View
226
Download
0
Category
Preview:
Citation preview
I
ESCUELA POLITECNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
PROPUESTA UN PLAN DE CONTINUIDAD DEL NEGOCIO (BCP).
CASO DE APLICACIÓN.
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN
SISTEMAS INFORMATICOS Y DE COMPUTACION
AUTORES:
BETANCOURT CANCHIGNIA ERIKA FERNANDA
e.f.betancourt@gmail.com
SALGUERO VÉLIZ JUAN FRANCISCO
franz_salveliz@hotmail.es
DIRECTOR:
INGENIERO BOLIVAR OSWALDO PALÁN TAMAYO
bolivar.palan@epn.edu.ec
QUITO, AGOSTO 2014
II
DECLARACIÓN
Nosotros, Erika Fernanda Betancourt Canchignia Y Juan Francisco Salguero
Véliz, declaramos bajo juramento que el trabajo aquí descrito es de nuestra
autoría; que no ha sido previamente presentada para ningún grado o calificación
profesional; y, que hemos consultado las referencias bibliográficas que se
incluyen en este documento.
A través de la presente declaración cedemos nuestros derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional,
según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por
la normatividad institucional vigente.
Betancourt Canchignia Erika Fernanda Salguero Véliz Juan Francisco
III
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Betancourt Canchignia Erika
Fernanda y Salguero Véliz Juan Francisco, bajo mi supervisión.
INGENIERO BOLIVAR OSWALDO PALÁN TAMAYO
IV
DEDICATORIA
Dedico mi tesis a mi familia, que nunca ha dejado de creer en mí y ha sido un pilar
fundamental en mi crecimiento, a mis padres Betty y Fernando por su amor
apoyo, a mi sobrinito Julián que ha venido a llenar de alegría mi vida, a mis
amigas que han soportado mis ausencias, a mi amigo Andrés que me ha dado su
apoyo y me ha ayudado a creer en mí.
A las personas que me han tendido la mano, y a las que me han dado la espalda
porque me han ayudado a ser más fuerte.
Erika
V
DEDICATORIA
Dedico mi tesis a todas las personas que han estado apoyándome a lo largo de
mi carrera y mi vida, las que han aportado para bien con sus consejos, su tiempo
y sus ánimos para no dejarme vencer; sobre todo mi madre Rita Emilia que
siempre me ha dado las fuerzas para continuar y no dejarme vencer por los
obstáculos de la vida, a mi novia Katherine que en el poco tiempo que estuvo
apoyándome en mi tesis lo ha hecho de corazón, a mi compañera y amiga Erika
que a pesar de todo hemos podido lograr finalizar nuestra tesis, y a todas las
amigas y los amigos que me han dado sus ánimos y su apoyo incondicional.
Francisco
VI
AGRADECIMIENTO
Agradezco a Dios, que me dio fortaleza durante toda esta etapa de mi vida, a mis
padres Betty y Fernando por su apoyo amor y comprensión, y por darme las
herramientas necesarias para salir al mundo.
A mis hermanas Dayana y Doris que han sido mi fortaleza cuando se me han
acabado las fuerzas.
A mi compañero Juan Francisco por todos los momentos que hemos compartido
durante nuestra vida estudiantil y profesional, y sobre todo por el trabajo que
hemos realizado para culminar con nuestra tesis.
A mis profesores, que a lo largo de este camino me han dado enseñanzas que me
servirán ahora y a futuro.
Erika
VII
AGRADECIMIENTO
Agradezco a Dios por la guía, por iluminar mi camino, mi mente para la realización
de la tesis y por la fuerza que me ha dado para seguir adelante con fe.
Agradezco a mi madre infinitamente por no dejarme caer ni vencer por ninguna
dificultad y poder culminar mi carrera.
Agradezco a todas las personas que han estado ahí en buenas y malas que me
han impulsado a terminar mis proyectos.
Francisco
VIII
CONTENIDO
CERTIFICACIÓN .................................................................................................. III
DEDICATORIA ...................................................................................................... IV
AGRADECIMIENTO .............................................................................................. VI
CONTENIDO ....................................................................................................... VIII
INDICE DE TABLAS ........................................................................................... XIV
INDICE DE FIGURAS ......................................................................................... XVI
RESUMEN ........................................................................................................ XVIII
INTRODUCCIÓN ................................................................................................ XIX
CAPITULO 1. ......................................................................................................... 1
PLANTEAMIENTO DEL PROBLEMA. ................................................................... 1
1.1. RECONOCIMIENTO DEL PROBLEMA. ................................................... 1
1.1.1. MISIÓN DE LA EMPRESA. 1
1.1.2. VISIÓN DE LA EMPRESA. 1
1.1.3. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA. 2
1.1.4. CADENA DE VALOR DE LA EMPRESA AUDITORA. 3
1.1.5. IDENTIFICACIÓN DEL CORE BUSSINESS DE LA EMPRESA. 3
1.1.6. PLANTEAMIENTO DEL PROBLEMA. 3
1.2. DESCRIPCIÓN DEL DEPARTAMENTEO DE TECNOLOGÍA. ................. 4
IX
1.2.1. UBICACIÓN DEL DEPARTAMENTO DE TECNOLOGIA. 4
1.2.2. OBJETIVOS Y FUNCIONES. 5
1.2.3. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA.
11
1.2.4. TOPOLOGÍA DE LA RED DE DATOS DE EKBC & JFSV. 12
1.2.5. EQUIPOS 13
1.2.6. PROGRAMAS 13
1.2.7. SEGURIDAD EN EL DEPARTAMENTO DE TECNOLOGÍA 14
1.2.7.1. Seguridad física. 14
1.2.7.2. Seguridad lógica 16
1.2.7.3. Revisiones de cumplimiento 18
1.2.7.4. Seguridad legal 19
1.2.7.5. Seguridad de información y respaldos 19
1.3. LEVANTAMIENTO DE PRODUCTOS Y SERVICIOS DE LA EMPRESA.
21
1.3.1. PROCESO DE ATENCIÓN AL CLIENTE. 21
1.3.2. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO.
30
1.3.3. PROCESO DE COBRANZAS. 35
1.4. DESCRIPCIÓN DE LOS PROCESOS DE LA EMPRESA. ..................... 38
1.4.1. DESCRIPCIÓN DEL PROCESO DE ATENCIÓN AL CLIENTE. 38
1.4.2. DESCRIPCIÓNDEL PROCESO DE OPERACIONES DE SERVICIO.
39
X
1.4.3. DESCRIPCIÓN DEL PROCESO DE COBRANZAS 41
1.4.4. DESCRIPCIÓN DEL PROCESO DE APOYO ADMINISTRATIVO. 42
1.5. DESCRIPCIÓN DEL PROBLEMA Y NECESIDADES DE CONTINUIDAD.
42
1.5.1. DESCRIPCIÓN DEL PROBLEMA 42
1.5.2. NECESIDAD DE CONTINUIDAD 43
CAPITULO 2. ....................................................................................................... 44
PROPUESTA DEL PLAN DE CONTINUIDAD ..................................................... 44
2.1. LIDERAZGO ........................................................................................... 44
2.2. POLÍTICA DE CONTINUIDAD DEL NEGOCIO. ..................................... 45
2.2.1. OBJETIVO 45
2.2.2. RESPALDO DE INFORMACIÓN 45
2.2.3. ROLES Y RESPONSABILIDADES 46
2.2.4. PRUEBAS 46
2.2.5. CONSIDERACIONES GENERALES 46
2.3. ANÁLISIS DE RIESGO Y VULNERABILIDADES. .................................. 47
2.3.1. IDENTIFICACIÓN DE RIESGOS 47
2.3.1.1. Análisis FODA. 49
2.3.1.2. Análisis PESTEL. 50
2.3.1.3. Matriz de riesgos 51
2.4. ANALISIS DE IMPACTO DEL NEGOCIO. .............................................. 55
XI
2.4.1. DESCRIPCIÓN DEL IMPACTO 55
2.4.2. ESTRATEGIAS DE RECUPERACIÓN. 66
2.5. DESCRIPCIÓN DEL PLAN DE CONTINUIDAD. .................................... 71
2.5.1. DESCRIPCIÓN DE LA BASE ISO 22301:2013 71
2.5.2. PLAN DE RECUPERACIÓN DE DESASTRES (DISASTER
RECOVERY PLAN - DRP) 73
2.5.2.1. Introducción 73
2.5.2.2. Descripción del DRP 73
2.5.2.3. Preparación ante un desastre 76
2.5.2.4. Planes de Recuperación 77
2.6. GUIA DE PROCEDIMIENTOS DEL PLAN. ............................................. 78
2.6.1. DEFINCIÓN DE LA SITUACION ACTUAL 78
2.7. SOCIALIZACIÓN DEL PLAN .................................................................. 78
2.7.1. ¿POR QUÉ SOCIALIZAR EL PLAN? 78
2.7.2. PLANEACIÓN DE RRHH. 79
2.7.3. CAPACITACIÓN. 79
CAPITULO 3. ....................................................................................................... 80
VALIDACIÓN DEL PLAN. .................................................................................... 80
3.1. PREPARACION DE CASOS DE CONTINUIDAD. .................................. 80
3.1.1. IDENTIFICACIÓN DE ESCENARIOS 84
3.2. EJECUCIÓN DE LOS PROCEDIMIENTOS. ........................................... 95
XII
3.2.1. POLÍTICA DE CONTINUIDAD DEL NEGOCIO 95
3.2.1.1. Objetivo 95
3.2.1.2. Respaldos de Información 95
3.2.1.3. Roles y Responsabilidades 95
3.2.1.4. Pruebas 96
3.2.1.5. Consideraciones Generales 96
3.2.2. DESCRIPCIÓN DEL DRP 97
3.2.1.1. Preparación ante un Desastre 103
3.2.1.2. Procedimientos Generales 103
3.2.1.3. Planes de Recuperación 106
3.3. ANÁLISIS DE RESULTADOS. .............................................................. 110
3.3.1. GENERALIDADES 110
3.3.2. RESULTADOS 111
CAPITULO 4. ..................................................................................................... 113
CONCLUSIONES Y RECOMENDACIONES ..................................................... 113
4.1. CONCLUSIONES.................................................................................. 113
4.2. RECOMENDACIONES. ........................................................................ 115
BIBLIOGRAFÍA .................................................................................................. 116
GLOSARIO ......................................................................................................... 117
ANEXOS ............................................................................................................ 120
XIII
XIV
INDICE DE TABLAS
Tabla 1. ESCALA DE SEVERIDAD DE RIESGO ................................................. 48
Tabla 2. CALIFICACIÓN DEL RIESGO ............................................................... 48
Tabla 3. ANÁLISIS FODA .................................................................................... 49
Tabla 4. MATRIZ DE RIESGOS ........................................................................... 51
Tabla 5. VALORACIÓN DEL RIESGO ................................................................. 56
Tabla 6. ESCENARIO - INCENDIO ...................................................................... 58
Tabla 7. ESCENARIO - TERREMOTO ................................................................ 59
Tabla 8. ESCENARIO - FALLA DE ENERGÍA ..................................................... 60
Tabla 9. ESCENARIO - ROBO ............................................................................. 61
Tabla 10. ESCENARIO - FALLO DE RED ........................................................... 62
Tabla 11. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN
COMPUTACIONAL .............................................................................................. 63
Tabla 12. ESCENARIO - RIESGO OPERACIONAL ............................................ 64
Tabla 13. ERUPCIÓN DE VOLCÁN ..................................................................... 65
Tabla 14. TIEMPO DE RESTAURACIÓN DE LAS OPERACIONES ................... 66
Tabla 15. PRIORIZACIÓN DE LAS ACTIVIDADES ............................................. 80
Tabla 16. PERSONAL NECESARIO PARA ESTABLECER LA CONTINUIDAD DE
LAS OPERACIONES ........................................................................................... 81
Tabla 17. SISTEMAS DE INFORMACIÓN REQUERIDOS PARA LA
CONTINUIDAD DE OPERACIONES ................................................................... 82
Tabla 18. DESCRIPCIÓN DE LOS ACTIVOS TECNOLÓGICOS ........................ 83
XV
Tabla 19. MATERIAL MOBILIARIO ...................................................................... 83
Tabla 20. MATERIAL DE OFICNA ....................................................................... 83
Tabla 21. MATERIAL DE REFERENCIA ............................................................. 84
Tabla 22. ESCENARIO - INCENDIO .................................................................... 85
Tabla 23. ESCENARIO - TERREMOTO .............................................................. 87
Tabla 24. ESCENARIO - FALLA DE ENERGÍA ................................................... 88
Tabla 25. ESCENARIO - ROBO ........................................................................... 90
Tabla 26. ESCENARIO - FALLO DE RED ........................................................... 91
Tabla 27. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN
COMPUTACIONAL .............................................................................................. 92
Tabla 28. ESCENARIO - RIESGO OPERACIONAL ............................................ 93
Tabla 29. ERUPCIÓN DE VOLCÁN ..................................................................... 94
Tabla 30. EQUIPO DE RECUPERACIÓN .......................................................... 102
XVI
INDICE DE FIGURAS
Figura 1. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA ......................... 2
Figura 2. CADENA DE VALOR DE LA EMPRESA AUDITORA ............................. 3
Figura 3. FUNCIONES DEL ÁREA DE TECNOLOGÍA .......................................... 5
Figura 4. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA 11
Figura 5. TOPOLOGÍA DE RED EKBC & JFSV ................................................... 12
Figura 6. DESCRIPCIÓN DE EQUIPOS DEL CENTRO DE DATOS ................... 13
Figura 7. MACROPROCESOS EKBC & JFSV ..................................................... 20
Figura 8. DESCRIPCIÓN DE SUBPROCESOS ................................................... 21
Figura 9. PROCESO DE ATENCIÓN AL CLIENTE ............................................. 21
Figura 10. GESTIÓN DE DESARROLLO DE NEGOCIOS 1/4. ........................... 22
Figura 11. GESTIÓN DE DESARROLLO DE NEGOCIOS 2/4............................ 23
Figura 12. GESTIÓN DE DESARROLLO DE NEGOCIOS 3/4. ........................... 24
Figura 13. GESTIÓN DE DESARROLLO DE NEGOCIOS 4/4............................. 25
Figura 14. ATENCIÓN A CLIENTE - CLIENTES NUEVOS ................................. 26
Figura 15. ATENCIÓN AL CLIENTE - CLIENTES COMPRAS PÚBLICAS .......... 27
Figura 16. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 1/2. ............. 28
Figura 17. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 2/2 .............. 29
Figura 18. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO .. 30
XVII
Figura 19. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE
AUDITORÍA1/4. .................................................................................................... 31
Figura 20. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE
AUDITORÍA 2/4 .................................................................................................... 32
Figura 21 GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE
AUDITORÍA 3/4. ................................................................................................... 33
Figura 22. GESTIÓN DE LAS OPERACIONES DE SERVICIO- GESTIÓN DE
AUDITORÍA 4/4 .................................................................................................... 34
Figura 23. PROCESO DE COBRANZAS ............................................................. 35
Figura 24. FACTURACIÓN DE CLIENTES - COBRANZAS1/2. ........................... 36
Figura 25. FACTURACIÓN DE CLIENTES - COBRANZAS 2/2 ........................... 37
Figura 26. DIAGRAMA DEL DESARROLLO DEL PLAN DE CONTINUIDAD ..... 44
Figura 27. ANÁLISIS DE RIESGO Y VULNERABILIDADES ............................... 47
Figura 28. DIAGRAMA DE FUENTES DE RIESGO. ............................................ 48
Figura 29. ESCENARIOS DE RECUPERACIÓN. ................................................ 68
Figura 30. CLICLO PDCA APLICADO AL PROCESO DE LA CONTINUIDAD DEL
NEGOCIO ............................................................................................................ 71
Figura 31. RELACIÓN ENTRE EL RTO, RPO Y MRPD ...................................... 72
Figura 32. SOCIALIZACIÓN DEL PLAN .............................................................. 78
XVIII
RESUMEN
Se ha planteado el problema de la continuidad del negocio para una empresa
auditora, se plantea un caso de estudio para realizarlo de manera general y que
aplique no solo al caso de estudio sino a varias empresas El caso de Estudio se
plantea en una empresa utilizando las siglas de los nombres de los elaboradores
de la presente tesis para sigilo de la información.
El presente trabajo se enfoca en la problemática que tienen las empresas para
tener una continuidad en la prestación de servicios y elaboración de sus
productos dando una solución para realizar un plan preventivo de continuidad
para casos emergentes y comunes en el continuo desempeño de funciones.
Se plantea una propuesta como una solución de desarrollo del plan de
continuidad de negocio, donde se pueda aplicar como modelo a seguir; la
propuesta señala y enuncia los respectivos análisis a realizar como el de riesgo e
impacto que pueden generar.
Se presentan diferentes escenarios que pueden suscitarse en cualquier empresa
y pueden ser tomados como referencia para tener planes preventivos frente a
ellos, los cuales nos permiten realizar procesos y procedimientos estándares para
ser validados en el caso de estudio.
XIX
INTRODUCCIÓN
En el capítulo uno detallaremos el reconocimiento y describiremos la empresa de
caso de estudio, siendo el objetivo de la descripción: tener un referente de
eventualidades, procedimientos y perfiles reales donde enfocarnos lo cual nos dio
como resultado el levantamiento de procesos de una empresa real donde
podemos analizar casos eventuales de falencias y mejorar la seguridad de los
mismos. Detallaremos la empresa con el nombre de: EKBC & JFSV.
En el segundo capítulo detallamos los análisis de riesgo e impacto de negocio,
enfocándonos en la ISO 22301 para redactar la guía de los procedimientos a
emplear para realizar el plan y su dicha socialización.
En el tercer capítulo detallamos el plan como tal para la empresa de caso de
estudio, realizando la propuesta modelo con la guía detallada de los sub planes y
procedimientos evaluados en el capítulo dos enfocando en la mejora de seguridad
y prevención contra desastres y discontinuidad de negocio.
El capítulo cuarto detalla las conclusiones a las cuales llegamos al realizar el
análisis para realización del plan y las recomendaciones a tratar al elaborar un
plan de continuidad del negocio.
1
CAPITULO 1.
PLANTEAMIENTO DEL PROBLEMA.
1.1. RECONOCIMIENTO DEL PROBLEMA.
DESCRIPCIÓN DE LA EMPRESA.
Actualmente EKBC & JFSV Cía. Ltda., es una empresa de servicios con 30 años
de trayectoria. Sirve a sus clientes con más de 50 profesionales desde las oficinas
en Quito y Guayaquil con recursos innovadores en la provisión de servicios y la
sensibilidad que les caracteriza para entender la cultura particular de cada
organización.
Están orientados a clientes que aprecian un alto valor agregado al trabajo
profesional. Se esfuerzan permanentemente para atender todos los
requerimientos de organizaciones desde pequeños negocios hasta importantes
empresas multinacionales en una gran variedad de actividades económicas.
Siempre combinan la experiencia, el conocimiento del mercado y condiciones
locales, con la comprensión del contexto internacional.
1.1.1. MISIÓN DE LA EMPRESA.
“Brindar los mejores servicios estándares internacionales EKBC & JFSV”1
1.1.2. VISIÓN DE LA EMPRESA.
“Crecer y desarrollarse ampliamente en las ramas de auditoría y consultoría en el
Ecuador”2
1 Información elaborada por: Erika Betancourt, Francisco Salguero.
2 Información elaborada por: Erika Betancourt, Francisco Salguero.
2
1.1.
3.
ES
TR
UC
TU
RA
OR
GA
NIZ
AC
ION
AL
DE
LA
EM
PR
ES
A.
La
est
ruct
ura
org
an
iza
cion
al d
e E
KB
C &
JF
SV
se
en
cuen
tra
cla
ram
en
te id
en
tific
ad
a,
la m
ism
a q
ue
se
en
cue
ntra
de
talla
da
en
el
gráfic
o A
dju
nto
(ve
r F
igu
ra 1
.).
Fig
ura
1. E
ST
RU
CT
UR
A O
RG
AN
IZA
CIO
NA
L D
E L
A E
MP
RE
SA
E
LA
BO
RA
DO
PO
R:
Eri
ka B
etan
cour
t, F
ranc
isco
Sal
guer
o.
3
1.1.4. CADENA DE VALOR DE LA EMPRESA AUDITORA.
La cadena de valor de EKBC & JFSV ha sido identificada por los responsables de
los macro procesos y ha sido desarrollada de forma interna, la cadena de valor se
encuentra claramente identificada en la figura adjunta. (Figura 2.)
Figura 2. CADENA DE VALOR DE LA EMPRESA AUDITORA
ELABORADO POR: Erika Betancourt, Francisco Salguero .
1.1.5. IDENTIFICACIÓN DEL CORE BUSSINESS DE LA EMPRESA.
Si bien cada proceso del cual se conforma la empresa es fundamental por el
mismo hecho de ser un órgano para el correcto funcionamiento de la empresa se
ha escogido el proceso de auditoría para a amplios rasgos ser analizado y
detallado para poder minimizar el impacto sobre el mismo.
1.1.6. PLANTEAMIENTO DEL PROBLEMA.
Las oficinas de EKBC & JFSV, tanto en Quito como en Guayaquil, se encuentran
ubicadas en zonas de alto riesgo por lo que es necesario elaborar un plan para
continuar con las actividades del negocio, para de esta forma minimizar el impacto
financiero y mantener imagen que pueda tener la empresa frente catástrofes y su
inmediata recuperación a la vista de sus clientes.
