desean actualizar los requisitos de disponibilidad, se deben tomar en cuenta: Incidentes · Fallos en la recuperación del servicio. · Aumento o disminución de elementos de configuración del servicio los cuales son cualquier componente que necesite ser gestionado con el objeto de proveer un Servicio de TI. · Cambio en los procedimientos utilizados para la gestión de incidentes. Infraestructura La elaborar de la infraestructura debe ser elaborado acorde a los objetivos del negocio, priorizando los procesos que si se interrumpen dejarían gran cantidad de pérdidas a la organización. Riesgos En el Análisis de Riesgos, se deben identificar y valorar las amenazas y vulnerabilidades de los nuevos servicios acorde a lo indicado. Recuperación En el diseño de la recuperación se deben garantizar los procesos necesarios para la recuperación de los servicios y la puesta en marcha de las operaciones con normalidad lo más pronto posible, en caso del fallo de los mismos. 51 http://www.otrs.com/es/ 155 Seguridad En las consideraciones de seguridad, se deben realizar cambios a las políticas, una vez que se den cambios en las regulaciones del negocio. 3.7.4 MÉTODOS Y TÉCNICAS Los métodos a implementarse serán los siguientes: · CFIA. · FTA. 156 CAPÍTULO 4 CONCLUSIONES Y RECOMENDACIONES La elaboración del plan de disponibilidad para la ONG Grupo FARO, ha dado como resultado las siguientes conclusiones y recomendaciones. 4.1 CONCLUSIONES · Es de suma importancia interactuar personalmente con los usuarios para la realización del levantamiento de las actividades y las herramientas de TI utilizadas, además de la explicación de los criterios acerca de los impactos tanto financieros como operacionales. · Los datos de requerimientos de disponibilidad se han obtenido, gracias al trabajo de un año en la administración de las tecnologías de información en Grupo FARO, en un trabajo conjunto entre el departamento de TI, Subdirección y Dirección Administrativa-Financiera. · La reducción de riesgo, es la opción de control de riesgos más empleada debido a la naturaleza de las amenazas de Tecnologías de Información. · La reducción del impacto que tendrían las vulnerabilidades en la organización se produce, debido a que con el conocimiento acerca de las opciones de control de riesgo, se pueden tomar decisiones claras y oportunas para la reducción del impacto. · Dentro de las diferentes técnicas del análisis de puntos individuales de fallos, se puede verificar que la energía eléctrica y la conectividad son Elementos de Configuración. · El levantamiento de información de todos los elementos de configuración 157 de la organización es un indicador esencial para la propuesta de mejoras de la infraestructura, debido a que con estos datos se tiene una visión real del inventario de los activos de TI y sus características. · El impacto en la falla de cualquier Elemento de Configuración (CI), administrado por el Área de Tecnologías de la información, afectará directamente a los procesos del negocio y por ende a las actividades de los usuarios de la organización. · Por medio del plan de disponibilidad se ha podido identificar los procesos más relevantes que afecten a los objetivos de la organización y poder ejecutar las acciones más efectivas en lo que se refiere a respaldar la información y retomar las actividades. 4.2 RECOMENDACIONES · La Gestión de Disponibilidad debe implementarse con una clara etapa de socialización a los usuarios de la red de comunicaciones, debido a que es una tarea conjunta con el área de Tecnologías e Información. · Se debe concientizar a los usuarios de la Red de Comunicaciones acerca de los impactos financieros como operativos causados por la falta de disponibilidad, y como la colaboración de cada uno de los usuarios puede aportar a lograr los objetivos del negocio. · Se recomienda relacionar la gestión de disponibilidad con los diferentes disciplinas de Gestión de Tecnologías de Información acordes a la organización tales como: · Gestión de continuidad del Servicio. · Gestión de nivel de Servicio. 