4
1.2. DESCRIPCIÓN DEL DEPARTAMENTEO DE TECNOLOGÍA.
1.2.1. UBICACIÓN DEL DEPARTAMENTO DE TECNOLOGIA.
El departamento de tecnología está ubicada en la oficina principal de Quito, desde
donde residen las sub áreas de auditoría e infraestructura el cual tiene el siguiente
esquema:
· AUDITORÍA TI.
o Gerente de Auditoría TI.
o Sénior de Auditoría TI.
o Asistentes de Auditoría TI.
· INFRAESTRUCTURA.
o Gerente de Tecnología.
o Ingeniero de Infraestructura.
o Asistente de Infraestructura.
El personal administrativo de la Empresa se encuentra ubicado en las dos
ubicaciones antes indicadas y debido a la naturaleza del negocio el personal de
Auditoría Externa realiza trabajo en campo, es decir se encuentran ubicados
geográficamente en las instalaciones del cliente asignado.
El área de Infraestructura es la encargada de proveer los servicios de tecnología
tanto a los clientes internos (área administrativa y Auditoría Externa) de las dos
ciudades.
El espacio físico asignado tanto para el centro de Datos como para el área de
Tecnología es bastante reducido, además el personal asignado es insuficiente
para abarcar todos los requerimientos presentados por los clientes y atenderlos
en un corto lapso de tiempo.
5
Entre los servicios que ofrece a la Empresa el Área de Infraestructura tenemos los
siguientes:
· Servicio de internet.
· Telefonía.
· Mantenimiento de equipos,
· Almacenamiento de información.
· Soporte a usuarios
· Soporte en la herramienta utilizada en el proceso de Auditoría. .
Figura 3. FUNCIONES DEL ÁREA DE TECNOLOGÍA
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO
1.2.2. OBJETIVOS Y FUNCIONES.
El Departamento de Tecnología como se mencionó anteriormente se divide en
dos áreas; el área de Auditoría TI que se la puede tomar como una línea de
negocio o como un soporte al proceso de Auditoría Financiera, y el área de
infraestructura que divide las responsabilidades en tres (3) cargos de suma
importancia: El Gerente Tecnología, el Ingeniero de Infraestructura y el Asistente
de Infraestructura.
6
Las funciones que desempeña el departamento de Tecnología se encuentran
resumidas en la Figura 3.
1.2.2.1. Gerente de sistemas.
DESCRIPCIÓN DE PERFIL3
TÍTULO DE PUESTO: Gerente de Tecnología
Nivel o Grado: Gerente
OCUPANTE: # Ocupantes 1
LOCALIZACIÓN GEOGRÁFICA:
Quito – Ecuador PREPARADO POR:
Recursos Humanos
DEPENDENCIA JERÁRQUICA:
Gerente General APROBADO POR:
DEPENDENCIA FUNCIONAL:
Oficina UIO FECHA: Abril 23, del 2013
1. MISIÓN (qué, dónde, para qué)
Administrar, monitorear y controlar las actividades relacionadas con Tecnologías de Información y Comunicación (TICs) de EKBC & JFSV, para contribuir al crecimiento y posicionamiento de la Organización.
2. PRINCIPALES RESULTADOS (Responsabilidades Core de la posición)
Imp
ort
anc
ia
ACCIONES (¿Qué hace?)
KPI FINAL ESPERADO
Frecuencia (D,S,M,BM,TM,SM,A)
1
Planificar la estrategia y planes operativos de TICs EKBC & JFSV, para alinear el uso de la tecnología a los objetivos de la Organización.
Plan Operativo Estratégico realizado y aprobado a Mayo 30.
Anual
2
Coordinar la ejecución de proyectos de TICs parl EKBC & JFSV, para proporcionar a la Organización de las herramientas adecuadas para su
100% de la ejecución de la cartera de proyectos aprobados.
Semanal
3 Fuente: Recursos Humanos EKBC & JFSV
7
desarrollo.
3
Administrar, monitorear y controlar el servicio de soporte tecnológico al cliente interno de EKBC & JFSV, para maximizar la continuidad de la operación.
90% de casos de soporte atendidos de acuerdo a políticas (semanal). 87% de satisfacción del cliente interno (mensual).
Diario
4
Administrar, monitorear y controlar el funcionamiento de la infraestructura tecnológica (hardware, software, comunicaciones y seguridad de la información) de EKBC & JFSV.
99,00000 % uptime aplicaciones 99,99999 % uptime redes de comunicación.
Diario
5
Administrar, monitorear y controlar los servicios provistos por terceros, como son: telecomunicaciones, software, aplicaciones, equipos de computación e infraestructura de EKBC & JFSV.
100% cumplimiento de SLA’s de proveedores.
Diario
6
Coordinar el soporte técnico de primer nivel de la herramienta de registro de auditoría, para que la herramienta se encuentre disponible para la Organización.
100% de casos de soporte atendidos de acuerdo a políticas (semanal).
Diario
3. LÍNEAS DE SUPERVISIÓN(A quién supervisa)
Ingeniero de Infraestructura Jr.
4. ORGANIZACIÓN (Puestos que dependen jerárquicamente)
8
5. INTERRELACIONES
Participa en: Comités estratégicos. Comités QAR (Quality Assurance Review). Comité selección de soluciones. Reuniones de Área. Contactos relevantes Internos Externos Socios Gerente General Socios de auditoría Staff de Auditoría Gerentes Departamentales Colaboradores
Clientes Proveedores Gerentes de Firmas Relacionadas Organismos de control (SIBS) Asociaciones de Estándares (ISACA)
6. PRINCIPALES CONOCIMIENTOS, EXPERIENCIAS Y HABILIDADES
Formación Académica: Obligatorio: Título de Tercer Nivel en Ingeniería de Sistemas e Informática, Ingeniería de TICs, Bachellor TI. Deseable: Cuarto Nivel en Administración de Negocios, Gerencia o gestión de Tecnología, Auditoría de Tecnología. Conocimientos Técnicos: Sólidos conocimientos de administración en ambientes Windows Server. Sólidos conocimientos de administración de redes y telecomunicaciones en ambientes Windows Server, Linux, Cisco y D-Link. Sólidos conocimientos de Administración de Seguridad bajo ambientes Linux. Sólidos conocimientos en Gobierno de TI (Cobit) Sólidos conocimientos en Gerencia de Servicios TI (ITIL). Sólidos conocimientos de Administración de Procesos. Conocimientos Business Process Management (BPM), ERP, BI. Conocimientos de Arquitectura Empresarial. Conocimientos de PETI. Conocimientos Auditoría y Consultoría TICs. Inglés: 75%. Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps, Groove, InfoPath. Experiencia: Mínimo 3 años en posiciones similares.
9
1.2.2.2. Ingeniero de infraestructura4
DESCRIPCIÓN DE PERFIL
TÍTULO DE PUESTO: Ingeniero de Infraestructura
Nivel o Grado: Asistente
OCUPANTE: # Ocupantes 1
LOCALIZACIÓN GEOGRÁFICA:
Quito – Ecuador PREPARADO POR:
Recursos Humanos
DEPENDENCIA JERÁRQUICA:
Gerente de Tecnología APROBADO POR:
DEPENDENCIA FUNCIONAL:
Oficina UIO FECHA: Abril 25, del 2013
1. MISIÓN (qué, dónde, para qué)
Administrar y monitorear la infraestructura tecnológica, los procesos de soporte primer nivel y la mesa de ayuda de EKBC & JFSV, para brindar servicios de información y tecnología oportunos. Administra y monitorea inventario HW y SW, soporte primer nivel equipos, aplicaciones y sistemas Organizacionales, administración y monitorean servidores SW, administración y monitoreo de redes de voz y datos, respaldos, mesa de servicios. Operativa: manejo inventario.
2. PRINCIPALES RESULTADOS (Responsabilidades Core de la posición)
Impo
rtanc
ia
ACCIONES (¿Qué hace?)
KPI FINAL ESPERADO
Frecuencia (D,S,M,BM,TM,SM,A)
1
Administrar, monitorear y controlar el proceso de respaldos de las aplicaciones
y herramientas informáticas de EKBC & JFSV, información de clientes y usuarios para cumplir con normativa interna y externa de seguridad de la información.
100% de la información respaldada y validada, de acuerdo a políticas. A través de reporte semanal y muestreo para validar de consistencia.
Diario
4 Fuente: Recursos Humanos EKBC & JFSV
10
2 Administrar, monitorear, controlar servidores y equipos de centro de cómputo.
99,00000 % uptime aplicaciones.
Diario
3
Administrar, monitorear y controlar los planes de mantenimiento preventivo y correctivo del hardware y software de la Infraestructura Tecnológica de EKBC & JFSV, para mantener los servicios disponibles de forma oportuna.
100% cumplimiento planes de mantenimiento preventivo. 100% cumplimiento planes de mantenimiento correctivo.
Mensual
4 Administrar los contratos de servicios con terceros, para gestionar su cumplimiento y la provisión del servicio.
100% SLA’s cumplidos.
Mensual
5 Brindar soporte técnico informático de primer nivel, para facilitar el trabajo de los colaboradores de EKBC & JFSV.
100% casos de soporte de primer nivel con respuesta. 100% SLA’s y OLA’s
cumplidos
Mensual
6
Administrar y monitorear la mesa de servicios, para gestionar la ayuda oportuna y adecuada a los problemas e incidentes tecnológicos de los
colaboradores en EKBC & JFSV.
100% casos de soporte atendidos y con respuesta, de acuerdo a SLA’s y
OLA’s.
3. LÍNEAS DE SUPERVISIÓN(A quién supervisa)
Pasantes de TI.
4. ORGANIZACIÓN (Puestos que dependen jerárquicamente)
5. INTERRELACIONES
Reuniones de Área Contactos relevantes Internos Externos Colaboradores EKBC & JFSV. Proveedores.
Colaboradores Empresas Asociadas.
11
6. PRINCIPALES CONOCIMIENTOS, EXPERIENCIAS Y HABILIDADES
Formación Académica: Obligatorio: Egresado de Tercer Nivel en Ingeniería de Sistemas e Informática, Ingeniería de TICs, Bachellor TI. Deseable: Título de Tercer Nivel en Ingeniería de Sistemas e Informática, Ingeniería de TICs, Bachellor TI. Conocimientos Técnicos: Conocimientos de administración en ambientes Windows Server. Conocimientos de administración de redes y telecomunicaciones en ambientes Windows Server, Linux, Cisco y D-Link. Conocimientos de Administración de Seguridad bajo ambientes Linux. Conocimientos en Gerencia de Servicios TI (ITIL). Inglés: 50%. Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps, Groove, InfoPath.
Experiencia: Deseable 6 meses en posiciones similares.
1.2.3. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA.
Figura 4. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA
ELABORADO POR: Erika Betancourt. Francisco Salguero
12
12
1.2.
4.
TO
PO
LO
GÍA
DE
LA
RE
D D
E D
AT
OS
DE
EK
BC
& J
FS
V.
Fig
ura
5. T
OP
OL
OG
ÍA D
E R
ED
EK
BC
& J
FS
V
13
EL
AB
OR
AD
O P
OR
: E
RIK
A B
ET
AN
CO
UR
T,
FR
AN
CIS
CO
SA
LG
UE
RO
.
13
1.2.5. EQUIPOS
Figura 6. DESCRIPCIÓN DE EQUIPOS DEL CENTRO DE DATOS
FUNCION / AREA MODELO SERIE S.O.
Servidor Archivos HP PROLIANT ML 350 G5 MXQ81701BW Windows 2003 ServerServidor Proxy HP DL160 G5 2UX83405KV LinuxServidor Correo Internet HP DL160 G5 2UX83405JL LinuxServidor Antivirus HP PROLIANT ML 150 G6 MX29520062 Windows 2008 Server
Contabilidad HP Laserjet P2015 CNB1541823RRHH HP Laserjet P1600 VNB3D29831Sec. Ger. Operaciones HP Laserjet P4014N CNDX122353Desarrollo Negocios HP Laserjet CP3525dn CNCCBDX08RStaff Auditores HP Laserjet P4015n YPDF277755SwitchsData Center 5to piso D-LINK DES-3052P 52 puertosData Center 5to piso D-LINK DES-3052P 52 puertosData Center 6to piso D-LINK DES-3028P 28 puertos
Servidor Archivos HP PROLIANT ML 150 G5 MXS84309N8 Windows 2003 ServerSwitchsData Center 5to piso D-LINK DES-3028P 28 puertos
Servidor Archivos HP PROLIANT ML 110 Windows 2008 ServerGERENFOQUE
QUITO Servidores
Impresoras
GUAYAQUILServidores
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
1.2.6. PROGRAMAS
Dentro de las aplicaciones más utilizadas se tienen:
· Herramienta de registro del proceso de Auditoría.
· Adm BTS (Aplicación Financiero Contable).
· Paquete de Ofimática Office. (Word, Excel, Power Point)
· Software de Procesamiento de Datos.
· GLPI (Sistema de Mesa de Servicios).
14
1.2.7. SEGURIDAD EN EL DEPARTAMENTO DE TECNOLOGÍA
1.2.7.1. Seguridad física.
Para el acceso a las instalaciones de la firma de auditoría EKBC & JFSV se debe
ingresar al edificio correspondiente (Quito o Guayaquil), teniendo como control
primario el guardia del edificio pues es quien se encarga de permitir el acceso al
Edificio a las personas que no labora las instalaciones, el acceso a las
instalaciones del personal que labora en el edificio es otorgado por una tarjeta de
aproximación. En el caso del ingreso de personas ajenas al Edificio el guardia las
anuncia y es él quien puede otorgar o denegar el acceso.
El segundo control que se presenta en cuanto a seguridad física se encuentra al
ingreso al quinto piso ya que el acceso es controlado por un biométrico que
permite o deniega el acceso a las instalaciones. Adicionalmente la persona
encargada de la recepción es la encargada de permitir el ingreso al personal
ajeno a la firma, una vez que la persona ha ingresado esta es anunciada con la
persona a la que va a visitar.
Seguridades en el centro de cómputo.
El área del centro de cómputo se encuentra separada del Departamento de
Tecnología, El acceso al Departamento no es controlado ya que no se restringe el
acceso al personal a esta área, en el departamento se tienen algunos equipos de
comunicaciones los mismos que se encuentran ubicadas en un área bajo llave.
El Centro de Cómputo se encuentra ubicado a un costado del STAFF del personal
de auditoría. El control de acceso al mismo es monitoreado por una cámara que
apunta directamente a la puerta de ingreso al mismo. Adicional a esto se tiene
acceso al Centro de cómputo con la llave de la chapa manual, la misma que es
manejada por el personal de sistemas.
15
1.2.7.1.1. Seguridades en los equipos de computación.
Este tipo de seguridad se encuentra basada en las siguientes políticas de
seguridad:
· Todo equipo que se entregue al colaborador deberá estar soportado bajo
un acta de entrega – recepción donde se detallen las características,
códigos y estado de los equipos o elementos tecnológicos
· Los PC´S y equipos portátiles que EKBC & JFSVpone a disposición de sus
colaboradores deben ser utilizados para el desarrollar única y
exclusivamente las actividades propias a las funciones que encomendadas
a los colaboradores por la Compañía.
· Los requerimientos de equipos informáticos para personas que ingresan a
la Firma serán comunicados por escrito al Departamento de Recursos
Humanos al Departamento de Tecnología, y para los casos en los que se
solicite cambios o préstamos equipos, el responsable de enviar el
requerimiento será el Gerente de la Unidad de Negocio de quien requiera
el respectivo equipo.
· Si el usuario que recibe el equipo detectase algún desperfecto, mal
funcionamiento o contenido inadecuado, deberá inmediatamente poner en
conocimiento al Departamento de Tecnología con el fin de solucionar el
incidente y que el usuario quede exonerado de toda responsabilidad.
En caso de Viajar con el equipo:
· Para el transporte de equipos portátiles u otros similares desde la oficina,
sea a el domicilio del responsable o a clientes se debe utilizar el servicio de
transporte de las compañías de taxis contratadas por la firma. Para
movilizarse con el equipo se debe tener la autorización del inmediato
superior o Gerente del Compromiso, el cual debe aprobar el uso de los
vouchers de taxis.
16
· Nunca se debe abandonar la portátil a la vista del público, especialmente
en situaciones que puedan aumentar el riesgo de robo.
· En los hoteles, la portátil deberá guardarse en un espacio cerrado bajo
llave o en un lugar seguro.
· La pérdida de la portátil debe ser notificada por escrito inmediatamente al
Gerente del Departamento, y éste deberá a su vez comunicarlo al
Departamento de Tecnología.5
1.2.7.2. Seguridad lógica
Este tipo de seguridad se encuentra basada en las siguientes políticas de
seguridad:
· Cuentas de Acceso: Cada usuario dispondrá de una cuenta personalizada,
con los accesos y aplicaciones necesarias para el correcto desarrollo de
sus labores profesionales
· Activación y desactivación de Usuarios: El departamento de Recursos
Humanos o Líder de cada Área, informara oportunamente al Departamento
de Tecnología el ingreso de personal, entregando toda la información
necesaria del cargo del usuario con el fin de crear los accesos
correspondientes.
La salida de personal debe ser reportada oportunamente al Departamento
de Tecnología por parte de Recursos Humanos o líder de cada área con el
fin de desactivar los accesos que posee el usuario.
Para este efecto se llenará el Acta de Desvinculación proporcionada por el
Departamento de Recursos Humanos.
· Permisos en los equipos: El usuario no deberá modificar ni vulnerar los
permisos asignados por EKBC & JFSV, especialmente con intención.
· En caso de que el usuario estime oportuna la extensión de sus permisos o
la instalación de una instalación de una aplicación específica para llevar a
5 Información elaborada por: Erika Betancourt, Francisco Salguero.
17
cabo su labor, deberá consultarlo por escrito al Gerente de su Unidad de
Negocio, para que son su autorización, se traslade dicho requerimiento al
Departamento de Tecnología.
· No se aprobará la instalación de software que no cuente con su respectiva
licencia.
· La instalación de software no autorizado por el Gerente de la Unidad de
Negocio y supervisado por el Departamento de Tecnología será
sancionada según lo establecido en el código laboral.
· Antes de introducir o descargar información en los equipos desde cualquier
dispositivo móvil de almacenamiento, este debe ser examinado por las
herramientas antivirus.
· Confidencialidad de la Información: el usuario deberá velar por la seguridad
y confidencialidad de la información contenida en sus equipos,
especialmente cuando se encuentre fuera de las dependencias de EKBC &
JFSV
· Creación de Claves de Acceso: Las Claves de Acceso serán creadas de
acuerdo a Estándares de Seguridad que se disponen en EKBC & JFSV.
o Longitud de la contraseña mínima de 8 caracteres.
o No repetir contraseñas anteriores.
o Contener caracteres en mayúscula y minúscula.
o Contener letras, números y caracteres especiales como *%&/+@-
No se debe revelar las contraseñas ni hacer uso de cuentas ajenas, ni
siquiera con el permiso expreso del propietario de la cuenta.
Debe saber que su usuario y contraseñas son personales e intransferibles.
· Bloqueo del Equipo: Es obligación del colaborador bloquear su equipo
cuando vaya a ausentarse de su puesto de trabajo.
· Renovación periódica de Claves Secretas: Es política de la Firma promover
los medios para que se renueve periódicamente la contraseña de cada
Usuario en un periodo de 90 días.
18
· Uso Correcto de las Claves Personales: El uso indebido de claves
obtenidas de forma ilegal o no autorizada, será sancionado de acuerdo a la
gravedad del efecto que dicha utilización cause a la Empresa.6
1.2.7.3. Revisiones de cumplimiento
Para verificar el cumplimiento de estas obligaciones, así como el correcto
funcionamiento de los equipos y el buen uso de los mismos, EKBC & JFSV, a
través de Departamento de Tecnología realizará inspecciones periódicas con el
objeto de examinar los siguientes aspectos:
· Aplicaciones instaladas y registro del sistema operativo.
· Información y archivos contenidos en el disco duro del equipo.
· Información y archivos contenidos en la cuenta de correo electrónico.
· Estado del antivirus.
· Una vez examinado en equipos del usuario, el contenido no autorizado
será eliminado, aplicando en su caso las medidas que correspondan por
no observar las Políticas establecidas por EKBC & JFSV se consideraran
archivos no autorizados todos aquellos que no tengan relación con las
labores encomendadas a los colaboradores como archivos de música,
videos fotografías, juegos y otros similares.
Estas revisiones podrán realizarse son notificación previa y de forma aleatoria
entre todo el personal de la Compañía tantas veces como EKBC & JFSV. Estime
oportuno.7
6 Información elaborada por: Erika Betancourt, Francisco Salguero.
7 Información elaborada por: Erika Betancourt, Francisco Salguero.
19
1.2.7.4. Seguridad legal
EKBC & JFSVpor ser una empresa auditora, cuenta con personal que se moviliza
dentro y fuera de la ciudad, es por ello que se cuenta con las seguridades
listadas a continuación:
· Pólizas de Seguro: EKBC & JFSV cuenta con una póliza de seguro tanto
para servidores como para equipos portátiles, los equipos nuevos que sean
adquiridos deben ser agregados a la póliza contratada por EKBC & JFSV.
Esta póliza permite reemplazar los equipos en caso de daños o pérdidas.
· Sanciones a ser ejecutadas en caso a incurrir a faltas a las políticas
establecidas por EKBC & JFSVlas mismas que establecen que:
o El incumplimiento de alguna de las normas generales de conducta
podría propiciar la ejecución del correspondiente proceso
disciplinario establecido en el Reglamento interno de trabajo.
o EKBC & JFSV, aplicara el procedimiento formal que estime oportuno
para velar por el uso apropiado de sus recursos.
o En caso de identificar a algún usuario que incumpla alguna de las
normas anteriores, se procederá a comunicar esta circunstancia al
departamento de Tecnología, y si llegase a apreciar mala fe o
reiteración en sus acciones de incumplimiento, EKBC &
JFSVadoptará las medidas que legalmente la amparen para la
protección de sus derechos y las especificadas en el Código Laboral
Ecuatoriano así como el resarcimiento de daños, de caber a lugar.8
1.2.7.5. Seguridad de información y respaldos
Este tipo de seguridad se encuentra basado en lo siguiente.
8 Información elaborada por: Erika Betancourt, Francisco Salguero.
20
· Políticas generales de seguridad:
o Diariamente el usuario auditor realizara los respaldos de información
conforme a la política de Respaldos
o Todos los accesos a los programas principales estarán protegidos
mediante un mecanismo de Usuario y contraseña como permiso de
acceso.
o Las sesiones de Windows personales estarán protegidas con
contraseña.
o Los usuarios deberán abstenerse de divulgar o compartir sus datos
de acceso a los programas y sesiones de Windows.
o La contraseña de acceso al Sistema Operativo Windows tendrá un
periodo de vigencia por lo que obligará automáticamente al Usuario
a cambiar la misma. Esta política será aplicada utilizando conceptos
de dificultad y robustez evitando vulnerabilidad.
o Todos los archivos que sean enviados por correo y que contengan
información sensible deberán estar comprimidos con contraseña de
uso interno como medida de seguridad de información.
o A todos los equipos se les realizara una revisión de virus por lo
menos cada mes, que incluye la actualización de la base de firmas,
la búsqueda y eliminación de virus detectados.
· Políticas de respaldo de información.
Figura 7. MACROPROCESOS EKBC & JFSV
ELABORADO POR: Erika Betancourt, Francisco Salguero
21
1.3. LEVANTAMIENTO DE PRODUCTOS Y SERVICIOS DE LA
EMPRESA.
Dentro de EKBC & JFSV podemos identificar tres Macro Procesos internos en
base a los cuales Funciona la organización. (Figura 7.)Estos tres procesos
incluyen procesos más pequeños que los vamos a ir detallando a continuación.
Figura 8. DESCRIPCIÓN DE SUBPROCESOS
ELABORADO POR: Erika Betancourt, Francisco Salguero
1.3.1. PROCESO DE ATENCIÓN AL CLIENTE.
El área encargada del proceso de Atención al cliente es el área de Desarrollo de
Negocios, apoyada por el área de Marketing, Apoyo Administrativo y los Gerentes
de Auditoría.
Figura 9. PROCESO DE ATENCIÓN AL CLIENTE
ELABORADO POR: Erika Betancourt, Francisco Salguero
Dentro de esta área se Gestiona el manejo de la cartera de clientes y se los
categoriza de acuerdo a clasificaciones establecidas en el área, estas
categorizaciones se han propuesto en base a montos y procedencia del cliente.
El proceso de negocio se ha diagramado en función de los clientes nuevos,
clientes obtenidos a través de compras públicas y de clientes recurrentes:
22
Desarrollo de negocios
Figura 10. GESTIÓN DE DESARROLLO DE NEGOCIOS 1/4.
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
23
Figura 11. GESTIÓN DE DESARROLLO DE NEGOCIOS 2/4
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
24
Figura 12. GESTIÓN DE DESARROLLO DE NEGOCIOS 3/4.
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
25
Figura 13. GESTIÓN DE DESARROLLO DE NEGOCIOS 4/4
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
26
Figura 14. ATENCIÓN A CLIENTE - CLIENTES NUEVOS
PROPUESTA Y EJECUCIÓN DE SERVICIOS – Clientes nuevos
Personal de Apoyo
AdministrativoGerente General Cliente
Directora de
Marketing y
Comunicaciones
Gerentes de
Auditoría
Inicio del proceso
Compilainformación
obtenida
Base de datos declientes (Excel)
Se asigna unGerente deAuditoría al
Proyecto
Entregainformación a
Gerencia Generalpara aprobación
¿Acepta?
Elabora cuadrocon información
relevante
si
Conocimiento delCliente
Solicita los servicios de la
Firma
Llamada telefónica, e-mail ó fax
Recibe la base dedatos con
información declientes potenciales
Analiza laposibilidad de
efectuar el trabajorequerido
no
Proporcionainformación a la
Firma
Cuadro coninformación delpotencial cliente(Excel) (Excel)
Formularios F002y F003
Preparapresupuesto dehoras y servicios
Presupuesto dehoras y servicios
Fin del proceso
BDO.PR.001-2
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
27
Figura 15. ATENCIÓN AL CLIENTE - CLIENTES COMPRAS PÚBLICAS
PROPUESTA Y EJECUCIÓN DE SERVICIOS – Clientes obtenidos mediante portal de Compras Públicas
Asistente deGerencia
Socio deAuditoría
ClientePortal de Compras
PúblicasMensajero
Personal de ApoyoAdministrativo
Directora de
Marketing y
Comunicaciones
Gerente deAuditoría
Gerente General
si
no
Inicio del proceso
Imprimen laPropuesta
Revisa lapublicación de
nuevos concursosen el Portal de
Compras Públicas
Documentación
Recibe laPropuesta de
Servicios
La Propuesta esentregada alMensajero
Comunica aGerencia sobre la
oferta
Compila ladocumentación
requerida para serincluida en laPropuesta de
Servicios
Bases delconcurso en línea
Publica las basesdel concurso en elPorta de Compras
Públicas
Coordina conMarketing y
Comunicacionesla preparación dela Propuesta de
Servicios
Propuesta deServicios
Reciben ladocumentación ydan formato a la
Propuesta deServicios
¿Acepta?
Autoriza lapreparación de la
Propuesta deSerivicios
Analizaconjuntamente la
posibilidad deejecutar el trabajo
Monitorea elproceso de
adjudicación de lalicitación
nosi
BDO.PR.001-1
Envían por e-mailal Gerente para su
revisión
Recibe Propuestay revisa
¿Cambios? si
Entrega Propuestavía e-mail a Apoyo
Administrativo
no
Entregan propuestaa Asistente de
Gerencia
Recibe Propuestay la entrega alSocio a cargo
Recibe Propuestay la revisa
¿Cambios? si
Firma Propuesta yentrega a ApoyoAdministrativo
no
Elabora carta derecepción y adjunta a
Propuesta
¿Propuestaaceptada?
Se asigna unGerente deAuditoría al
Proyecto
Entrega laPropuesta de
Servicios y cartade recepción enlas instalaciones
del cliente
Notifica aGerencia
Notifica aGerencia
Firma carta ydevuelve copia al
Mensajero
Fin del proceso
BDO.PR.001-3
Entrega carta aApoyo
Administrativo
Archiva carta enexpediente del
cliente
BDO.PR.002
Carta de entrega/recepción
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
28
Clientes recurrentes
Figura 16. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 1/2.
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
29
Figura 17. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 2/2
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
30
1.3.2. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO.
El Proceso de Gestión de las Operaciones de servicio es la descripción del
proceso de auditoría como tal. Este proceso tiene una relación estrecha con los
otros dos grandes procesos ya que es alimentado por el proceso de Atención al
Cliente y alimenta al Proceso de Cobranzas.
Las áreas encargadas del proceso de Gestión de las Operaciones de servicio son
las Áreas de Auditoría y el área de Desarrollo de Negocios, apoyada por el área
de Marketing, Apoyo Administrativo y los Gerentes de Auditoría.
Figura 18. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO
ELABORADO POR: Erika Betancourt, Francisco Salguero
A continuación se puede observar el flujo de este proceso.
31
Gestión de auditoría
Figura 19. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE AUDITORÍA1/4.
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
32
Figura 20. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE AUDITORÍA 2/4
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
33
Figura 21 GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE AUDITORÍA 3/4.
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
34
Figura 22. GESTIÓN DE LAS OPERACIONES DE SERVICIO- GESTIÓN DE AUDITORÍA 4/4
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
35
1.3.3. PROCESO DE COBRANZAS.
Este es un proceso realizado por el área de Contraloría, Apoyo Administrativo y
el Gerente General.
EL área de Contraloría al revisar el contrato y las condiciones del mismo, acorde
al avance de la Auditoría se realizan los cobros.
Este proceso se encuentra descrito y explicado posteriormente.
Figura 23. PROCESO DE COBRANZAS
ELABORADO POR: Erika Betancourt, Francisco Salguero
36
COBRANZAS
Figura 24. FACTURACIÓN DE CLIENTES - COBRANZAS1/2.
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
37
Figura 25. FACTURACIÓN DE CLIENTES - COBRANZAS 2/2
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
38
1.4. DESCRIPCIÓN DE LOS PROCESOS DE LA EMPRESA.
1.4.1. DESCRIPCIÓN DEL PROCESO DE ATENCIÓN AL CLIENTE.
El área de Desarrollo de Negocios es la encargado de establecer la relación con
el cliente en la fase previa y posterior a la Auditoría y por ende la retención de la
cartera de clientes, para ello mantiene una estrecha relación con los mismos
ofreciéndoles trato personalizado y manteniéndolos al día con información
relevante.
El proceso de Desarrollo de negocios inicia con las cotizaciones o la preparación
de propuestas tanto para empresas públicas como para empresas privadas. En el
desarrollo de las propuestas interviene el personal del área, los Gerentes y Socios
ya que ellos son los que conocen las fechas y los tiempos previstos para le
entrega de dichas propuestas.
En esta área es en donde se inicia el servicio de la firma Auditora. Como se
mencionaba anteriormente el manejo del cliente es responsabilidad tanto del
Gerente y Socio del compromiso, así como del área de Desarrollo de Negocios ya
que se debe manejar una buena relación con el Cliente para establecer las
cláusulas del contrato de auditoría.
En este punto se prepara una estrategia de Auditoría en función de las horas
pactadas, se establece el alcance y se asigna el número de personas que van a
cubrir el proceso de Auditoría en la Empresa Cliente, de igual forma se establecen
las condiciones de la cobertura de gastos incurridos en el cumplimiento del trabajo
solicitado.
Es esencial que en la negociación se establezca un Costo- Beneficio tanto para la
firma como para la Empresa Cliente, enfocándose en los tiempos de la Auditoría
como una meta real dependiendo de la naturaleza del negocio, los recursos
39
humanos e informáticos que se vayan a emplear para lograr cumplir a cabalidad
el trabajo.
Es importante mencionar que el área de Desarrollo de Negocios cuenta con una
cartera de clientes definida, para ello la firma ha establecido una categorización
de clientes en la que se va ubicando tanto a clientes nuevos como recurrentes en
función de las horas necesarias para el cumplimiento de la Auditoría.
1.4.2. DESCRIPCIÓNDEL PROCESO DE OPERACIONES DE SERVICIO.
El proceso de operaciones detallado como el servicio principal de EKBC & JFSV
tiene sujetos los procesos de Desarrollo de Negocios y Facturación los cuales son
indispensables para dar continuidad al negocio. El proceso en si inicia con el
contrato realizado con el Cliente, el cual debe estar respaldado y protegido ante
cualquier amenaza para tener claras las condiciones de cumplimiento
establecidos en los acuerdos para dicho contrato.
Es importante recalcar que toda la información que se adquiera del cliente debe
conservar las características de: integridad, disponibilidad, confiabilidad, y
confidencialidad lo que nos obliga a proteger esta información de manera que
conserve las propiedades antes mencionadas. De este modo se puede confiar en
la veracidad de la información almacenada y la disponibilidad de la misma.
El proceso para la obtención de productos finales para el cliente, por el servicio de
auditoría, se enfoca en análisis de información y pruebas de los procedimientos
establecidos en la empresa Cliente. Los productos obtenidos así como la
documentación de respaldo realizada por los auditores deben ser salvaguardados
y preservados de manera que no se presente ningún inconveniente al momento
de generarse una catástrofe, perdiendo la fuente principal de dicho trabajo el cual
sería el computador del auditor o en su defecto los computadores de socios,
apoyo administrativo, etc.
Por ende la información almacenada en el computador del Auditor es considerada
como el activo más relevante para continuar con la continuidad del proceso
40
operativo; mientras se tenga la comunicación directa con la empresa Cliente y los
datos actualizados de la misma, se proporcionará una guía para tener claro el
trabajo que se realizó o se está realizando en dicha empresa, dando así
cumplimiento con el servicio prestado y se podrá culminar las actividades de
auditoría independientemente de catástrofes presentadas. Ya que en caso de no
cumplir con el contrato estipulado se tiene el riesgo de dañar la imagen con el
Cliente al que se le está dando el servicio y a su vez generar un desprestigio a
nivel global de la empresa, ocasionando la pérdida de gran parte de la Cartera de
Clientes.
Para evitar que se produzcan pérdidas totales de modo que se pueda seguir con
el negocio y se siga prestando el servicio de auditoría es necesario especificar
factores y herramientas que ayuden a implementar una correcta gestión de los
recursos tecnológicos para otorgar continuidad del servicio y en caso de
producirse alguna catástrofe esta sea totalmente transparente al cliente final.
Teniendo en cuenta que el aspecto principal a cumplir en cuanto al servicio de
auditoría es cumplir a cabalidad el contrato ya establecido, teniendo un enfoque
global, utilizando metodologías propias y adicionando parámetros que permiten
diferenciar a EKBC & JFSVde otras firmas auditoras.
Para el cumplimiento de este objetivo se debe cuidar la imagen de la Firma y
sobre todo al Cliente, es decir su información y los análisis que se hacen sobre la
misma; por lo que la pérdida de información se convierte en un factor crítico el
cual puede ser controlado con la implantación de un Plan estratégico de
Continuidad del Negocio.
El plan de continuidad del negocio para proteger propiamente al negocio debe
abarcar los procesos que lo alimentan al mismo, es decir, se debe cuidar la
imagen, la manera de vender el servicio, los recursos tanto humano como
tecnológico y por su puesto el presupuesto asignado por el cliente para cubrir los
gastos de la auditoría; todos estos procesos deben ser claros y permitir
41
enriquecer y facilitar la auditoría para poder hacer que el negocio continúe y en
adición a eso crezca.
Es importante conocer que hay varios factores que hacen que el proceso de
auditoría no pueda cumplirse lo cual se convierte en amenaza para el prestigio de
la empresa y pondría poner en riesgo su posición en el mercado.
Es primordial determinar los riesgos que tiene la empresa como tal, para seguir
manteniendo su posición en el mercado, seguir creciendo y ascendiendo en el
Ranking, podemos categorizar los tipos de riesgos o amenazas presentes para
enlistarlas como prioridad; como ya se mencionó anteriormente lo más crítico es
respaldar la información.
El negocio depende plenamente del proceso de auditoría como servicio, del cual
los entregables finales son el informe detallado donde se presentan los trabajos
realizados: revisión, análisis de los documentos, análisis de riesgos existentes
para los estados financieros; las conclusiones y recomendaciones para que la alta
gerencia tome decisiones para mejorar su situación actual, y la opinión de la
Firma sobre los estados financieros de la Empresa Cliente.
1.4.3. DESCRIPCIÓN DEL PROCESO DE COBRANZAS
El proceso de contraloría está involucrado en la creación de un código de cliente y
cobro por los servicios de auditoría prestados por EKBC & JFSV a sus clientes. A
pesar de ser un proceso básico en su complejidad es uno de los procesos críticos
para el funcionamiento de la empresa, puesto que son ineludibles los ingresos
netos de acuerdo al trabajo realizado para que la empresa invierta en los insumos
necesarios para la prestación se los servicios de Auditoría a la Cartera de clientes
adquirida para la Temporada de Auditoría.
El proceso inicia con el ingreso del Cliente, el registro de horas propuestas en el
contrato, las mismas que están basadas en el análisis realizado por el proceso de
Desarrollo de Negocios, las condiciones del contrato, las fechas de ingreso y
42
aceptación de contrato, así como los demás parámetros de la Auditoría. Esta
información es ingresada al sistema por el asistente contable. Este procedimiento
se lo realiza para tener un registro en el cual se rigen para la emisión de facturas
de acuerdo a las fechas estipuladas en el contrato.
Los costos incurridos por el personal que realizo la auditoría son registrados
sumarizados, en función a dichos gastos, el presupuesto estipulado en el contrato
y las condiciones del mismo se procede a realizar la factura correspondiente; Los
gastos y horas son tomadas de los reportes de tiempo emitidos por cada
colaborador acorde a las asignaciones realizadas por los gerentes de Auditoría.
Cada reporte de facturas tiene que estar acorde con el presupuesto y debe contar
con las firmas correspondientes de los gerentes o en su defecto el socio a cargo
de la auditoría realizada al cliente.
1.4.4. DESCRIPCIÓN DEL PROCESO DE APOYO ADMINISTRATIVO.
Como su nombre lo indica este proceso es un proceso de apoyo en proceso de
Auditoría. Este proceso se basa netamente en la elaboración de productos finales
que se van presentando la culminar la Auditoría, es decir, se encargan de plasmar
la documentación de la auditoría en esquemas y plantillas en las que son
basados los informes presentados a Gerencia General del cliente final o en su
defecto a las entidades reguladoras.
1.5. DESCRIPCIÓN DEL PROBLEMA Y NECESIDADES DE
CONTINUIDAD.
1.5.1. DESCRIPCIÓN DEL PROBLEMA
EKBC & JFSVes una firma auditora que prestas sus servicios a entidades
públicas y privadas que se encuentran sujetas a revisiones de control de sus
estados financieros; por lo que al tratarse de un negocio en el cual la custodia de
la información de los clientes obtenida en la Auditoría es vital, ya que no puede
43
ser perdida, o modificada por terceros, es aquí donde radica el problema
considerando la infraestructura que posee la empresa actualmente.
EKBC & JFSVcuenta con un Centro de Datos ubicado en la ciudad de Quito en
donde se encuentran alojados los servidores, actualmente no se cuenta con una
contingencia tecnológica que permita continuar con la operación normal de los
servicios y permita obtener la información almacenada en los servidores de
archivos en caso de ocurrencia de incidentes o catástrofes que inhabiliten el uso
del actual Centro de Datos.
1.5.2. NECESIDAD DE CONTINUIDAD
EKBC & JFSVtiene la necesidad de continuar con sus labores aun presentándose
alguna catástrofe teniendo en cuenta que la imagen que presta como firma
Auditora debe mantenerse y esta se perdería si las actividades se suspenden con
algún evento desafortunado que ocurra a las oficinas considerando que es el
lugar donde radican los servidores donde es almacenada la información de los
clientes, y si la información se pierde se corre el riesgo de también perder no solo
los clientes con los que actualmente se cuenta, sino también la oportunidad de
adquirir nuevos clientes en un tiempo razonable.
Como todo negocio EKBC & JFSVaun en medio de una catástrofe debe reanudar
sus actividades lo antes posible y es ahí donde entra el Plan de Continuidad del
Negocio, determinando los procedimientos claves para seguir brindando los
servicios a las empresas que depositaron su confianza en la Firma para realizar la
correspondiente Auditoría.
44
CAPITULO 2.
PROPUESTA DEL PLAN DE CONTINUIDAD
En este capítulo se describirá propiamente la propuesta del plan de continuidad
del negocio, analizando el impacto del daño que pueden causar los puntos
mencionados en la matriz de riesgos que se detallará enfatizando el grado de
afectación mediante un valor determinado por la multiplicación de los valores de
severidad y de vulnerabilidad de cada uno de ellos.
Se detallará el plan describiendo los planes para salvaguardar el negocio como tal
de dichos riesgos; el plan completo se conformará de todos los proyectos/planes
pequeños que se enfocan en cubrir cada área relevante del negocio, enunciando
proveedores que pueden facilitar cumplir con los objetivos del plan de continuidad
de negocio. En la Figura 26. Se muestra los procesos a seguir durante el
desarrollo de la propuesta del Plan de Continuidad del Negocio.
Figura 26. DIAGRAMA DEL DESARROLLO DEL PLAN DE CONTINUIDAD
Plan de Continuidad del Negocio
An
ális
is Análisis de Riesgo y Vulnerabilidades
Fin
Análisis del Impacto Plan de continuidad
Inicio
ELABORADO POR: Erika Betancourt. Francisco Salguero
2.1. LIDERAZGO
El plan de continuidad de negocios se encuentra liderado por el Gerente General
de EKBC & JFSV, ypor el Gerente de Tecnología.
Actualmente EKBC & JFSVcuenta con brigadas en el caso de tener que evacuar
el edificio, estas brigadas se encuentran capacitadas en cómo proceder en caso
45
de enfrentar algún desastre natural o un conato de incendio. Las brigadas entran
en acción al momento de presentarse alguno de estos incidentes, o al ser
prevenidos por las alarmas sonoras que se encuentran ubicadas en cada uno de
los pisos del Edificio Londres.
Actualmente EKBC & JFSV no ha establecido un Comité de Riesgos ni ha
designado el personal que conformará el mismo. Este comité será el encargado
de gestionar las acciones a tomarse en caso de enfrentarse a alguno de los
percances o riesgos inminentes a los que se puede enfrentar la empresa.
De igual forma el comité de riesgos será el encargado de coordinar con el
departamento de Recursos Humanos la forma de comunicación y difusión del plan
según lo establece la norma (ver sección 2.7).
2.2. POLÍTICA DE CONTINUIDAD DEL NEGOCIO.
El objetivo clave de realizar el plan de continuidad de negocio, es de seguir con
las actividades programadas sin interrupción de cualquier índole o en su defecto
que exista un mínimo tiempo de recuperación de tal manera que no afecte a gran
escala, esto es realizar planes y preparativos para enfrentar el incidente que se
suscite y que atente contra las actividades normales de la empresa.