158 · Se recomienda tomar en cuenta los controles de riesgo especificados en el Plan de Disponibilidad para así disminuir el tiempo de ejecución del servicio ante una amenaza. · Se recomienda el uso de las herramientas de monitoreo indicadas, para conocer el estado de la infraestructura como dato importante en caso que ocurra un incidente. · Se recomienda, la revisión y actualización del presente plan de disponibilidad, cada vez que un equipo ingresa al parque tecnológico de Grupo FARO, o a su vez, si se implementan nuevas aplicaciones que sean utilizadas por los usuarios de la red. · Se recomienda, en base a los datos obtenidos en el presente plan, disponer de un respaldo tanto de hardware como de software, para incrementar el tiempo de recuperación de equipos y aplicaciones. · Se recomienda el uso del presente documento, para lo solución rápida y oportuna de los incidentes presentados en la organización, para lo cual se puede tomar referencia el subcapítulo 3.5 Restauración del servicio, donde se ha tomado un ejemplo práctico acerca de los lineamientos a seguir en caso de la presencia de un incidente. 159 BIBLIOGRAFÍA Artículos y direcciones electrónicas. [1] http://www.itescam.edu.mx/principal/sylabus/fpdb/recursos/r21988.PDF [2] http://www.rediris.es/difusion/eventos/forosseguridad/fs2012/archivo/analisis_riesgos_upct.pdf [3] http://es.scribd.com/doc/52679391/Analisis-de-Arboles-de-Falla-FTA [4] http://www.itsmsolutions.com/newsletters/DITYvol1iss5.htm [5] http://www.nhbarcelona.com/areacliente/ejercicios/presentacion_configuracion_itil_servicios_ti.pdf [6] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf [7] http://www.sisteseg.com/files/Microsoft_Word_METODOLOGIA_PLAN_RE CUPERACION_ANTE_DESASTRES_DRP.pdf [8] http://wikidrp.wikispaces.com/file/view/ANTEPROYECTO_V6%5B1%5D.pdf [9] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf [10] http://bibdigital.epn.edu.ec/bitstream/15000/952/1/CD-1411.pdf [11] http://www.acis.org.co/fileadmin/Base_de_Conocimiento/X_JornadaSegu ridad/ConferenciaDougglasHurtado.pdf [12] http://www.sisteseg.com/files/Microsoft_PowerPoint_PLANES_DE_CON TINUIDAD_NEGOCIO_V_3.0.pdf [13] http://www.sisteseg.com/files/Microsoft_Word_BIA_BUSINESS_IMPACT _ANALYSIS.pdf [14] http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library [15] http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponi bilidad/vision_general_gestion_de_la_disponibilidad/vision_general_gestion_ de_la_disponibilidad.php [16] http://www.seriosoft.com/Blog-espagnol/?p=10&page=2 [17] http://www.cpciba.org.ar/archivos/adjuntos/seguridad.pdf 160 Libros [18] G. Andrade, “Gerencia de Servicios para procesos de Tecnología”, Quito, 2012. [19] Office of Government Commerce (OGC), “ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio versión 3”, EEUU, 2007. [20] J. Jiménez, “ITIL® V3 Glosario, v2.1”, EEUU, 2009. [21] V.J Bon y A. Koltho, “Fundamentos de la Gestión de Servicios de TI: Basada en ITIL, Volumen 3”, EEUU, 2009. Tesis [22] RAMÍREZ Giovanny, “Desarrollo de un sistema para la gestión de cambios en la infraestructura de TI, aplicado a un caso de estudio”, Febrero 2008. [23] BAÑOS Eduardo, CARRERA Pamela, “Elaboración del plan de disponibilidad de ti para la Empresa Reliance”, Septiembre 2010. [24] LEIVA Ana Lucia, “Desarrollo del plan de continuidad del negocio para el departamento de TI de una empresa farmacéutica”, Febrero 2008. 161 ANEXOS · Anexo 1: GF-Formato Encuesta ON-LINE. · Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y operacional. · Anexo 3: GF-Análisis por Árboles de Fallo. · Anexo 4: GF-Evaluación de Riesgos. · Anexo 5: GF-Política de Back-up. · Anexo 6: GF-Política de Seguridad. · Anexo 7: GF-Tabulación encuestas Grupo FARO. · Anexo 8: GF-Tabulación encuestas on-line. · Anexo 9: GF-Documento de satisfacción Grupo FARO.