2.2.1. OBJETIVO
La premisa de crear la política de continuidad del negocio tiene como finalidad la
protección y seguridad tanto de los activos de la empresa como de los recursos
humanos.
2.2.2. RESPALDO DE INFORMACIÓN
Los colaboradores de la empresa, deben realizar los respaldos de información de
manera ser frecuentes, sea de manera automática o manual. Esto se definirá por
áreas, o en su defecto con soporte del personal tecnológico.
46
2.2.3. ROLES Y RESPONSABILIDADES
Las tareas por cada acción de recuperación deberán estar segregadas asignando
los roles correspondientes al personal idóneo para cumplir con las
responsabilidades del cargo a él/ella impuestos para salvaguardar sea un activo o
el recurso humano.
Cada rol debe tener relación con su capacidad de respuesta ante el evento y/o
incidente y de acuerdo a los conocimientos que pueda tener respecto a una
respuesta ante las situaciones de emergencia.
2.2.4. PRUEBAS
Se debe probar continuamente el plan de continuidad de negocio, dejando
documentado sea en actas o bitácoras con los resultados obtenidos de dichas
pruebas.
Se debe probar el plan de manera integral, para poder definir tareas, situaciones,
características, sub planes que ayuden a mejorar el plan en función de los
resultados obtenidos anteriormente y así poder cubrir todas las brechas
correspondientes.
2.2.5. CONSIDERACIONES GENERALES
La política como tal es creada para que los colaboradores se sientan
comprometidos a ser parte del mejoramiento continuo y de la continuidad como tal
del negocio, siendo que los mismos conforman la empresa. La política sustenta
principios que deben basarse en el entendimiento de los riesgos que
inherentemente posee un negocio y dar a conocer los lineamientos a seguir para
salvaguardar las vidas y continuar con las operaciones regularmente.
47
a) Cada nuevo colaborador de la empresa debe tener conocimiento
respecto a los planes de desastres y continuidad del negocio.
b) Existirá un área de control para poder tener mejoramientos continuos
(actualizaciones a la política)
c) Se consideraran las pruebas frecuentes para medir el nivel de madurez
de conocimiento de los planes en casos de emergencia.
d) Existirán personas elegidas para cumplir ciertas funciones en caso de
una emergencia de nivel geológico.
e) Se capacitará al personal en función de las laboreas a desempeñar una
vez que se pueda suscitar alguna emergencia.
2.3. ANÁLISIS DE RIESGO Y VULNERABILIDADES.
En las Figuras 27 y 28 se describen los procesos a seguir para realizar el análisis
de Riesgos y Vulnerabilidades, y como se van a obtener las fuentes de riesgo.
Figura 27. ANÁLISIS DE RIESGO Y VULNERABILIDADES
Análisis de Riesgo y Vulnerabilidades
Aná
lisis
Det
erm
inac
ión
Plan
es y
ac
cion
es
Fin
Fuentes de Riesgo
Análisis de Fuentes y
Planes
Planes de mantenimiento
Inicio
Planes de contingencia
ELABORADO POR: Erika Betancourt. Francisco Salguero
2.3.1. IDENTIFICACIÓN DE RIESGOS
Al analizar los riesgos es importante cuantificar las medidas de impacto de los
parámetros cualitativos de dichos riesgos por lo que para calcular la incidencia o
gravedad de los riesgos, se puede tener varias escalas dependiendo el tipo de
uso que se le puede dar, por lo general es recomendable usar escalas simples
que permitan a cualquier persona independientemente de su cultura profesional
entender el cálculo para determinar la severidad de los riesgos encontrados
48
tendremos 2 escalas que usaremos para valorar el riesgo las mismas que se
encuentran en la Tabla 1:
Figura 28. DIAGRAMA DE FUENTES DE RIESGO.
Fuentes de Riesgos
An
ális
isA
ccio
nes
Fin
Listado de Riesgos
Potenciales
Determinación de Impacto
Identificación de vulnerabilidades
Determinación de Vulnerabilidades en función
de los riesgos
Inicio
Análisis Foda y Pestel
ELABORADO POR: Erika Betancourt. Francisco Salguero
En esta escala de severidad de Riesgo en la que se lo califica acorde la
probabilidad de ocurrencia de un incidente y adicionalmente acorde al impacto o
severidad del mismo.
Tabla 1. ESCALA DE SEVERIDAD DE RIESGO
Probabilidad de ocurrencia (P)
Valor referencial
Impacto (I) Valor referencial
Improbable 1 Muy bajo 2 Poco probable 2 Bajo 4 Posible 3 Medio 6 Probable 4 Alto 8 Altamente probable 5 Muy Alto 10
ELABORADO POR: Erika Betancourt, Francisco Salguero
Para evaluar el riesgo (R) vamos a utilizar la fórmula R = P * I, el valor obtenido en
este cálculo comparado con la siguiente tabla (Tabla 2.) nos dará la calificación
del riesgo Identificado.
Tabla 2. CALIFICACIÓN DEL RIESGO
Riesgo Valor referencial
Muy Alto 40-50 Alto 30-39 Medio 20-29 Bajo 10-19 Muy bajo 0-9
ELABORADO POR: Erika Betancourt, Francisco Salguero
49
2.3.1.1. Análisis FODA.
Tabla 3. ANÁLISIS FODA
Lista de Fortalezas Lista de Oportunidades
- Cumplimiento de contratos en los tiempos designados
- Nuevos Clientes de gran ingreso económico
- Personal dedicado, responsable y trabajador
- Ingresar al mercado de Auditoría Informática
- Poseer herramientas que facilitan la documentación del trabajo en campo de los auditores.
- Trabajo orientado a resultados
- Productos finales entregados en tiempos especificados.
- Precios cómodos
- Personal con conocimientos en varios ámbitos (Core de negocio)
- Capacitaciones del personal
- Revisión tecnológica de procesos automáticos
Lista de Debilidades Lista de Amenazas
- Rotación del personal - Firmas competidoras oferten mejores servicios
- La firma cuenta con recurso humano que aún está estudiando la universidad
- Firmas competidoras contraten personal que sale de EKBC & JFSV
- Ubicación de las oficinas principales no adecuada.
- Poco tiempo para realizar los papeles de trabajo.
- Ambiente laboral - Clientes con recurso humano complicado en su forma de trato con los auditores.
- Dispositivos tecnológicos obsoletos
- Auditar Clientes de Alto Riesgo
- Poco personal del área Informática
- Políticas de respaldos de información no aplicadas
- Sénior repartidos en más de 1 cliente por falta de personal
ELABORADO POR: Erika Betancourt, Francisco Salguero
50
2.3.1.2. Análisis PESTEL.
Políticos
· Inestabilidad política en el país (Riesgo País)
· Reformas para el manejo de Empresas de Capital extranjero en el País.
Económicos
· Inestabilidad del cambio de políticas de impuestos y aranceles.
· El costo del cambio de las NEC a las Normas Internacionales de
Información Financiera.
· Alta competencia en el mercado.
Sociales
· No cumplir con brindar beneficios sociales en la comunidad. (políticas
establecidas en el plan estratégico)
Tecnológicos
· Fallos de Energía.
· Fallos de RED.
· Ataques a los Sistemas Computacionales.,
· Fallas de Energía.
Ecológicos o Ambientales
· Incendios.
· Terremotos.
· Erupciones Volcánicas
Legales
· Dar un Dictamen erróneo en una auditoría
o Ejecución de pruebas erróneas
o Extorsión
51
o Soborno.
o Pérdida de Independencia.
51
2.3.
1.3.
M
atri
z d
e ri
esgo
s
Ta
bla
4.
MA
TR
IZ D
E R
IES
GO
S
TIP
O D
E A
ME
NA
ZA
A
ME
NA
ZA
V
UL
NE
RA
BIL
IDA
D
RIE
SG
O
IMP
AC
TO
AM
EN
ZA
S
PR
OV
OC
AD
AS
PO
R
LA
MA
NO
DE
L
HO
MB
RE
Cri
me
n In
form
átic
o
Lín
eas
de
com
unic
aci
ón
no
pro
teg
ida
s
Info
rma
ció
n
em
pre
saria
l po
co
y/o
na
da
p
rote
gid
a.
Difu
sió
n d
e
info
rma
ció
n
con
fide
ncia
l.
Arq
uite
ctu
ra d
e R
ed
Inse
gu
ra
Con
exi
on
es
de R
ed
pú
blic
a s
in p
rote
cció
n
Tra
nsf
ere
ncia
de
co
ntra
señ
as n
o a
uto
riza
das
Trá
fico
se
nsi
ble
sin
pro
tecc
ión
No
exi
ste
n
con
tro
les
pa
ra
ase
gura
r la
co
nfid
enci
alid
ad
e
In
teg
rida
d d
e la
Info
rma
ció
n
No c
ont
ar
con
un
áre
a d
e S
egu
rid
ad
Info
rmát
ica
Po
lític
as d
e S
eg
urid
ad
Inad
ecu
ad
as o
no
difu
ndid
as
Fa
lta
de
con
tro
les
de
A
ute
ntic
aci
ón
p
ara
e
l a
cces
o
a lo
s S
iste
mas
de
Info
rmac
ión
Te
rro
rism
o/V
an
dalis
mo
Au
senc
ia
de
cám
ara
s d
e vi
gila
nci
a
en
lo
s d
ifere
nte
s D
ep
art
ame
nto
s d
e la
em
pre
sa
Fa
lta d
e c
on
tro
l d
e s
eg
urid
ad
in
tern
a
El f
unc
ion
am
ien
to
de
l eq
uip
o p
od
ría
ve
rse
gra
vem
en
te
com
pro
me
tido
Fa
lta
de
vi
gila
nci
a
pe
rma
nen
te
po
r to
dos
lo
s d
ifere
nte
s D
ep
art
ame
nto
s d
e la
em
pre
sa
Pe
rso
nal y
Usu
ari
os
Inte
rnos
(D
esco
nte
nto
, N
eg
lige
nci
a,
Desh
one
stid
ad,
Cesa
dos
, etc
.)
Pro
cedi
mie
nto
s in
ade
cua
dos
de
co
ntr
ata
ció
n
Pe
rson
al
rota
tivo
. C
ola
bo
rad
ore
s co
n fa
lta d
e
exp
eri
en
cia
y/o
d
esh
on
esto
s
Eje
cuci
ón d
e
Op
era
cio
nes
fic
ticia
s o
fra
udu
len
tas
en
los
Sis
tem
as d
e
info
rma
ció
n.
Fa
lta d
e u
na
con
tinu
a C
ap
acita
ción
al p
ers
ona
l con
res
pec
to a
la
Se
gu
rida
d In
form
átic
a
Fa
lta
de
co
ncie
ntiz
ació
n co
n
resp
ecto
a
la
Se
gurid
ad
Info
rmá
tica
Tra
ba
jo n
o su
pe
rvis
ad
o d
e p
ers
on
al e
xte
rno
o li
mp
ieza
Fa
lta d
e M
eca
nis
mo
s d
e m
on
itori
zaci
ón
.
Alta
ro
taci
ón
de
l p
ers
ona
l N
o
exi
ste
n
con
tro
les
pa
ra
ase
gura
r la
co
nfid
enci
alid
ad
e
In
teg
rida
d d
e la
Info
rma
ció
n
Fa
lta d
e c
on
tro
l e
n la
con
tinu
ida
d
Pé
rdid
a d
e la
co
ntin
uid
ad
de
las
52
Fa
lta
de
Ge
stió
n
de
Con
ocim
ient
o
ant
e
la
au
sen
cia
de
u
n
em
ple
ado
d
e la
s ac
tivid
ad
es
de
l ca
rgo
del
p
ers
ona
l qu
e
rota
.
op
era
cion
es
de
l áre
a d
e c
en
tro
de
Da
tos
Fa
lta d
e d
isp
ositi
vos
de
vig
ilan
cia
co
mo
cám
ara
s p
ara
de
tect
ar
cua
lqu
ier
eve
nto
inu
sua
l
Fa
lta d
e c
ap
acita
ció
n s
ob
re v
alo
res
y é
tica
pro
fesi
ona
l.
Inco
rre
cta
A
dm
inis
tra
ció
n d
el
Sis
tem
a In
form
átic
o y
d
e lo
s D
ere
cho
s de
A
cces
o
Ge
stió
n d
efic
ien
te d
e C
on
tras
eñ
as
Pe
rson
al c
on
acc
eso
s no
a
uto
riza
dos
a
info
rma
ció
n
clas
ifica
da
.
Reg
istr
o d
e T
ran
sacc
ione
s n
o
pe
rmiti
das
o fr
au
dul
en
tas
en
los
sist
em
as
de
in
form
aci
ón
Hab
ilita
ció
n d
e S
erv
icio
s in
nec
esa
rios
Fa
lta d
e c
on
tro
l efic
az
de
l cam
bio
No e
xist
e d
ocu
me
nta
dos
lo
s S
erv
icio
s q
ue
pre
sta
la
Red
a l
os
Usu
ario
s
Me
jora
mie
nto
d
e
las
p
olít
ica
s q
ue
re
gul
en
e
l U
so
de
los
Sis
tem
as I
nfo
rmát
ico
s d
e a
cue
rdo
al p
erf
il d
e U
sua
rio.
Con
figu
raci
ón
de
S
eg
urid
ad
ina
dec
uad
a
en
lo
s S
iste
mas
d
e In
form
aci
ón
Rob
o
Fa
lta d
e c
on
tro
les
de
acc
eso
y se
gu
rida
des
impl
an
tad
as e
n l
a e
difi
caci
ón
Pe
rdid
a d
e
info
rma
ció
n
Inte
rrup
ció
n e
n lo
s se
rvic
ios
inte
rnos
y
ext
ern
os
pre
sta
dos
po
r la
em
pre
sa
Au
senc
ia d
e C
ontr
ol p
erm
ane
nte
a lo
s a
ctiv
os
de
info
rma
ción
TIP
O D
E A
ME
NA
ZA
A
ME
NA
ZA
V
UL
NE
RA
BIL
IDA
D
RIE
SG
O
IMP
AC
TO
AM
EN
AZ
AS
T
ÉC
NIC
AS
Fa
lla d
e C
ompo
ne
nte
s e
lect
rón
icos
No h
ab
er
est
ab
leci
do
po
lític
as
de
re
empl
azo
de
pie
zas
sen
sib
les
en
el f
unc
ion
am
ient
o d
e lo
s di
spos
itivo
s e
lect
rón
icos
.
Po
ca/N
ula
fu
nci
on
alid
ad
de
la
s h
err
amie
nta
s.
Su
spen
sió
n te
mpo
ral
o d
efin
itiva
de
los
eq
uip
os
de
co
mp
uta
ción
o
com
un
ica
cio
nes
con
los
qu
e d
isp
one
la
em
pre
sa.
No s
e re
aliz
a p
rue
bas
pe
riód
ica
s ta
nto
de
H
ard
wa
re c
om
o
So
ftw
are
an
tes
de
su u
so o
pue
sta
en
pro
duc
ció
n.
Con
tro
les
de c
am
bios
de
con
figu
raci
ón
de
ficie
nte
s.
No s
e h
an
ide
ntifi
cado
co
mp
one
nte
s cr
ític
os
de
los
dis
pos
itivo
s.
No
cont
ar
con
p
ers
on
al
calif
icad
o
para
la
op
era
ción
d
e lo
s e
qu
ipo
s co
n lo
s q
ue c
ue
nta
la e
mp
resa
Fa
lla e
n e
l Se
rvic
io d
e
Pro
vee
do
res
(Int
ern
et,
etc
.)
No s
e c
uen
ta c
on
un
pro
ced
imie
nto
en
e
l q
ue
se
in
diqu
e l
a fo
rma
de
pro
ced
er
en
ca
so d
e fa
llos
de in
tern
et
Ba
ja
pro
duc
tivid
ad
Pé
rdid
a d
e lo
s se
rvic
ios
en
lín
ea
y la
s co
mu
nic
acio
ne
s co
n e
l ext
eri
or.
N
o s
e c
uen
ta c
on
un
en
lace
de
ba
ck u
p p
ara
con
tinu
ar
con
la
co
ntin
uid
ad
de
op
era
cio
nes
Ma
la im
ple
me
nta
ció
n
Imp
lem
enta
ción
de
co
ntro
les
defic
ien
tes.
P
oco
co
ntr
ol
Pé
rdid
a d
e
53
de
co
ntr
ole
s o
in
cum
plim
ien
to d
e lo
s m
ism
os
Imp
lem
enta
ción
de
co
ntr
oles
qu
e n
o s
e e
ncu
en
tran
aco
rdes
a la
re
alid
ad
de
l ne
goc
io.
sob
re la
se
gu
ridad
.
info
rma
ció
n o
dañ
os
en
los
equ
ipo
s d
e
Usu
ario
Fin
al.
No s
e h
an m
on
itore
ado
o n
o s
e h
a e
valu
ado
el c
um
plim
ient
o d
e lo
s co
ntro
les
de s
eg
urid
ad.
Fa
lta/F
alla
de
So
ftw
are
E
mp
resa
rial (
An
tivir
us,
G
est
or
de B
ase
de
D
ato
s, e
tc.)
Con
figu
raci
ón
inco
rrec
ta d
e P
ará
met
ros
Ba
ja
fun
cio
nal
ida
d d
e
las
he
rram
ien
tas
dis
pon
ible
s
Afe
ctac
ión
de
los
serv
icio
s p
rest
ado
s.
Se
po
drí
a
com
pro
me
ter
la
dis
pon
ibili
da
d,
inte
grid
ad y
co
nfid
enc
ialid
ad
de
la
info
rma
ció
n
alm
ace
nad
a ta
nto
en
serv
ido
res
com
o e
n e
qu
ipo
s d
e U
sua
rio
Fin
al.
Cam
bio
s de
co
nfig
ura
ción
no
do
cum
ent
ad
os.
Fa
lta d
e A
udito
ría
de
So
ftw
are
(S
erv
ido
res,
Equ
ipos
, etc
.)
Defic
ienc
ia
en
los
pro
cedi
mie
nto
s d
e
resp
ald
o
pe
riód
ico
de
In
form
aci
ón
.
Uso
de
softw
are
de
sact
ualiz
ado
o il
eg
al
Fa
lla/M
al
Fu
nci
on
amie
nto
de
los
Eq
uip
os
Su
pre
sió
n d
e l
as
pis
tas
de
Au
dito
ría
de
Hard
wa
re (
Se
rvid
ore
s,
Eq
uip
os, e
tc.)
Retr
aso
en
las
tare
as d
e lo
s co
lab
ora
do
res
con
eq
uip
os
de
fect
uos
os
El f
unc
ion
am
ien
to
de
l eq
uip
o p
od
ría
se
r g
rave
me
nte
a
fect
ad
o, a
l ig
ual
qu
e s
e v
erí
a
inte
rrum
pid
o e
l se
rvic
io d
e re
spa
ldo
s d
iario
s qu
e s
e
eje
cute
n.
Fa
lta
de
imp
lem
ent
aci
ón
de
e
squ
em
as
de
reem
pla
zo
de
eq
uip
os.
Se
nsi
bili
dad
a r
adia
ción
ele
ctro
ma
gné
tica
Su
sce
ptib
ilid
ad
an
te v
ari
acio
nes
de t
ens
ión
Su
sce
ptib
ilid
ad
an
te v
ari
acio
nes
de t
emp
era
tura
Fa
lta d
e c
ap
acita
ció
n d
el U
so d
e lo
s eq
uip
os
a lo
s us
uari
os
Sa
tura
ció
n d
e la
red
Ge
stió
n i
nad
ecu
ada
de
la
Red
(C
ap
acid
ad
de
rec
upe
raci
ón d
e e
nru
tam
ien
to)
Fa
llase
n la
co
rrec
ta
fun
cio
nal
ida
d d
e
la r
ed
em
pre
saria
l.
Fa
llos
en la
co
mu
nic
aci
ón
tan
to
en
la r
ed
inte
rna
co
mo
la s
alid
a a
in
tern
et
por
pa
rte
de
lo
s fu
ncio
nari
os d
e la
e
mp
resa
Fa
lta d
e p
olít
icas
de
uso
de
re
curs
os
de
red
co
mo
el
bu
en
uso
d
e in
tern
et.
Defic
ien
te d
ise
ño d
e la
Red
Fa
lta d
e m
oni
tori
zaci
ón d
e tr
áfic
o d
e la
re
d
Lín
eas
de
com
unic
aci
ón
sin
pro
tecc
ión
Con
exi
ón
de
ficie
nte
de
ca
ble
s
Pu
nto
de
re
d co
n f
alla
s
54
Pu
nto
s d
e ac
ceso
a
la
re
d si
n
pro
tecc
ión
y
vuln
era
ble
s a
ata
que
s in
form
átic
os
TIP
O D
E A
ME
NA
ZA
A
ME
NA
ZA
V
UL
NE
RA
BIL
IDA
D
RIE
SG
O
IMP
AC
TO
AM
EN
AZ
AS
O
RG
AN
IZA
CIO
NA
LE
S
Ine
xist
en
cia
de
Pla
ne
s P
olít
icas
y
Pro
cedi
mie
nto
s o
rga
niz
acio
na
les
y d
e a
dm
inis
trac
ión
de
U
sua
rios
y P
roye
cto
s.
No s
e h
a e
lab
ora
do
un
Pla
n d
e C
on
ting
enc
ias
Ba
ja g
est
ión
y
po
co c
ontr
ol
sob
re e
l cu
mp
limie
nto
de
la
s p
olít
ica
s in
tern
as.
Dañ
os
en
eq
uip
os
de
pro
cesa
mie
nto
de
da
tos
y d
e
info
rma
ció
n a
sí
com
o la
pé
rdid
a d
e
la in
form
aci
ón
a
lmac
ena
da.
Fa
lta
de
l p
roce
dim
ien
to
form
al
pa
ra
el
reg
istr
o
y b
loqu
eo
o
elim
inac
ión
de
Usu
ari
os
Ine
xist
en
cia
de
pro
cedi
mie
nto
s d
e r
evi
sió
n d
e l
os
dere
chos
de
acc
eso
oto
rga
dos
a lo
s U
sua
rios.
Fa
lta
de
p
roce
dim
ien
tos
de
mo
nito
reo
de
lo
s re
curs
os
de
p
roce
sam
ien
to y
alm
ace
nam
ien
to d
e in
form
aci
ón
Fa
lta d
e a
ud
itorí
as r
egu
lare
s
Ine
xist
en
cia
d
e
po
lític
as
que
e
xija
n la
d
ocum
en
taci
ón
de
cam
bio
s d
e co
nfig
ura
ció
n e
n lo
s si
ste
ma
s y
recu
rso
s e
xist
ent
es.
Ine
xist
en
cia
de
Est
án
dare
s p
ara
la D
ocum
en
taci
ón
Fa
lta o
Ins
ufic
ien
te
Ge
stió
n d
e la
S
eg
uri
dad
de
la
Info
rma
ció
n
(Mo
nito
rea
r,
Pro
cedi
mie
nto
s, e
tc.)
Incu
mp
limie
nto
de
las
pol
ític
as d
e s
eg
urid
ad
info
rmá
tica
Ba
jo c
on
tro
l so
bre
no
rma
s o
pe
rativ
as
em
pre
saria
les,
Dañ
os
en
eq
uip
os
de
pro
cesa
mie
nto
de
da
tos
y d
e
info
rma
ció
n a
sí
com
o la
pé
rdid
a d
e
la in
form
aci
ón
a
lmac
ena
da.
Fa
lta
de
asig
naci
ón
ad
ecua
da
d
e
resp
ons
ab
ilida
des
e
n
la
seg
urid
ad d
e la
info
rmac
ión
Fa
lta
de
re
gis
tros
e
n
las
bitá
cora
s ta
nto
d
e
adm
inis
tra
dore
s co
mo
de
op
era
rios
Fa
lta d
e r
espo
nsa
bili
dad
es e
n la
se
gu
rida
d d
e la
info
rma
ció
n
Fa
lta d
e m
eca
nis
mo
s d
e M
on
itore
o
Fa
lta d
e li
cen
cia
s d
e
So
ftw
are
Pro
pie
tari
o o
vi
ola
cio
nes
de
de
rech
o
de
au
tor
Fa
lta
de
pro
ced
imie
nto
s p
ara
e
l cu
mp
limie
nto
de
la
s d
ispo
sici
on
es c
on
res
pec
to a
los
dere
cho
s in
tele
ctu
ales
Ba
ja
fun
cio
nal
ida
d d
e
las
ap
licac
ion
es.
Incu
rrir
en
pro
ble
mas
leg
ale
s co
n e
ntid
ad
es d
e
con
tro
l po
r la
fa
lta d
e
licen
cia
mie
nto
EL
AB
OR
AD
O P
OR
: E
rika
Bet
anco
urt,
Fra
ncis
co S
algu
ero/
Bas
ada
en la
nor
ma
ISO
: IE
C 2
7001
55
2.4. ANALISIS DE IMPACTO DEL NEGOCIO.
En función de los riesgos identificados se debe analizar el impacto que generará
en el negocio para realizar una propuesta para disminución de la afectación a la
continuidad y los servicios que presta la empresa no se vean afectados por largo
tiempo y las actividades de los colaboradores no se interrumpan.
2.4.1. DESCRIPCIÓN DEL IMPACTO
En función de los riesgos identificados se debe analizar el impacto que generará
en el negocio para realizar una propuesta para disminución de la afectación a la
continuidad y los servicios que presta la empresa no se vean afectados por largo
tiempo y las actividades de los colaboradores no se interrumpan.
El BIA (Bussiness Impact Analysis) debe definir los riesgos y tiempos de
recuperación al menos de proceso o procesos principales identificando y
clasificando el nivel de costo y riesgo que representa una recuperación en función
a los desastres.
Es importante tener en cuenta las actividades a las que se remite la empresa y
sus procesos dando valoraciones o cuantificando la prioridad de dichas
actividades para considerar el impacto al ser dañadas o en última instancia
completamente pérdidas.
Una vez que se han identificado todas las amenazas con la fórmula de cálculo de
Riesgo mostrada en la sección 2.1.1 vamos a identificar las amenazas con mayor
valoración como se muestra en la Tabla 5. Las amenazas con riesgo Medio, Alto y
Muy alto van a ser consideradas para nuestro análisis de riesgos.
56
Ta
bla
5.
VA
LO
RA
CIÓ
N D
EL
RIE
SG
O
Am
en
aza
s
Pro
bab
ilid
ad d
e
ocu
rren
cia
V
alo
raci
ón
Im
pac
to
Val
ora
ció
n
Rie
sgo
V
alo
raci
ón
del
Rie
sgo
Rie
sg
o O
pe
rac
ion
al
Alta
me
nte
pro
bab
le
5
Mu
y A
lto
10
Mu
y A
lto
5
0
Te
rre
mo
to
Pro
ba
ble
4
M
uy
Alto
1
0 M
uy
alt
o
40
Inc
en
dio
P
osi
ble
3
Alto
1
0 A
lto
3
0
Ro
bo
P
osi
ble
3
Alto
8
M
ed
io
24
Fa
lla
de
en
erg
ía
Po
sibl
e 3
A
lto
8
Me
dio
2
4
Fa
lla
de
Re
d
Pro
ba
ble
4
M
ed
io
6
Me
dio
2
4
Ata
qu
es
al
sis
tem
a d
e in
form
ac
ión
co
mp
uta
cio
na
l P
osi
ble
3
Alto
8
M
ed
io
24
Eru
pc
ión
de
vo
lcá
n
Po
co P
rob
abl
e 2
M
uy
Alto
1
0 M
ed
io
20
Dañ
os
Oca
sio
na
do
s p
or
pe
rso
na
l in
tern
o
Po
sibl
e 3
M
ed
io
6
Baj
o
18
Co
mp
ete
nc
ia e
n e
l Me
rca
do
P
rob
ab
le
4
Ba
jo
4
Baj
o
16
Dic
tam
en
err
ón
eo
en
Au
dit
orí
a
Po
co P
rob
abl
e 2
A
lto
8
Baj
o
16
Alt
a r
ota
ció
n d
e p
ers
on
al
Pro
ba
ble
4
B
ajo
4
B
ajo
1
6
Sa
tura
ció
n e
n
red
P
rob
ab
le
4
Ba
jo
4
Baj
o
16
Fa
lta
o in
su
fic
ien
te G
esti
ón
de
la
Seg
uri
da
d d
e la
Info
rma
ció
n
Po
co p
rob
able
2
A
lto
8
Baj
o
16
Ine
sta
bil
idad
po
líti
ca
Po
sibl
e 3
B
ajo
4
B
ajo
1
2
Ref
orm
as
Em
pre
sa
ria
les
Po
sibl
e 3
B
ajo
4
B
ajo
1
2
Cam
bio
s e
n p
olí
tic
as a
ran
cel
ari
as
P
oco
Pro
ba
ble
2
Me
dio
6
B
ajo
1
2
Te
rro
ris
mo
/ V
an
dal
ism
o
Po
co p
rob
able
2
M
ed
io
6
Baj
o
12
Err
ore
s e
n l
a a
dm
inis
trac
ión
de
de
rec
ho
s d
e
ac
ce
so d
e lo
s S
iste
ma
s I
nfo
rmá
tic
os
P
oco
pro
bab
le
2
Me
dio
6
B
ajo
1
2
57
Fa
lla
en
el
Se
rvic
io d
e P
rove
ed
ore
s
Po
co p
rob
able
2
M
ed
io
6
Baj
o
12
Ine
xis
ten
cia
de
Do
cu
men
taci
ón
de
co
ntr
ol
(Pla
nes
po
líti
cas
y p
roc
ed
imie
nto
s d
e A
dm
inis
trac
ión
de
Usu
ari
os
y p
roye
cto
s)
Po
co p
rob
able
2
M
ed
io
6
Baj
o
12
Fa
lta
de
lic
en
cia
s d
e S
oft
war
e p
rop
ieta
rio
o
vio
lac
ion
es
de
de
rec
ho
de
au
tor
Po
co p
rob
able
2
M
ed
io
6
Baj
o
12
Inc
um
plim
ien
to d
e B
en
efi
cio
s S
oc
iale
s
Po
co P
rob
abl
e 2
B
ajo
4
M
uy
ba
jo
8
Cri
me
n I
nfo
rmá
tic
o
Imp
rob
ab
le
1
Alto
8
B
ajo
8
Fa
lta
de
co
mp
on
ente
s e
lec
tró
nic
os
P
oco
pro
bab
le
2
Ba
jo
4
Mu
y b
ajo
8
Ma
la im
ple
me
nta
ció
n d
e c
on
tro
les
e
inc
um
plim
ien
to d
e lo
s m
ism
os
P
oco
pro
bab
le
2
Ba
jo
4
Mu
y b
ajo
8
Fa
lla
de
So
ftw
are
Em
pre
sa
ria
l P
oco
pro
bab
le
2
Ba
jo
4
Mu
y b
ajo
8
Ma
l fu
nc
ion
am
ien
to d
e lo
s e
qu
ipo
s
Po
co p
rob
able
2
B
ajo
4
M
uy
ba
jo
8
Co
sto
de
l ca
mb
io d
e N
EC
a N
IIF
Im
pro
ba
ble
1
M
ed
io
6
Baj
o
6
EL
AB
OR
AD
O P
OR
: E
rika
Bet
anco
urt,
Fra
ncis
co S
algu
ero
58
Una vez que se han determinado los riesgos es necesario establecer una
descripción los escenarios, afectación, etc., categorizando de manera más amplia
los riesgos y dando características esenciales para tener una visión más clara de
lo que se puede enfrentar la empresa.
De las Tablas 7 a la 14 se muestran la probabilidad, el impacto, el escenario, la afectación, la acción y los responsables.
Tabla 6. ESCENARIO - INCENDIO
Riesgo Incendio
Probabilidad Posible
Impacto Alto
Escenario
Un incendio puede provocar la devastación total de la oficina perdiendo no solo los equipos computacionales sino las vidas que en ese momento estén presentes, considerando que las alfombras son de grado combustible. Hay que tener en cuenta que los toma corrientes están cerca de la alfombra lo cual haría más fácil la propagación del fuego a las áreas por donde las misma cruza.
Afectación
El grado de afectación es severo al tener pérdidas
humanas que es el recurso más valioso de la organización
y en adición los equipos que ofrecen el servicio para
cumplir las labores diarias (Data Center).
Acción
Implementar extintores de espuma para inhibir la combustión de las alfombras y en el Data center al menos tener un extintor de anhídrido carbónico los cuales contrarrestan la combustión de las alfombras y protegen los equipos electrónicos.
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
59
Tabla 7. ESCENARIO - TERREMOTO
Riesgo Terremoto
Probabilidad Probable
Impacto Muy Alto
Escenario
Un terremoto puede provocar la destrucción total no solo de
la oficina sino del edificio; dependiendo de la magnitud puede
destruir apenas solo parte de la oficina o completamente el
edificio.
Afectación
Dependiendo el grado de magnitud del terremoto puede
causar que se cuarteen o caigan las paredes con bajo nivel
de destrucción (recuperable sin incidencia catastrófica) o
puede ser una destrucción completa de las oficinas
residentes.
Acción
Independientemente del grado o magnitud del terremoto la
acción por parte del brigadista encargado es de ayudar a
otros a evacuar el edificio evitando primordialmente pérdidas
humanas y de ser posible los equipos de computación
(anteponer la vida antes que los equipos).
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
60
Tabla 8. ESCENARIO - FALLA DE ENERGÍA
Riesgo Fallas de energía
Probabilidad Posible
Impacto Alto
Escenario
El edificio puede presentar fallas eléctricas por lo general por
una tormenta eléctrica lo cual puede producir un cortocircuito
que origine 2 escenarios:
1.- Apagón total de energía
2.- Incendio.
Afectación
La afectación puede ser Leve o Severa dependiendo del
escenario, en el caso del Apagón puede quedar solamente en
la discontinuidad de los servicios, por otro lado también
pueden quemarse los equipos no solo los UPS sino los
servidores en sí.
En caso de que se produzca in incendio la afectación se
vuelve más severa y caeríamos en el caso de riesgo por
incendio
Acción
Implementar UPS especiales que soporten grandes cargas
de energía de modo que no se produzca un apagón de los
servidores y estos no resulten afectados; en adición tener en
cuenta la acción del riesgo de incendio.
Responsable
Departamento de Tecnología
ELABORADO POR: Erika Betancourt, Francisco Salguero
61
Tabla 9. ESCENARIO - ROBO
Riesgo Robo
Probabilidad Posible
Impacto Alto
Escenario
Existen 2 escenarios:
Robo interno: robo de equipos que se produzca dentro de las
instalaciones por lo general en horas que la oficina está
prácticamente vacía.
Robo externo: robo de equipos al personal mientras están
fuera de las instalaciones de la empresa.
Afectación
El robo de equipos a los miembros de la empresa, por lo
general los auditores considerando el hecho que son los que
más movilizan equipos computacionales, en este caso la
afectación recae severamente por la información de “el/los”
clientes que posee el auditor en el computador a su cargo.
Acción
En el caso de robo interno, se debe tener alarmas a más de
las cámaras de seguridad y tener cuidado con el ingreso de
personal ajeno a la empresa para estar pendientes que se
trate de un agente de confianza.
En el caso de robo externo, es importante que los auditores
consideren el hecho de ir en taxis con los que tiene convenio
la compañía al movilizarse con equipos computacionales.
Responsable
Todo el personal
ELABORADO POR: Erika Betancourt, Francisco Salguero
62
Tabla 10. ESCENARIO - FALLO DE RED
Riesgo Falla de red
Probabilidad Probable
Impacto Medio
Escenario
Existen varios tipos de causas por las cuales puede
suscitarse fallas en la red de comunicaciones, como son:
1.- Cruce entre hilos (mala conexión)
2.- Rupturas de los cables
3.- Exceso de ruido y/o estática
Afectación
El efecto que causa las fallas en la red es netamente con
los sistemas de información, ya que si los servidores
están haciendo rutinas automáticas de respaldos o incluso
el personal está haciendo sus respaldos propios puede
generar conflicto o fallas al generar la información
respaldada, además de errores en la comunicación.
Acción
Proteger y resguardar el Data center, cambiando los
cables periódicamente y haciendo mantenimiento de los
equipos para que reducir el impacto al suscitarse dicho
problema.
Responsable
Departamento de tecnología
ELABORADO POR: Erika Betancourt, Francisco Salguero
63
Tabla 11. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN COMPUTACIONAL
Riesgo Ataques al sistema de información computacional
Probabilidad Posible
Impacto Alto
Escenario
Al contar con información crítica de los clientes es necesario
que la resguardemos de manera confidencial, aunque los
piratas informáticos contratados por otras empresas atacarían
la red organizacional para obtener dicha información.
Afectación
Al tener plagio de información propia de la empresa o
información de otras organizaciones a las cuales se les ha
realizado la auditoría ponemos en riesgo no solo a dichas
organizaciones sino a la Empresa como tal por el factor de
desconfianza que generaría dicho plagio lo que terminaría en
pérdida de clientes.
Acción
Implementar IDS u otros sistemas para prevenir y detectar
ataques de piratas informáticos.
Responsable
Departamento de tecnología
ELABORADO POR: Erika Betancourt, Francisco Salguero
64
Tabla 12. ESCENARIO - RIESGO OPERACIONAL
Riesgo Riesgo Operacional
Probabilidad Altamente probable
Impacto Muy Alto
Escenario
El momento de hacer la auditoría en sí se corre el riesgo de
incumplir tiempos estipulados para entrega de informes
resultantes, de utilizar un lenguaje no adecuado con el cliente
o dar juicios que provoquen inconvenientes dentro de la
organización del cliente.
Afectación
La severidad de impacto es la más alta considerando que si
se produce el riego, lo posible es que se pierda prestigio de la
imagen propia de la empresa y por ende se perdería clientes
a gran escala por lo cual la afectación de darse este riesgo es
inminentemente catastrófico.
Acción
Planificar bien la auditoría para mejorar tiempos de desarrollo
de la misma teniendo en cuenta que se debe tener un
lenguaje cordial sin emitir juicios porque el auditor no juzga.
Responsable
Socios-Auditores
ELABORADO POR: Erika Betancourt, Francisco Salguero
65
Tabla 13. ERUPCIÓN DE VOLCÁN
Riesgo Erupción de Volcán
Probabilidad Poco Probable
Impacto Muy alto
Escenario
Dependiendo de la magnitud de erupción en este caso el
guagua pichincha se tendría de una simple caída de ceniza
que afectaría los servidores y la salud de las personas hasta
una inminente corriente de lava que puede arrasar con la
ciudad
Afectación
La ceniza que bota el volcán puede alojarse en los servidores
al ser llevado por el viento entrando por los ductos de
ventilación.
La lava acabaría con gran parte de la ciudad
Acción
Evacuar el edificio lo antes posible siendo los brigadistas
responsables los que ayuden a la gente a salir a un sitio
seguro.
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
El impacto se debe analizar en función de los procesos críticos que posee la
empresa;
66
2.4.2. ESTRATEGIAS DE RECUPERACIÓN.
Al analizar las necesidades de recuperación de los sistemas desde la vista del
negocio, es necesario establecer el Tiempo de tolerancia (RPO) a
la interrupción que poseen los procesos de Negocios y los Tiempos
de Recuperación (RTO) que poseen los sistemas tecnológicos que soportan al
mismo. Por ello es importante establecer los Objetivos de Tiempo de
Recuperación y Tiempo de Tolerancia.
En la Tabla 15 se muestra el tiempo en el que se deben reestablecer las
operaciones dependiendo de la organización y las políticas establecidas en las
mismas. Para marcar las opciones seleccionadas en las tablas utilizadas en este
capítulo se utilizará una “X”.
Tabla 14. TIEMPO DE RESTAURACIÓN DE LAS OPERACIONES
_ _RTO_____ RPO
0-30 Minutos
30 Minutos -2 Horas
2-6 Horas
6-12 Horas
12-24 Horas
24-48 Horas
48<X horas
Recuperación de correo electrónico X
Recuperación de Información digital de clientes
X
Recuperación de Servidores X
Recuperación de equipos operativos para Auditores encargados
X
Recuperación de equipos operativos para Auditores asistentes
X
ELABORADO POR: Erika Betancourt, Francisco Salguero
Recuperación de correo electrónico
67
El impacto que genera la perdida de correo electrónico es alto, considerando que
se puede perder la comunicación con el cliente y perjudica la imagen y de igual
manera la interrelación con el mismo se verá afectada.
El servicio de correo estará activo en un 99,99% considerando que se maneja
correo externo en Gmail por lo que las comunicaciones e información que se
tenga en el correo está prácticamente a salvo en caso de producirse algún
incidente en la empresa, aunque no queda exenta de perdida pero prácticamente
el riesgo es mínimo.
Recuperación de información digital de clientes
La recuperación de la información recopilada del cliente es vital para poder
proseguir con las actividades de auditoría al mismo, sin ella se pierde no
solamente el esfuerzo realizado en el tiempo que se llevó la auditoría sino
también la confianza del cliente lo que genera un gran impacto a la imagen de la
empresa.
Recuperación de servidores
La recuperación de los servidores debe ser inmediata para poder seguir con las
actividades, teniendo en cuenta esto debemos tener un lugar donde poder
levantar los servidores, de manera que los servicios con los que cuenta la
empresa sean levantados uno por uno de manera correcta y seguir obteniendo los
productos correspondientes.
El impacto es menor al tener servidores de replica que se levanten cuando el
principal se cae y es recomendable tenerlo en otro sitio alejado del principal,
aunque implica un alto costo.
Para tener en cuenta el tipo de recuperación de medios físicos es importante
tener en cuenta la magnitud del impacto que se tendrá al producirse el incidente,
68
por lo que es necesario considerar los escenarios de recuperación que se
encuentran establecidos en la Figura 30.
Es importante acorde al cuadro anterior saber elegir el medio de recuperación
teniendo en cuenta que riesgos mantener, mitigar o transferir, siempre teniendo
en cuenta que está en juego la continuidad del negocio.
Figura 29. ESCENARIOS DE RECUPERACIÓN.
ELABORADO POR: Erika Betancourt. Francisco Salguero
DESCRIPCIÓN DE LOS SITIOS:
Sitio en frío (ColdSites)
Este sitio no comprende ni sistemas de comunicación, ni hardware necesario para
levantar inmediatamente un centro de Datos necesario para que al menos las
labores principales se reanuden; es decir solo tenemos el arrendamiento o
compra de un espacio físico (No recomendado en empresas Medianas y
Superiores).
Este tipo de sitios pueden ser utilizados por empresas pequeñas que en su
mayoría tienen equipos portables.
Sitios semi-preparados (WarmSites)
69
En este tipo de sitios tenemos el sistema de comunicaciones y equipos de
servidores y ordenadores parcialmente instalados en el espacio físico arrendado,
es decir se cubre los procesos más críticos a levantar para que el negocio retome
sus actividades casi inmediatamente después del incidente ocurrido.
Sitios preparados (Hot Sites)
El sitio preparado, es en el que tenemos una réplica del Centro de Datos,
principal; es decir que tiene el sistema de comunicaciones en su mayor parte
instalado y arreglo de servidores ya implantado similar al original que al suscitarse
un incidente está listo para que los servicios se levanten en un máximo de 3
horas.
Se debe especificar en el contrato los tiempos inmersos en la recuperación para
ya que si bien se puede realizar una recuperación con un sitio similar en un
máximo de 3 horas se debe especificar en el convenio para que dicho plazo
pueda cumplirse a cabalidad y la empresa contratante pueda continuar prestando
los servicios.
Considerando la magnitud del Site y la cobertura este tipo este contingente tiene a
ser de un costo alto.
Sitio espejo (MirrorSite)
Este tipo de contingencia es uno de los más elevados en costo por su nivel de
cobertura considerando que al igual que el sistema de arreglo de servidores y el
de telecomunicaciones es completo, por lo que el tiempo de recuperación es
mínimo, tan solo depende del tiempo de movilización del personal para el sitio y
completar el levantamiento de servicios de acuerdo a las funciones de los
colaboradores aunque los servicios en línea estarían funcionales prácticamente al
instante.
70
Al ser un sitio espejo, es esencial que tenga la misma infraestructura del sitio
principal, es decir que tanto los servidores, ordenadores e incluso el software que
tenga sea idéntico al principal para que no exista problemas de compatibilidad.
Este tipo de Site alterno es el más recomendado para mantener la continuidad de
negocio, en especial aquellos que manejan información sensible. Es importante
que el sitio alterno esté lo suficientemente alejado del sitio principal para que si
hay un desastre de gran magnitud no exista un fallo de ambos, es decir el
desastre afecte tanto al sitio principal como al secundario (espejo).
Recuperación de equipos operativos para Auditores encargados
La recuperación de las labores depende del trabajo a realizar por lo que hay que
tener en cuenta que los desastres deben ser totalmente o en gran parte
transparentes al cliente final, por lo que es importante que se adquiera equipos
para que estén disponibles al menos para los Auditores encargados y seguir con
el proceso de auditoría y no perder la buena imagen ante el cliente.
Recuperación de equipos operativos para auditores asistentes
La recuperación de equipos para asistentes de auditoría no tiene mayor incidencia
como recuperar equipos para encargados de auditoría pero aun así se tendría
impacto al perder equipos computacionales teniendo en cuenta que también
tienen información valiosa que sustente la auditoría.
71
2.5. DESCRIPCIÓN DEL PLAN DE CONTINUIDAD.
2.5.1. DESCRIPCIÓN DE LA BASE ISO 22301:2013
La Norma ISO de continuidad de negocio acorde a nuestro análisis es la
22301:2012 donde se identifican escenarios y señala la manera de realizar la
gestión correcta frente a incidentes para la continuidad, enfocándose en la
utilización de recursos disponibles para continuar brindando el servicio hasta
regularizar la situación a su estado normal en el menor tiempo posible y el menor
costo.
Se escogió dicha norma ya que engloba los parámetros de gestión como un
sistema lo cual permite enfocarse en la revisión de riesgos para posteriormente
poder estar preparados ante cualquier desastre y el impacto sea mínimo sin que
la interrupción de las actividades normales sea a largo plazo o en gran medida.
Figura 30. CLICLO PDCA APLICADO AL PROCESO DE LA CONTINUIDAD DEL NEGOCIO
FUENTE: ISO 22301
En el año 2012, la Organización Internacional para la Normalización (ISO) publicó
el estándar “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-
72
Requisitos”. Este estándar certificable y auditable capta los principales conceptos
de los demás lineamientos publicados desde 1995.
El estándar ISO 22301:2012 “Seguridad de la Sociedad: Sistemas de Continuidad
del Negocio-Requisitos” aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas
en inglés) para la planificación, establecimiento, implementación, operación,
monitoreo, revisión, mantenimiento y la mejora continua de su efectividad. El
modelo ha sido creado con consistencia con otros estándares de gestión, tales
como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y
con el ISO 28000:2007.”
En la Figura 31. Se puede ver como la norma se enfoca en realizar una mejora
continua para un proceso propio de continuidad de negocio donde se pueda
responder ante cualquier eventualidad negativa que pueda afectar la normalidad
de las actividades.
Figura 31. RELACIÓN ENTRE EL RTO, RPO Y MRPD
FUENTE: ISO 22301
Como muestra la Figura 32.se puede observar que la norma también describe
casos de recuperación y tiempos del mismo proyectándose en las actividades
críticas a recuperar y el tiempo mínimo que debe demorarse por cada una de ellas
73
para que el impacto sea casi imperceptible y se puede volver a la normalidad lo
antes posible.
2.5.2. PLAN DE RECUPERACIÓN DE DESASTRES (DISASTER RECOVERY
PLAN - DRP)
2.5.2.1. Introducción
El plan de recuperación ante desastres es aquel capaz de responder ante
sucesos improvistos que interrumpen o afectan de alguna manera las actividades
normales de una empresa y los servicios que presta interna o externamente, la
característica principal de un plan de recuperación ante desastres es la de
restablecer los procesos y funciones críticas de la empresa.
En los procedimientos descritos en el plan de recuperación ante desastres deben
constar las personas responsables con las funciones que deben cumplir para
poder salvaguardar los recursos correspondientes sean estos: Recurso Humano,
Recursos de Infraestructura, procedimientos y documentación asociada, etc., para
que el impacto sea mínimo en cuanto a la perdida de los recursos mencionados.
2.5.2.2. Descripción del DRP
Objetivos del plan
a) El objetivo más importante de este documento es definir los procedimientos de
recuperación ante la interrupción de la operación de los principales servidores
y la red de comunicaciones.
b) Se ofrece una mayor atención y énfasis en una recuperación ordenada y a la
reanudación de las operaciones de negocio críticas para la empresa, incluido
el apoyo de todos los servicios que dependen de la infraestructura informática.
74
c) Los elementos que conciernen a las computadoras están contempladas, sin
embargo las funciones relacionadas con los servicios prestados al cliente final
por parte del equipo de Tecnología no se abordan.
d) La invocación de este plan implica que la operación de recuperación ha
comenzado y continuará con la máxima prioridad de viabilizar el servicio y
restablecer las operaciones informáticas de la empresa.
Servicios críticos a salvaguardar
Para la preservación de servidores es importante para tener continuidad en
cuanto a los servicios que posee la empresa a nivel interno, en términos
generales los principales servidores y servicios que deben resguardarse son los
siguientes:
· Comunicaciones de red/conectividad, Internet.
· DNS y DHCP.
· Servicio de Correo.
· Controlador de Dominio.
· Servicio de Archivos.
· Servicio de Aplicaciones.
· PCs individuales.
· Servicio de Respaldos de información.
Incidente y contingencia
Este plan de recuperación de desastres se invocará bajo una de estas
circunstancias:
· Un incidente que puede parcial o completamente paralizar las operaciones
del centro de cómputo por un período de 24 horas.
· Un incidente, que ha afectado la utilización de las computadoras y redes
administradas por Tecnología, debido a circunstancias que están más allá
75
del normal procesamiento de las operaciones del día a día. Esto incluye
todos los procedimientos administrativos del Departamento de Tecnología.
Situaciones generales que pueden destruir o interrumpir usualmente un
computador ocurren bajo las principales categorías:
· Interrupción de energía/ variación/ fluctuación
· Fuego
· Agua
· Fenómenos naturales y climáticos
· Sabotaje/vandalismo
· Robo
· Virus
Hay diferentes niveles de severidad las cuales necesitan diferentes estrategias de
contingencia y diferentes tipos y niveles de recuperación. Este plan cubre
estrategias para:
· Recuperación parcial: operación en un sitio alterno y/o en áreas de clientes
de la compañía.
Seguridad física
Por norma y control se debe tener instalados sensores de temperatura, humedad
y humo, además que los servidores, tienen que estar protegidos por UPS’s que
los tengan activos por aproximadamente 15 minutos después de cortes de
energía o hasta levantar la corriente con otro medio alterno de energía.
Energía eléctrica y controles ambientales
Se debe considerar el flujo de corriente eléctrica y ambiente en el sitio donde se
aloja la empresa como tal y donde se alojan los servidores de la misma, siendo un
edificio es necesario contar con diferentes medios para no interrumpir la carga en
76
los equipos pues pueden sufrir daños como pueden ser generadores dedicados y
auxiliares con conexión a UPS’s que resguarden la integridad en carga a los
servidores.
Al considerar los controles ambientales hay que percatarse del a humedad, calor,
y el aire acondicionado no generen aire seco que pueda producir estática pues
esto puede ocasionar una falla eléctrica o cortos energéticos.
Protección ante software mal intencionado
La empresa debe tener un software licenciado y especializado de acuerdo a las
necesidades para la protección de virus y cualquier tipo de software mal
intencionado que quiera atacar la red y los equipos de la empresa; debe existir
una política donde quede por escrito que todos los equipos pertenecientes a la
empresa obligatoriamente deben tener instalado el antivirus empresarial.
2.5.2.3. Preparación ante un desastre
Se describe a continuación los pasos mínimos necesarios para estar preparados
ante un desastre y los procedimientos a implementarse para la recuperación. Una
parte importante es asegurar que el respaldo externo esté correcto y actualizado
así como la documentación de aplicaciones, paquetes de soporte y los
procedimientos operativos.
Procedimientos Generales
Los procedimientos generales de inmediata respuesta ante un incidente deben
contener un cronograma que valide tiempos de recuperación y fases para
progresivamente retomar la continuidad normal del negocio y en función de cómo
está categorizado y le alcance de daños que tenga dicho incidente.
77
2.5.2.4. Planes de Recuperación
En función del plan de continuidad de negocio como tal se formula el plan de
recuperación con los sub planes auxiliares que aportan a la recuperación integra
ante el incidente producido.
Plan de Recuperación de los Servicios del Centro de Cómputo
El plan de recuperación de servicios como tal debe iniciar inmediatamente de la
ocurrencia del incidente al ser necesario el uso del sitio alternativo y/o cuando el
incidente haya afectado parte del sitio principal y puedan reanudarse las
operaciones en un tiempo razonable.
En cualquiera de los 2 casos se debe determinar lo siguiente:
· Determinar el alcance de el/los incidente/s.
· Determinar gastos implícitos para recuperación.
En el caso de necesitar el sitio alternativo se debe considerar ciertos aspectos:
· Informar al responsable externo del sitio alternativo para poner en
marcha la utilización del mismo.
· Organizar el movimiento de los equipos de apoyo al sitio alternativo.
· Establecer operaciones de servicios en el sitio alternativo.
· Organizarlos planes a largo plazo y apoyo de soporte.
78
2.6. GUIA DE PROCEDIMIENTOS DEL PLAN.
2.6.1. DEFINCIÓN DE LA SITUACION ACTUAL
Se debe determinar los componentes, facilidades, herramientas y demás
características actuales de la empresa para en función de ella describir los
procesos críticos a levantar y con ellos describir las áreas y/o dispositivos
primarios a levantar.
2.6.1.1. Descripción de procesos levantados
Se debe detallar los procesos enlistados y los dispositivos asociados a poner en
marcha para la continuidad, se debe considerar tanto los servidores como los
equipos para el personal correspondiente que lo utiliza identificando el personal
más crítico que deba obtener los equipos en primera instancia.
2.7. SOCIALIZACIÓN DEL PLAN
Figura 32. SOCIALIZACIÓN DEL PLAN
¿POR QUÉ SOCIALIZAR EL PLAN?PLANIFICACIÓN DE
RECURSOS HUMANOS
CAPACITACIÓN
Detalle de cursos y horas para la socialización del
plan
Documentación de campañas, charlas,
personas involucradas.
2.7.1. ¿POR QUÉ SOCIALIZAR EL PLAN?
79
Un plan de continuidad de negocio no tiene sentido ni valor al solo mantenerlo
documentado si el personal de la empresa no tiene un conocimiento adecuado de
los procedimientos que se detallan en el mismo para están preparados ante
eventualidades que puedan suscitarse y afecten la continuidad del negocio; es
decir, si el personal no tiene una capacitación adecuada de lo que es el plan de
continuidad del negocio no existirá una gestión adecuada en un caso contingente
lo cual puede afectar potencialmente a la empresa.
2.7.2. PLANEACIÓN DE RRHH.
Se debe tener un plan para la capacitación al personal que labora en la empresa
tanto los colabores nuevos como los que ya tienen tiempo trabajando en la
organización, describiendo los riesgos potenciales que incurren al no tener
conciencia clara de lo que es un plan de continuidad del negocio y lo importante
que es cada colaborador para la eficiencia y eficacia del mismo y éste pueda
cumplirse a cabalidad minimizando el riesgo potencial en la empresa.
2.7.3. CAPACITACIÓN.
Se debe implementar campañas continuas donde se detallen aspectos de los
procedimientos del plan de continuidad de negocio de manera que los
colaboradores vayan continuamente familiarizándose y empoderándose del tema
siendo ellos la parte fundamental para que el plan se lleve a cabo.
Se debe dar charlas prácticas donde se enuncien escenarios de contingencia y
dar las respuestas a eventos críticos de tal manera que el personal pueda estar
preparado ante cualquier eventualidad.
Se debe establecer brigadas y capacitar a los miembros para los casos de
contingencia, donde se pueda determinar personas idóneas con actitud y aptitud
de poder responsablemente en caso de que se produzca un incidente.
80
CAPITULO 3.
VALIDACIÓN DEL PLAN.
Una vez realizado el plan de continuidad se procede a validar el plan en un caso
de estudio escogido para realizar las pruebas correspondientes, adaptando el
plan a la empresa para determinar los puntos críticos a proteger y se puedan
continuar con las labores y actividades normales sin interrumpir propiamente a los
colaboradores siguiendo con el Core del negocio.
El caso de estudio al que se aplicará el plan de continuidad será EKBC & JFSV
Donde enfocaremos los planes y actividades a realizar para salvaguardar la
integridad del negocio y no se pierda continuidad en las labores de los
colaboradores.
3.1. PREPARACION DE CASOS DE CONTINUIDAD.
IDENTIFICACION DE PROCESOS A RESPALDAR
EKBC & JFSV como tal es una empresa de auditoría donde su proceso principal
es la Gestión Operativa de auditoría. Como se muestra en la Tabla 16 se han
Priorizado las actividades a desarrollarse.
Tabla 15. PRIORIZACIÓN DE LAS ACTIVIDADES
Actividades Prioridad
1 2 3
Desarrollo de Negocios
X
Gestión de Auditoría X
Facturación X ELABORADO POR: Erika Betancourt, Francisco Salguero
81
Los procesos que tienen relación directa, es decir que están íntimamente ligados
solo al proceso principal de auditoría son los que se encuentran listados en la
Tabla 16.
Tabla 16. PERSONAL NECESARIO PARA ESTABLECER LA CONTINUIDAD DE LAS OPERACIONES
Personal Actividades que debe
cumplir
Prioridad
1 2 3
Contralor Encargado del Área de
Contraloría y sus procesos
X
Asistente Contable Encargado de la Nómina. X
Asistente Contable Encargado de la
Facturación.
X
Cobranzas Encargado de gestionar
las cuentas por cobrar
X
Auditores Sénior Encargado de Dirigir el
proceso de Auditoría
X
Asistentes de
Auditoría
Equipo de apoyo en el
proceso de Auditoría
X
ELABORADO POR: Erika Betancourt, Francisco Salguero
El proceso Principal de Auditoría (operaciones) es importante porque es el
servicio fundamental que posee la empresa para generar entradas económicas.
A este proceso lo ayudan y alimentan el proceso de Desarrollo de Negocios que
es el que se encarga de vender el servicio y persuadir al cliente de que se
realizará un buen trabajo; y el Sub-proceso de facturación que viene a ser parte
de contraloría donde se emite la factura en base al presupuesto estipulado para
realizar dicho trabajo.
Lista el personal operativo con el que se debería contar para reanudar las
operaciones en caso de un incidente o desastre natural se encuentra listada en la
Tabla 17.
82
Establece las prioridades de los servicios proporcionados por los sistemas
utilizados dentro de la empresa. A continuación en la Tabla 18. Se detalla
información relevante de dos de los sistemas más importantes.
Tabla 17. SISTEMAS DE INFORMACIÓN REQUERIDOS PARA LA CONTINUIDAD DE OPERACIONES
Sistemas/Aplicaciones Prioridad
1 2 3
Microsoft Excel y Word X
BTS X
Sistema de nómina X
ATP X
ELABORADO POR: Erika Betancourt, Francisco Salguero
Sistema ADMBTS
Aplicación Financiero contable cuenta con los módulos de contabilidad,
facturación, Cuentas por pagar (emisión de cheques), Cobranzas y Nómina.
Los motores de BDD son Firebird 2.0 e IB Access con la versión 2.0
Corre bajo el Sistema Operativo XP.
APT (Audit ProcessTool)
Herramienta que registra los ciclos del proceso de autoría, requiere como
requisitos previos tener instalado Microsoft Office Groove e InfoPath sp2. Se
cuenta con una licencia por máquina y el Software es administrado por Bruselas.
83
Activos Tecnológicos
Tabla 18. DESCRIPCIÓN DE LOS ACTIVOS TECNOLÓGICOS
Sistemas/Aplicaciones Prioridad
1 2 3 Computadores Portátiles
X
Teléfono X Fax X Impresora X Scanner X
ELABORADO POR: Erika Betancourt, Francisco Salguero
La Tabla 19. Contiene un detalle de los activos tecnológicos necesario para la
puesta en marcha de las operaciones de la empresa.
Mobiliario & Material de oficina
Tabla 19. MATERIAL MOBILIARIO
Mobiliario Prioridad
1 2 3 Estación de recepción
X
Sillas X Escritorios/Mesas X
ELABORADO POR: Erika Betancourt, Francisco Salguero
Tabla 20. MATERIAL DE OFICNA
Materiales de Oficina
Prioridad
1 2 3 Hojas de Papel
Bond X
Bolígrafos X
84
Toners color negro X
ELABORADO POR: Erika Betancourt, Francisco Salguero
En las Tablas 20 y 21 se establece un detalle del mobiliario básico y los artículos
de oficina con el que se debe contar para reanudar las operaciones.
Material de Referencia
Tabla 21. MATERIAL DE REFERENCIA
MATERIAL Prioridad
1 2 3 Listado de Clientes X
Listado de Proveedores X Facturas Impresas X Facturas No Impresas X Procedimiento de Facturación X Dos últimos roles de pagos X Procedimiento Pago de Nómina X Listado de los clientes con pagos pendientes X
ELABORADO POR: Erika Betancourt, Francisco Salguero
En la tabla 22 se detalla el material de referencia a ser usado en caso de la
ocurrencia de un incidente.
3.1.1. IDENTIFICACIÓN DE ESCENARIOS
Cabe mencionar que si al provocarse una catástrofe en Quito se pierde también
los servicios proporcionados en Guayaquil ya que EKBC & JFSV. Cuenta
únicamente con un enlace de datos entre Quito y Guayaquil, siendo la sucursal de
Quito la encargada de proporcionar los servicios de Internet y conexiones
generales, es decir si Quito pierde continuidad toda la empresa lo hace.
Por ende se han tomado los principales escenarios que pueden afectar la
continuidad de los servicios ofrecidos por la sucursal de Quito de EKBC & JFSVy
estableciendo los posibles riesgos asociados a estos escenarios.
85
Casos:
Tabla 22. ESCENARIO - INCENDIO
Riesgo Incendio
Probabilidad Posible
Impacto Alto
Escenario
En el caso de incendio que se suscite sea en el edificio
Londres o en su defecto en las oficinas de EKBC &
JFSV; las pérdidas que se generan para la empresa
serían: humanas, información, servicios y activos, ya que
existe personal administrativo que se encuentra laborando
de planta en oficinas de la Firma, los cuales serían
afectados en primera instancia.
Además en caso de presentarse un connato de incendio
este provocaría la pérdida del Centro de Datos que está
ubicado en el quinto piso del edificio Londres en un cuarto
pequeño el cual se destruiría completamente con el
incendio provocando la pérdida de información y los
servicios prestados pues los servidores centrales se
arruinarían y con ellos todo su contenido dando como
resultado una pérdida total de la información.
El edificio Londres no cuenta con escaleras de
emergencia para casos de incendio, siendo las escaleras
internas la única vía de evacuación.
Afectación
El riesgo de Incendio encontrado dentro de las
instalaciones de EKBC & JFSV es alto ya que las oficinas
están aprovisionadas con alfombras de material
86
inflamable, las mismas que en caso de suscitarse un
connato de incendio servirían para la propagación de
fuego de manera más rápida devastando completamente
el lugar.
Otro factor de riesgo en el caso de incendio son las
divisiones de las áreas las mismas que son de madera y
vidrio las cuales no solo ayudan a la propagación del
fuego si no que representan un peligro para las personas
que se encuentren en el interior de las instalaciones
debido a las explosiones de los vidrios causando lesiones
graves al personal. Adicional a esto se debe considerar el
almacenaje cartones que contienen la información
obtenida durante las visitas a los clientes para su
posterior revisión y envío a bodega, estos files son
apilados en el área del Staff (espacio designado para el
equipo de auditoría), debido al giro del negocio.
Acción
Implementar extintores de espuma para inhibir la
combustión de las alfombras y en el Data center al menos
tener un extintor de anhídrido carbónico los cuales
contrarrestan la combustión de las alfombras y protegen
los equipos electrónicos.
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
87
Tabla 23. ESCENARIO - TERREMOTO
Riesgo Terremoto
Probabilidad Probable
Impacto Muy Alto
Escenario Las instalaciones de EKBC & JFSV Están ubicadas en el edificio Londres el mismo que tiene 40 años de construcción, por lo cual en caso de producirse un terremoto, dependiendo de la magnitud podría producir la pérdida parcial o total de las instalaciones. Una vez determinando el impacto que puede generar en EKBC & JFSV y al evaluar la magnitud de los daños provocados, podemos decir que riesgo asociado es alto ya que al destruirse el edificio y por ende los accesos al piso en el que se encuentran las oficinas se puede presentar pérdida de bienes materiales así como de vidas humanas, y la pérdida inminente de los servicios ya que el Centro de Datos se verá afectado a gran escala ya que los equipos en donde se aloja la información y los servicios pueden presentar daños provocando así la perdida de continuidad de los mismos.
Afectación
Dependiendo el grado de magnitud del terremoto puede
causar que se cuarteen o caigan las paredes con bajo
nivel de destrucción (recuperable sin incidencia
catastrófica) o puede ser una destrucción completa de las
oficinas residentes.
Acción
Independientemente del grado o magnitud del terremoto
la acción por parte del brigadista encargado es de ayudar
a otros a evacuar el edificio evitando primordialmente
pérdidas humanas y de ser posible los equipos de
computación (anteponer la vida antes que los equipos).
Responsable
Brigadista
88
ELABORADO POR: Erika Betancourt, Francisco Salguero
Tabla 24. ESCENARIO - FALLA DE ENERGÍA
Riesgo Fallas de energía
Probabilidad Posible
Impacto Media
Escenario
En el edificio Londres existe planta de energía que es
utilizada como contingencia en caso de la suspensión
normal del servicio eléctrico. Al evaluar el riesgo
relacionado a los eventos de fallas en el servicio
eléctrico, encontramos que se pueden presentar
problemas en los equipos alternos como UPS’s,
bypass o daños en la planta de energía.
Al fallar los UPS’s se puede tener un fallo global de
todos los equipos electrónicos conectados a los
mismos lo cual genera una pérdida sustancial en la
parte de activos, además de la información contenida
en los equipos.
La configuración del bypass en caso de que no se
encuentre bien realizada puede provocar que no
encienda la planta de manera automática. Esto puede
provocar la suspensión de los servicios y la no
operatividad normal de las empresas por un periodo
considerable de tiempo.
Las fallas de energía afectan directamente a los
equipos electrónicos, pueden ocurrir fallas que
provoquen corto circuito y generar incendios, o en su
defecto afectar directamente a un colaborador
pudiendo ser electrocutado por descarga eléctrica.
89
Afectación
La afectación puede ser Leve o Severa dependiendo
del escenario, en el caso del Apagón puede quedar
solamente en la discontinuidad de los servicios, por
otro lado también pueden quemarse los equipos no
solo los UPS sino los servidores en sí.
En caso de que se produzca in incendio la afectación
se vuelve más severa y caeríamos en el caso de
riesgo por incendio
Acción
Implementar UPS especiales que soporten grandes
cargas de energía de modo que no se produzca un
apagón de los servidores y estos no resulten
afectados; en adición tener en cuenta la acción del
riesgo de incendio.
Responsable
Departamento de Tecnología
ELABORADO POR: Erika Betancourt, Francisco Salguero
90
Tabla 25. ESCENARIO - ROBO
Riesgo Robo
Probabilidad Posible
Impacto Alto
Escenario
La afectación que se produce directamente a los activos
empresariales de los insumos que los colaboradores
utilizan para el trabajo diario como las portátiles, módems
y demás insumos; lo cual perjudica económicamente a la
empresa y pone en riesgo la seguridad de los datos
almacenados en medios electrónicos: portátiles,
memorias USB, discos duros y cualquier otro medio que
contenga información de los clientes visitados por los
colaboradores de EKBC & JFSV.
Afectación
El robo de equipos a los miembros de la empresa, por lo
general los auditores considerando el hecho que son los
que más movilizan equipos computacionales, en este
caso la afectación recae severamente por la información
de “el/los” clientes que posee el auditor en el computador
a su cargo.
Acción En el caso de robo interno, se debe tener alarmas a más de las cámaras de seguridad y tener cuidado con el ingreso de personal ajeno a la empresa para estar pendientes que se trate de un agente de confianza. En el caso de robo externo, es importante que los auditores consideren el hecho de ir en taxis con los que tiene convenio la compañía al movilizarse con equipos computacionales.
Responsable
Todo el personal
ELABORADO POR: Erika Betancourt, Francisco Salguero
91
Tabla 26. ESCENARIO - FALLO DE RED
Riesgo Falla de red
Probabilidad Posible
Impacto Media
Escenario
EKBC & JFSV Cuenta con un enlace de Datos de
Quito a Guayaquil, por lo que un fallo de red no
debería ocurrir, en caso de ser lo contrario se pierden
los servicios que la sede en Quito como central provee
a Guayaquil además de que los colaboradores tienen
sus carpetas en red con la información de los clientes
visitados a los cuales acceden vía FTP.
Una falla de red, aunque no es crítica se la considera
importante puesto que los colaboradores que acceden
a las carpetas en red para ver su información y los
colaboradores que están en oficina.
Afectación
El efecto que causa las fallas en la red es netamente con los sistemas de información, ya que si los servidores están haciendo rutinas automáticas de respaldos o incluso el personal está haciendo sus respaldos propios puede generar conflicto o fallas al generar la información respaldada, además de errores en la comunicación.
Acción
Proteger y resguardar el Data center, cambiando los
cables periódicamente y haciendo mantenimiento de
los equipos para que reducir el impacto al suscitarse
dicho problema.
Responsable Departamento de tecnología
ELABORADO POR: Erika Betancourt, Francisco Salguero
92
Tabla 27. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN COMPUTACIONAL
Riesgo Ataques al sistema de información computacional
Probabilidad Poco Probable
Impacto Alto
Escenario
Para EKBC & JFSV Salvaguardar y mantener integra la
información de los clientes visitados, ya que los papeles
de trabajo que generan los colaboradores de su trabajo
en campo son esenciales para visitas futuras.
La empresa no se puede dar el lujo de que los datos
almacenados sean alterados o substraídos por gente que
quiera ganar los clientes enfocando un mejor resultado y
utilizando dicha información a su conveniencia.
Afectación
Al tener plagio de información propia de la empresa o
información de otras organizaciones a las cuales se les ha
realizado la auditoría ponemos en riesgo no solo a dichas
organizaciones sino a la Empresa como tal por el factor
de desconfianza que generaría dicho plagio lo que
terminaría en pérdida de clientes.
Acción
Implementar IDS u otros sistemas para prevenir y detectar
ataques de piratas informáticos.
Responsable
Departamento de tecnología
ELABORADO POR: Erika Betancourt, Francisco Salguero
93
Tabla 28. ESCENARIO - RIESGO OPERACIONAL
Riesgo Riesgo Operacional
Probabilidad Altamente probable
Impacto Muy Alto
Escenario
Este tipo de riesgo se relaciona directamente con el giro
del negocio, el riesgo operacional se encuentra ligado a
los eventos fortuitos que pueden presentarse en el lapso
de tiempo que se realiza la auditoría, estos problemas
pueden presentarse por:
Incumplimientos de contratos y por ende litigios legales,
emisión de opiniones erróneas que pueden provocar el
cierre de las operaciones de la Empresa auditora.
El riesgo Operacional es alto, ya que en el caso que se
emita una opinión errónea se puede dar por terminado el
funcionamiento de la Firma
Afectación
La severidad de impacto es la más alta considerando que
si se produce el riego, lo posible es que se pierda
prestigio de la imagen propia de la empresa y por ende se
perdería clientes a gran escala por lo cual la afectación de
darse este riesgo es inminentemente catastrófico.
Acción
Planificar bien la auditoría para mejorar tiempos de
desarrollo de la misma teniendo en cuenta que se debe
tener un lenguaje cordial sin emitir juicios porque el
auditor no juzga.
Responsable
Socios-Auditores
ELABORADO POR: Erika Betancourt, Francisco Salguero
94
Tabla 29. ERUPCIÓN DE VOLCÁN
Riesgo Erupción de Volcán
Probabilidad Improbable
Impacto Alto
Escenario
El Data Center de. EKBC & JFSV No tiene una adecuada
medida de expulsión de polvo o ceniza, considerando que
está en un espacio reducido donde solo existe 1 rack con
los servidores expuestos a los residuos como polvo, smog
más aun con ceniza volcánica la cual se puede filtrar por
el conducto de expulsión de calor y dañar los equipos.
Afectación
La ceniza que bota el volcán puede alojarse en los
servidores al ser llevado por el viento entrando por los
ductos de ventilación además de acabar con gran parte
de la ciudad
Acción
Evacuar el edificio lo antes posible siendo los brigadistas
responsables los que ayuden a la gente a salir a un sitio
seguro.
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
95
3.2. EJECUCIÓN DE LOS PROCEDIMIENTOS.
3.2.1. POLÍTICA DE CONTINUIDAD DEL NEGOCIO
3.2.1.1. Objetivo
La premisa de crear la política de continuidad del negocio tiene como finalidad la
protección y seguridad tanto de los activos de la empresa como de los recursos
humanos.
3.2.1.2. Respaldos de Información
Los colaboradores de EKBC & JFSV, deben realizar los respaldos de información
de manera ser frecuentes, los respaldos son de manera manual, por lo que toda
información que el senior crea necesario deberá ser almacenada en el servidor de
archivos y de manera automática en google drive (seniors y asistentes).
3.2.1.3. Roles y Responsabilidades
Las tareas que se realizarán de recuperación cuentan con el detalle de seguir
ciertas normas y pasos de acuerdo a la definición de recuperación, esto es seguir
el plan de recuperación ante desastres (DRP) de acuerdo a las brigadas
establecidas en cuanto a responsabilidades de salvaguardar el recurso humano y
recurso tecnológico.
Los roles estarán designados en los planes de recuperación y cada colaborador
debe tener presente la manera de actuar ante los incidentes y las tareas a
realizas según las responsabilidades designadas a él/ella.
96
3.2.1.4. Pruebas
Se debe probar continuamente el plan de continuidad de negocio, dejando
documentado sea en actas o bitácoras con los resultados obtenidos de dichas
pruebas.
El plan deberá ser probado de manera integral, es decir en su completitud y cada
tópico para cubrir las áreas mencionadas y re-estructurar el mismo si es
necesario. Es necesario probar el plan para poder definir tareas, situaciones,
características, sub planes que ayuden a mejorar el plan en función de los
resultados obtenidos anteriormente y así poder cubrir todas las brechas
correspondientes.
Teniendo las premisas, se debe considerar una política y/o procedimiento para
realizar las pruebas del plan de continuidad.
3.2.1.5. Consideraciones Generales
La política como tal es creada para que los colaboradores se sientan
comprometidos a ser parte del mejoramiento continuo y de la continuidad como tal
del negocio, siendo que los mismos conforman la empresa. La política sustenta
principios que deben basarse en el entendimiento de los riesgos que
inherentemente posee un negocio y dar a conocer los lineamientos a seguir para
salvaguardar las vidas y continuar con las operaciones regularmente.
a) Cada nuevo colaborador de la empresa debe tener conocimiento
respecto a los planes de desastres y continuidad del negocio.
b) Existirá un área de control para poder tener mejoramientos continuos
(actualizaciones a la política)
c) Se consideraran las pruebas frecuentes para medir el nivel de madurez
de conocimiento de los planes en casos de emergencia.
97
d) Existirán personas elegidas para cumplir ciertas funciones en caso de
una emergencia de nivel geológico.
e) Se capacitará al personal en función de las laboreas a desempeñar una
vez que se pueda suscitar alguna emergencia.
3.2.2. DESCRIPCIÓN DEL DRP
3.2.2.1. Objetivos del Plan
a) El objetivo más importante de este documento es definir los procedimientos de
recuperación ante la interrupción de la operación de los principales servidores
y la red de comunicaciones. Esta interrupción podría ser por daños severos al
centro de cómputo principal de EKBC & JFSV (Quito) o por incidentes
menores que provoquen interrupción a su normal operación.
b) Se ofrece una mayor atención y énfasis en una recuperación ordenada y a la
reanudación de las operaciones de negocio críticas para la empresa, incluido
el apoyo de todos los servicios que dependen de la infraestructura informática.
Se tiene en cuenta la recuperación en un plazo razonable y dentro de las
limitaciones del costo.
c) Los elementos que conciernen a las computadoras están contempladas, sin
embargo las funciones relacionadas con los servicios prestados al cliente final
por parte del equipo de Tecnología no se abordan.
d) La invocación de este plan implica que la operación de recuperación ha
comenzado y continuará con la máxima prioridad de viabilizar el servicio y
restablecer las operaciones informáticas de la empresa.
3.2.2.1.1. Servicios Críticos A Salvaguardar
Es esencial definir los servicios que se debe preservar para la continuidad, lo
siguientes son los servicios de tecnología críticos de EKBC & JFSVy están
dispuestos en orden de prioridad de recuperación:
98
· Comunicaciones de red/conectividad, Internet.
· DNS y DHCP.
· Servicio de Correo (Servicio actualmente externalizado para alta
disponibilidad y continuidad, infraestructura fuera de oficinas).
· Controlador de Dominio.
· Servicio de Archivos.
· Servicio de Aplicaciones.
· PCs individuales.
· Servicio de Respaldos de información.
3.2.2.1.2. Incidente y Contingencia
Este plan de recuperación de desastres se invocará bajo una de estas
circunstancias:
· Un incidente que puede parcial o completamente paralizar las operaciones
del centro de cómputo de EKBC & JFSVpor un período de 24 horas.
· Un incidente, que ha afectado la utilización de las computadoras y redes
administradas por Tecnología, debido a circunstancias que están más allá
del normal procesamiento de las operaciones del día a día. Esto incluye
todos los procedimientos administrativos del Departamento de Tecnología.
Situaciones generales que pueden destruir o interrumpir usualmente un
computador ocurren bajo las principales categorías:
· Interrupción de energía/ variación/ fluctuación
· Fuego
· Agua
· Fenómenos naturales y climáticos
· Sabotaje/vandalismo
· Robo
· Virus
99
Hay diferentes niveles de severidad las cuales necesitan diferentes estrategias de
contingencia y diferentes tipos y niveles de recuperación. Este plan cubre
estrategias para:
· Recuperación parcial: operación en un sitio alterno y/o en áreas de clientes
de la compañía.
3.2.2.1.3. Seguridad Física
a) QUITO
El centro de cómputo tiene una puerta con una cerradura de una sola llave, sólo
personal de Tecnología tiene esta llave para ingresar a este sitio.
Se ha colocado un sistema de detección remota de apertura de puertas en el rack
de servidores con el fin de que envíe alertas vía email.
Existe una cámara de seguridad externa que registra el movimiento del personal
en el acceso al centro de cómputo.
b) GUAYAQUIL
El centro de cómputo está cerrado con una cerradura de una sola llave, sólo
personal de Tecnología y de administración de Guayaquil tiene autorización para
ingresar a este sitio.
Ambos centros de cómputo albergan racks, servidores y equipos de
comunicaciones. Estos llegan a ser los centros de las redes de datos de las
oficinas de EKBC & JFSV tanto en Quito como en Guayaquil.
100
Tienen instalados sensores de temperatura, humedad y humo en Quito, dichos
sensores están colocados extintores de incendio para equipos electrónicos en la
parte externa del centro de cómputo.
Los cuartos de servidores, tanto en Quito como en Guayaquil, tienen equipos
UPS; ambos protegen los servidores y principales computadores por
aproximadamente 15 minutos después de cortes de energía.
Tanto en Quito como en Guayaquil los servicios de aire acondicionado y la
iluminación en los cuartos de servidores no están conectados al UPS.
3.2.2.1.4. Energía Eléctrica y Controles Ambientales
Tanto el edificio Londres en Quito, como el edificio La Previsora en Guayaquil
cuentan con centrales generadoras de energía eléctrica autónomas en caso de
ocurrir un prolongado corte de energía del sistema eléctrico público. Esta fuente
de energía alterna alimenta a todo el sistema eléctrico de las oficinas incluyendo a
las unidades de Aire Acondicionado, pero en caso de que las centrales sufran
algún desperfecto y se interrumpa el flujo eléctrico a continuación se contemplan
las siguientes acciones:
Los métodos alternativos de refrigeración serían mediante la apertura del rack y la
puerta del cuarto, así como la puesta en marcha de los ventiladores alternos
existentes en el rack de Quito, mientras que en Guayaquil se debe abrir la puerta
y colocar los ventiladores móviles de confort. De esto se encargaría el personal
del Departamento de Tecnología en Quito y en Guayaquil el personal
administrativo encargado.
Los procedimientos anteriores ayudarían a mantener la temperatura ambiente de
los cuartos en un clima relativamente frío (Quito), pero en el caso de Guayaquil el
ambiente del cuarto de cómputo podría alcanzar un estado muy caliente y se
debería apagar los servidores para precautelar su integridad como último recurso.
101
Los Tecnología de aire acondicionado de Quito y Guayaquil han sido probados
para su normal funcionamiento. Los UPS no ofrecen servicio de energía eléctrica
a las unidades de aire acondicionado en caso de interrupción de energía.
La empresa proveedora de las unidades de aire acondicionado es la encargada
de ofrecer soporte y mantenimiento en caso de darse un desperfecto, la misma
situación es para las unidades UPS. Se tiene un contrato de mantenimiento anual
con cada proveedor para recibir asistencia preventiva y asistencia de emergencia
si es del caso.
3.2.2.1.5. Protección Ante Software Mal Intencionado
El software utilizado para protección contra virus es Symantec EndPoint
Protection el cual provee seguridad virtual del equipo de computación optimizando
el tiempo y rendimiento del ordenador, siendo que se actualiza constantemente
para cubrir la protección en contra de amenazas nuevas y/o desconocidas
además de las ya presentes.
El antivirus se encuentra localizado/alojado actualmente en un servidor que
provee la seguridad a toda la red empresarial de tal manera que un equipo
perteneciente al dominio y que tengan instalado el producto tendrá actualizado su
antivirus contra las amenazas locales o externas (por política todo el personal de
EKBC & JFSV debe tener instalado el antivirus).
3.2.2.1.6. Proveedores
La empresa debe contar con un listado de los números de teléfono y extensiones
de los administradores de cuenta o las personas encargadas de los
mantenimientos de las instalaciones y los equipos. Dentro del listado deben
constar.
· Proveedores de mantenimiento de aire acondicionado.
102
· Proveedores de mantenimiento de los equipos UPS.
· Administradores de las edificios en las locaciones quito y Guayaquil.
· Proveedores de internet (principal y backup).
· Proveedores de los enlaces de comunicación.
· Servicios de correo.
· Soporte de los Sistemas especializados.
3.2.2.1.7. Personal del Equipo de Recuperación
En caso de producirse una falla con los equipos mencionados, la lista para
llamadas de emergencia tendrá que ser utilizada. Las obligaciones generales del
coordinador de recuperación de desastres deben ser discutidas. Los encargados
del equipo de recuperación están asignados en cada oficina y las obligaciones
generales dadas. El líder del equipo hará la asignación de personal en las oficinas
de Quito y Guayaquil, así como de las tareas específicas durante la etapa de
recuperación.
Tabla 30. EQUIPO DE RECUPERACIÓN
NOMBRE CARGO UBICACIÓN Ext. Móvil.
Xxxx Xxxx Gerente de Tecnología Quito 09xxxxxxx
Xxxx Xxxx Ingeniero de Infraestructura Quito 09xxxxxxx
Xxxx Xxxx Controller Quito 09xxxxxxx
Xxxx Xxxx Administración Guayaquil Guayaquil 09xxxxxxx
ELABORADO POR: Erika Betancourt, Francisco Salguero
Las únicas personas autorizadas a declarar el estado de desastre y por ende a
inicializar el plan de recuperación son el Gerente de Tecnología o el Ingeniero de
Infraestructura. Un ejemplo de la referencia con las personas a ser llamadas en
caso de daños se encuentra detallada en la Tabla 31.
103
3.2.1.1. Preparación ante un Desastre
Se describe a continuación los pasos mínimos necesarios para estar preparados
ante un desastre y los procedimientos a implementarse para la recuperación. Una
parte importante es asegurar que el respaldo externo esté correcto y actualizado
así como la documentación de aplicaciones, paquetes de soporte y los
procedimientos operativos.
3.2.1.2. Procedimientos Generales
Las responsabilidades se han dado para garantizar que cada una de las
siguientes acciones se ejecute y para que su actualización sea continúa.
Mantenimiento y actualización semestral del plan de recuperación ante desastres.
Garantizar que todo el personal sea consciente de sus responsabilidades en caso
de un desastre.
Asegurar que las rotaciones programadas de las copias de seguridad periódicas
se están ejecutando, sobre todo para las unidades de almacenamiento
localizadas en sitios externos.
El mantenimiento y la actualización periódica de los materiales de recuperación
de desastres, específicamente la documentación de información almacenada en
sitios de seguridad externos a las oficinas.
El mantenimiento del estado actual de los equipos en los cuartos principales de
servidores.
Informar a todo el personal de tecnología sobre una emergencia y los
procedimientos adecuados de evacuación del centro de cómputo y del
Departamento de Tecnología.
104
Garantizar que los dispositivos de protección contra incendios están funcionando
correctamente y que están siendo revisados periódicamente.
Garantizar que los dispositivos UPS están funcionando correctamente y que están
siendo revisados periódicamente.
Velar por que se mantenga la temperatura adecuada en los centros de cómputo.
3.2.1.2.1. Cronograma General
Sobre la base de la notificación de que un incidente se ha producido en cualquiera
de los servicios informáticos de la compañía, el Coordinador de Recuperación
ante Desastres o el encargado deben notificar a todos los demás funcionarios del
Departamento de Tecnología. La comunicación entre estos miembros es
fundamental para el éxito de la recuperación y restauración ante un desastre.
Si los procedimientos de emergencia no se han invocado, con el indicador de
cuatro horas después de la notificación inicial de un incidente, en cualquiera de
los servicios informáticos, el Plan de Recuperación ante Desastres entrará en
vigor y debe seguir el siguiente cronograma:
Fase 1 - Dentro de 6 horas de la notificación inicial:
· Asegurarse de que todos los funcionarios han sido evacuados del lugar y
que sean tomados lista.
· Asegurarse de que el sitio principal (centro de cómputo UIO) ha sido
asegurado.
· Asegurarse de que las autoridades de seguridad y anti-incendios han sido
notificadas.
· Decidir si se va a reabrir las oficinas principales o se trasladarán a un sitio
alternativo.
· Notificar a todo el personal de Tecnología de un desastre.
105
· El personal de Tecnología ya debe conocer de sus responsabilidades de
recuperación primaria y el envío de un informe.
Fase 2 - Dentro de las 12 horas de la notificación inicial
· Confirmar el financiamiento disponible para los requisitos del plan de
recuperación.
· Notificar a los proveedores de apoyo para recuperación de la catástrofe y el
orden de sustitución del hardware preliminar.
· Iniciar el transporte de suministros y equipos al sitio de recuperación.
· Iniciar el transporte de los medios/Tecnología de recuperación y el
hardware para el nuevo sitio.
Fase 3 - Dentro de las 24 horas de la notificación inicial
· Restauración de las copias de seguridad del sistema y pruebas de
integridad.
· Garantizar la existencia de suficientes suministros en el sitio de
recuperación.
· Llevar todos los dispositivos de recuperación.
· Establecer planes de copia de seguridad de todos los dispositivos
recuperados.
· Notificar a todo el personal de Tecnología y de administración del sitio de
recuperación.
· Inventariar los materiales recuperados del sitio primario.
· Volver a evaluar los daños y las pérdidas en el sitio primario.
Fase 4 - Dentro de las 48 horas de la notificación inicial
· Discutir entre los miembros del Departamento de Tecnología sobre las
causas y resultados.
· Decidir sobre permanecer o trasladarse al sitio de recuperación.
· Preparación para desastres en el sitio de recuperación.
Fase 5 – Dentro de los 7 días de la notificación inicial
106
· Limpieza del sitio primario
· Re - establecimiento del sitio primario
3.2.1.3. Planes de Recuperación
EKBC & JFSV tiene establecidos planes auxiliares para la recuperación ante
desastres realizados por el área de Tecnología.
3.2.1.3.1. Plan de recuperación de ordenadores fijos
Las secretarias de esta unidad deben respaldar su información de la siguiente
manera:
Periódicamente – Se almacenan todos los días los archivos de los clientes a nivel
administrativo. Se deben generar y almacenar los archivos de trabajo en la
carpeta del servidor de archivos asignada. Como plan de copia de seguridad de
respaldos, estos archivos serán respaldados en una unidad de almacenamiento
externa y llevada a la caja de seguridad del banco de manera quincenal.
Cada secretaria es responsable de que sus archivos de trabajo estén alojados en
el servidor.
3.2.1.3.2. Plan Recuperación Y Control Adm BTS
Copia de seguridad completa de los datos de todos los servidores; se realizan
semanalmente copias de seguridad, se transportan electrónicamente los datos
almacenados del sistema ADMBTS a Guayaquil cada semana y en Quito se
graban en medios de almacenamiento para colocarlos en un lugar externo.
Para mayor referencia EKBC & JFSV posee un PROCEDIMIENTO DE
RESPALDOS Y RECUPERACION DE INFORMACION SISTEMA ADMBTS).
107
La información de respaldo de todas las áreas de la firma se encuentra alojada en
una caja de seguridad del Banco Produbanco de la Av. Amazonas y Japón. Ana
Cristina Meneses, Banca Empresarial –Produbanco, Telf. 2999-000 ext. 2343.
3.2.1.3.3. Back Up de Información de Auditores
Actualmente EKBC & JFSV cuenta con un procedimiento de respaldo en cliente
mediante servicio FTP, de tal manera que los auditores tengan su información
respaldada y segura ante algún desastre (daño del computador por medio físico o
virtual) o siniestro.
Los auditores están obligados a respaldar su información diariamente en su
respectiva carpeta FTP ubicada en un servidor. El cumplimiento de esta política
ayuda en la recuperación inmediata de la información por algún desastre que se
produzca con el equipo computacional.
Para mayor referencia EKBC & JFSV posee un PROCEDIMIENTO DE
RESPALDOS FTP EN CLIENTE.
3.2.1.3.4. Plan de Recuperación de los Servicios Principales
Un incidente en la infraestructura de computación y redes del cuarto de servidores
puede poner en marcha este plan en acción. Un incidente puede ser de tal
magnitud que inutilizaría las instalaciones y los planes de un sitio suplente son
obligatorios. En este caso, las secciones del sitio alternativo de este plan deben
estar implementadas. Es evidente que todas las secciones de apoyo importantes
tendrán que funcionar juntas en un desastre, aunque un plan de acción específico
esté escrito para cada sección.
3.2.1.3.5. Plan de Recuperación de los Servicios del Centro de Cómputo
Esta sección del plan de recuperación de los servicios será puesta en marcha
cuando haya ocurrido un incidente que requiera el uso del sitio alternativo, o el
108
daño es tal que las operaciones se pueden restaurar, pero sólo en modo parcial
en el sitio central en un tiempo razonable.
Se parte del supuesto de que un desastre se ha producido y el plan de
recuperación administrativa se debe poner en efecto. El jefe del departamento de
Tecnología tendrá que tomar esta decisión.
En caso de que sea un traslado a un sitio alternativo, o un plan para continuar las
operaciones en el sitio principal, los siguientes pasos generales deben tomarse:
· Determinar el alcance de los daños y si se necesita equipo y suministros
adicionales.
· Obtener la aprobación de los gastos de los fondos para traer todo el
equipo necesario y los suministros.
· Iniciar los procedimientos de compra, si hay una necesidad de la entrega
inmediata de los componentes para los Tecnología informáticos a nivel
operacional, incluso en un modo degradado.
· Si se considera conveniente, consultar con los proveedores de terceros
para ver si se puede obtener un programa de entrega más rápida.
· Notificar a los proveedores de soporte de hardware que se debe dar
prioridad a la asistencia para añadir y / o reemplazar los componentes
adicionales.
· Notificar a los proveedores de soporte de software que se necesita
ayuda de inmediato para iniciar los procedimientos para restablecer los
Tecnología de software.
· Ordenar un adicional de cables eléctricos o de computadores a los
proveedores.
· Pedido urgente de los suministros, formas o medios que puedan
necesitarse.
Además de los pasos generales que figuran al principio de esta sección, las
siguientes tareas adicionales se deben seguir en el uso del sitio alternativo:
109
· Notificar oficialmente de que un sitio alternativo será necesario para una
facilitar los Servicios a los Clientes.
· Coordinar movimiento de equipos y personal de apoyo en el sitio
alternativo con el personal adecuado.
· Colocar los medios de recuperación de los servicios de almacenamiento
externo fuera del sitio alternativo.
· Tan pronto como el hardware esté levantado para ejecutar el sistema
operativo, instalar el software y ejecutar las pruebas necesarias.
· Determinar las prioridades de los programas que deben estar
disponibles y la instalación ordenada de estos paquetes. Estas
prioridades dependen a menudo de la época del mes y del semestre,
cuando el desastre ocurre.
· Preparar los medios de copia de seguridad y el retorno de estos a la
zona externa del lugar de almacenamiento.
· Establecer operaciones de servicios en el sitio alternativo.
· Coordinar las actividades del cliente para garantizar el apoyo a los
puestos de trabajo más críticos cuando sea necesario.
· Dado que la producción se inicia, asegúrese de que los procedimientos
de copias de seguridad periódicas se están siguiendo y los materiales
están siendo objeto de almacenamiento fuera de sitio periódicamente.
· Elaborar planes para asegurar que todos los servicios de apoyo crítico
se están introduciendo progresivamente
· Mantener a la administración y a los clientes informados de la situación,
los avances y problemas.
· Coordinar los planes de largo alcance con la administración, los
funcionarios del sitio alternativo, y el personal del Servicio al Cliente para
coordinar el tiempo de soporte por parte del personal de apoyo continuo.
3.2.1.3.6. Operaciones Degradadas
110
En este caso, se supone que ha ocurrido un incidente, pero las operaciones de
los servicios degradados se pueden configurar en el cuarto de servidores.
Además de generar los pasos que se siguen en cualquier caso, las medidas
especiales deben ser tomadas.
· Evaluar la magnitud de los daños, y si sólo los servicios degradados
puede ser levantados, determinar cuánto tiempo pasará antes de que se
pueda ofrecer un servicio restaurado.
· Reemplazar el hardware que sea necesario para restaurar el servicio a
por lo menos un servicio degradado.
· Realizar la instalación del sistema, según sea necesario para restablecer
el servicio. Si los archivos de copia de seguridad son necesarias y no
están disponibles el sitio principal, se debe recurrir a los respaldos
externos.
· Trabajar con diversos proveedores, según sea necesario, para
garantizar el apoyo en la restauración de servicio completo.
· Mantenga la administración y los empleados informados de la situación,
los avances y problemas.
3.3. ANÁLISIS DE RESULTADOS.
3.3.1. GENERALIDADES
Se realizó un análisis de escenarios posibles de ocurrencia que pueden afectar la
continuidad de negocio como son: incendio, falla de energía, robo, falla de red,
ataques al sistema de información computacional, riesgo operacional y erupción
de volcán.
Se evaluó los distintos casos y el impacto que tendría sobre la empresa que se
utilizó como caso de modelo y se tomaron en cuenta los riesgos más potenciales
que reflejarían un descenso de continuidad en caso de ocurrencia.
111
3.3.2. RESULTADOS
Una vez realizado el análisis en la realidad de la Empresa Auditora EKBC &
JFSV, se ha podido identificar que los escenarios de riesgo con mayor ocurrencia
y ocasionar mayor impacto en el negocio son incendio, robo, falla de red y riesgo
operacional.
Estos escenarios que pueden ocasionar la pérdida de continuidad o
interrupciones en los servicios prestados por EKBC & JFSV. A continuación se
detallan en orden de importancia:
· Riesgo Operacional: En el caso de EKBC & JFSVse tiene un riesgo
operacional considerando que el trabajo propiamente es realizar la
auditoría a diferentes empresas, esto implica que los auditores estén en
gran medida en contacto con los clientes lo que conlleva a tener un trato
apropiado con lenguaje correcto y comunicación acertada caso contrario
pone en riesgo la auditoría como tal.
· Robo: En Ecuador, el índice de delincuencia como tal ha ido creciendo y
nadie está libre de que en cualquier momento pueda ser víctima de un robo
o asalto más aún cuando en su mayoría los auditores tienen que
movilizarse a los clientes con el computador que aun cuando genera un
riesgo de pérdida de información también genera un peligro para la vida de
los auditores.
· Incendio: Teniendo en cuenta que EKBC & JFSV cuenta con instalaciones
de ya varios años y que sus pisos son alfombrados (alfombra inflamable)
está propenso a tener incendios lo que generaría perdida no solo de
información sino de lo más importante que es el recurso humano.
· Falla de Red: Al tener una falla de red puede suscitarse una mala
realización de respaldos de información lo cual genera datos erróneos
almacenados que cuando deban ser utilizados no estarán disponibles o
estarán equivocados.
112
En cuanto a la mitigación de estos escenarios se ha desarrollado el Plan de
Recuperación de Desastres que permite la recuperación de los servicios
tecnológicos que da una pauta para la elaboración de los planes y políticas de
acuerdo a la realidad de la Empresa.
Se ha podido identificar que a nivel Organizacional es necesaria la
implementación de mejoras en cuanto a la seguridad del personal ya que se ha
podido identificar que no se cuenta con un área de Seguridad organizacional y
Salud Ocupacional.
El contar con un área de Seguridad organizacional y Salud Ocupacional ayudará
a que en caso de emergencias ocurridas en los escenarios de riesgo como
incendios o terremotos se pueda actuar de manera eficiente y se eviten así las
pérdidas Humanas. El personal que pertenezca a estas áreas debe contar con
preparación en Primeros auxilios.
En cuanto a la continuidad del negocio, es importante establecer un Comité de
Riesgos, integrado por los responsables de cada área. Es importante la creación
de este comité ya que permite establecer los posibles daños ante un incidente,
establecer las prioridades y valorar si los planes con los que se cuenta son
eficientes. Adicionalmente este comité es el encargado de la actualización,
revisión del plan y establecer pruebas de funcionalidad del mismo.
113
CAPITULO 4.
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES.
Al iniciar con este plan se propone una Propuesta del Plan de Continuidad del
Negocio a EKBC & JFSV. Al finalizar el proyecto presentamos la propuesta y
validación como contenido de este trabajo.
· Nos hemos basado en el estándar ISO 27005:2008, análisis FODA y Análisis
PESTEL para la determinación de riesgos y vulnerabilidades, adicional a esto
se ha analizado la Estructura Empresarial; los Procesos, Productos y Servicios
que EKBC & JFSVofrece, otra área importante que se ha considerado es la
Estructura Tecnológica y las plataformas sobre las que la Empresa Auditora
Trabaja, en base a estas normas, análisis y estudios se han identificado los
Riesgos, Vulnerabilidades y las respuestas que se puede dar ante estos
escenarios.
· Se ha realizado un estudio de la problemática y se visualiza que la empresa, a
pesar de contar con políticas y procedimientos establecidos se encuentra débil
en cuanto a la gestión de riesgos, estos riesgos son en su mayoría Riesgos de
Operación y de Recuperación Tecnológica en caso de desastres o fallos
debido a la falta de documentación de los procedimientos que se deben
seguir.
· Del trabajo realizado se ha podido identificar que los riesgos que generarían
un mayor impacto en el caso de ocurrencia son los siguientes: incendio, robo,
falla de red y riesgo operacional.
· Hemos estudiado la norma ISO 22301:2012, un estándar que nos permite
establecer una propuesta basada en los riegos y vulnerabilidades que se han
identificado en la Empresa, adicionalmente se plantea el aporte que los
miembros de la organización proporcionan en el desarrollo de la propuesta.
114
· En base a esta norma se ha establecido un Plan de recuperación de
Desastres (DRP) que contienen planes parciales para la recuperación de los
servicios y equipos en caso de daños o fallas.
· Se ha desarrollado una guía que permite aplicar los procedimientos y
proporciona los pasos necesarios para aplicar los casos de contingencia.
· Esta guía permite la identificación de riesgos a los que se enfrenta una
empresa que ha implementado diferentes plataformas tecnológicas, permite
identificar cual es la situación actual de la Empresa y en base a ella la
elaboración de planes que permitan mitigar el riesgo. Adicionalmente cuenta
con una guía para la socialización del Plan de Continuidad.
· Se ha validado la guía de procedimientos aplicándolos en la realidad de la
Empresa Auditora EKBC & JFSV; primero se realizó el análisis de riesgos el
impacto que estos riesgos generarían dentro de la Empresa, a continuación se
elaboró el diseño de los procedimientos a seguir los mismos que se enfocan
en la mitigación de riesgos y vulnerabilidades ya identificadas.
115
4.2. RECOMENDACIONES.
En base a los resultados obtenidos en el desarrollo del plan se recomienda:
· Se recomienda elaborar un Plan de Continuidad en base a la norma ISO
22301:2012 ya que proporciona una visión global que puede ser aplicada en
cualquier tipo de empresa como se ha mostrado en el desarrollo de este plan.
· Coordinar con el personal de Recursos Humanos capacitaciones sobre la
ejecución de los planes de contingencia vigentes y los que se desarrollen a
futuro.
· Se recomienda al personal encargado de la Administración del BCP
establecer, definir y socializar las personas que conformarán el comité de
crisis, así como las responsabilidades. Adicionalmente se recomienda la
implementación de una política de actualización del plan y de ejecución de
pruebas del mismo.
· Fortalecer las políticas implementadas en cuanto a respaldos y seguridades en
los equipos de computación que son movilizados. Así mismo documentar los
procedimientos de encendido y apagado de los equipos tecnológicos como las
configuraciones que se encuentran vigentes.
116
·
BIBLIOGRAFÍA
J Gaspar Martínez, Planes de contingencia, La continuidad del negocio en las
organizaciones, Madrid, España, 2004
J Gaspar Martínez, El plan de Continuidad de Negocio: Guía práctica para su
elaboración Madrid, España, 2008
J Chapman, Plan de recuperación de negocios en una semana, Barcelona,
España 2006.
J Martínez Ponce de León, Introducción al análisis de riesgos, México, México,
2002
ISO/IEC 27001:2005 (antes BS 7799-2:2002): Sistema de gestión de la seguridad
de la información.
ISO 22301:2012 Sistemas de gestión & continuidad del negocio
Páginas Web
WIKIPEDIA, (2014, Marzo 30), Plan de continuidad del negocio, Disponible en:
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio,
F Ramírez. L Daza de Montoya, (2014, Junio 20), GESTIÓN DE CONTINUIDAD
DEL NEGOCIO, Plan de Continuidad del Negocio By BIL, Disponible en
http://bilait.co/continuidad/
117
GLOSARIO
Active Directory: Denominado en español como Directorio Activo, se define
como el servicio de directorio de una red de Windows que se convierte en un
medio de organizar, controlar y administrar centralizadamente el acceso a los
recursos de la red. El Active Directory además separa la estructura lógica de una
organización de la estructura física de la misma.
BCP: Acrónimo de Bussines Continuity Plan o también conocido en español como
el Plan de Continuidad del Negocio. Es entendido como las actividades para
recuperar y poder continuar con todas las operaciones de negocio además de las
operaciones de TI luego de la existencia de alguna eventualidad.
BIA: Acrónimo de Bussiness Impact Analysis su propósito es determinar y
entender qué procesos son esenciales para la continuidad de las operaciones y
calcular su posible impacto. Este proceso es parte fundamental dentro de la
elaboración de un Plan de Continuidad del Negocio.
De acuerdo al Business Continuity Institute se tienen cuatro objetivos principales
al realizar un análisis de impacto:
• Entender los procesos críticos que soportan el servicio, la prioridad de cada uno
de estos servicios y los tiempos estimados de recuperación (RTO).
• Determinar los tiempos máximos tolerables de interrupción (MTD).
• Apoyar el proceso de determinar las estrategias adecuadas de recuperación.
Contingencia: Serie de procedimientos alternativos al funcionamiento normal de
una organización, cuando alguna de sus funciones usuales se ve perjudicada ante
la ocurrencia de cualquier eventualidad y minimizar al máximo los impactos que
esta pueda ocasionar.
Disponibilidad: Continuidad de acceso a los elementos de información
almacenados y procesados en un sistema informático.
118
DRP: Acrónimo de Disaster Recovery Plan o también conocido en español como
el Plan de Recuperación de Desastres. Es entendido como las actividades para
recuperar las operaciones de TI, incluyendo las telecomunicaciones, luego de la
existencia de un desastre que se haya dado en una empresa o institución.
Firewall: Es un dispositivo de seguridad, que es parte de un sistema o una red
diseñada para controlar accesos no autorizados, de comunicaciones malignas,
entre sus principales funciones tenemos: filtrado de paquetes y navegación,
traslación de direcciones de privadas a públicas y viceversa, encriptación (VPNs),
Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados.
Incidente: Cualquier evento que no forma parte del desarrollo habitual del
servicio y que causa, o puede causar una interrupción del mismo o una reducción
de la calidad de dicho servicio.
Integridad: Se entiende por integridad el servicio de seguridad que garantiza que
la información es modificada, incluyendo su creación y borrado, solo por el
personal autorizado. Por lo tanto los Sistemas de Información no debe modificar
o corromper la información que almacene, o permitir que alguien no autorizado lo
haga.
Políticas: Es un conjunto de reglas, normas, orientadas a regular cierta actividad,
con el objetivo de cumplir ciertos objetivos que fueron planteados. En informática
uno de los principales objetivos de las políticas es normar o regular la
administración de los recursos tecnológicos y de información.
Proceso: Conjunto de actividades o eventos, coordinados u organizados que se
realizan o suceden (alternativa o simultáneamente) bajo ciertas circunstancias
con el fin de cumplir con un objetivo en específico.
119
Riesgo: Se define como riesgo a la probabilidad de que cualquier eventualidad se
aproveche de las vulnerabilidades de un sistema, de forma que imposibilite el
cumplimento de un objetivo o ponga en peligro a los bienes de la organización,
ocasionándole pérdidas o daños.
UPS: Un UPS es una fuente de suministro eléctrico que posee una batería con el
fin de seguir dando energía a un dispositivo en el caso de interrupción eléctrica.
Los UPS son llamados en español SAI (Sistema de alimentación ininterrumpida).
UPS significa en inglés Uninterruptible Power Supply.
VPN: Red Privada Virtual, es una tecnología de red que permite una extensión
segura de una red local, sobre una red pública o no controlada.
Vulnerabilidad: Punto o aspecto del sistema que es susceptible de ser atacado o
de dañar la seguridad del mismo. Representa las debilidades o aspectos viables o
atacables en el Sistema Informático.
120
ANEXOS
121
ANEXO I
Orgánico Funcional EKBC & JFSV
122
12
3
124
ANEXO II
Topología de la Red de EKBC & JFSV .
12
5
Recommended