escuela politecnica nacional - epn: página de...

I

ESCUELA POLITECNICA NACIONAL

FACULTAD DE INGENIERÍA DE SISTEMAS

PROPUESTA UN PLAN DE CONTINUIDAD DEL NEGOCIO (BCP).

CASO DE APLICACIÓN.

PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN

SISTEMAS INFORMATICOS Y DE COMPUTACION

AUTORES:

BETANCOURT CANCHIGNIA ERIKA FERNANDA

[email protected]

SALGUERO VÉLIZ JUAN FRANCISCO

[email protected]

DIRECTOR:

INGENIERO BOLIVAR OSWALDO PALÁN TAMAYO

[email protected]

QUITO, AGOSTO 2014

II

DECLARACIÓN

Nosotros, Erika Fernanda Betancourt Canchignia Y Juan Francisco Salguero

Véliz, declaramos bajo juramento que el trabajo aquí descrito es de nuestra

autoría; que no ha sido previamente presentada para ningún grado o calificación

profesional; y, que hemos consultado las referencias bibliográficas que se

incluyen en este documento.

A través de la presente declaración cedemos nuestros derechos de propiedad

intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional,

según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por

la normatividad institucional vigente.

Betancourt Canchignia Erika Fernanda Salguero Véliz Juan Francisco

III

CERTIFICACIÓN

Certifico que el presente trabajo fue desarrollado por Betancourt Canchignia Erika

Fernanda y Salguero Véliz Juan Francisco, bajo mi supervisión.

INGENIERO BOLIVAR OSWALDO PALÁN TAMAYO

IV

DEDICATORIA

Dedico mi tesis a mi familia, que nunca ha dejado de creer en mí y ha sido un pilar

fundamental en mi crecimiento, a mis padres Betty y Fernando por su amor

apoyo, a mi sobrinito Julián que ha venido a llenar de alegría mi vida, a mis

amigas que han soportado mis ausencias, a mi amigo Andrés que me ha dado su

apoyo y me ha ayudado a creer en mí.

A las personas que me han tendido la mano, y a las que me han dado la espalda

porque me han ayudado a ser más fuerte.

Erika

V

DEDICATORIA

Dedico mi tesis a todas las personas que han estado apoyándome a lo largo de

mi carrera y mi vida, las que han aportado para bien con sus consejos, su tiempo

y sus ánimos para no dejarme vencer; sobre todo mi madre Rita Emilia que

siempre me ha dado las fuerzas para continuar y no dejarme vencer por los

obstáculos de la vida, a mi novia Katherine que en el poco tiempo que estuvo

apoyándome en mi tesis lo ha hecho de corazón, a mi compañera y amiga Erika

que a pesar de todo hemos podido lograr finalizar nuestra tesis, y a todas las

amigas y los amigos que me han dado sus ánimos y su apoyo incondicional.

Francisco

VI

AGRADECIMIENTO

Agradezco a Dios, que me dio fortaleza durante toda esta etapa de mi vida, a mis

padres Betty y Fernando por su apoyo amor y comprensión, y por darme las

herramientas necesarias para salir al mundo.

A mis hermanas Dayana y Doris que han sido mi fortaleza cuando se me han

acabado las fuerzas.

A mi compañero Juan Francisco por todos los momentos que hemos compartido

durante nuestra vida estudiantil y profesional, y sobre todo por el trabajo que

hemos realizado para culminar con nuestra tesis.

A mis profesores, que a lo largo de este camino me han dado enseñanzas que me

servirán ahora y a futuro.

Erika

VII

AGRADECIMIENTO

Agradezco a Dios por la guía, por iluminar mi camino, mi mente para la realización

de la tesis y por la fuerza que me ha dado para seguir adelante con fe.

Agradezco a mi madre infinitamente por no dejarme caer ni vencer por ninguna

dificultad y poder culminar mi carrera.

Agradezco a todas las personas que han estado ahí en buenas y malas que me

han impulsado a terminar mis proyectos.

Francisco

VIII

CONTENIDO

CERTIFICACIÓN .................................................................................................. III

DEDICATORIA ...................................................................................................... IV

AGRADECIMIENTO .............................................................................................. VI

CONTENIDO ....................................................................................................... VIII

INDICE DE TABLAS ........................................................................................... XIV

INDICE DE FIGURAS ......................................................................................... XVI

RESUMEN ........................................................................................................ XVIII

INTRODUCCIÓN ................................................................................................ XIX

CAPITULO 1. ......................................................................................................... 1

PLANTEAMIENTO DEL PROBLEMA. ................................................................... 1

1.1. RECONOCIMIENTO DEL PROBLEMA. ................................................... 1

1.1.1. MISIÓN DE LA EMPRESA. 1

1.1.2. VISIÓN DE LA EMPRESA. 1

1.1.3. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA. 2

1.1.4. CADENA DE VALOR DE LA EMPRESA AUDITORA. 3

1.1.5. IDENTIFICACIÓN DEL CORE BUSSINESS DE LA EMPRESA. 3

1.1.6. PLANTEAMIENTO DEL PROBLEMA. 3

1.2. DESCRIPCIÓN DEL DEPARTAMENTEO DE TECNOLOGÍA. ................. 4

IX

1.2.1. UBICACIÓN DEL DEPARTAMENTO DE TECNOLOGIA. 4

1.2.2. OBJETIVOS Y FUNCIONES. 5

1.2.3. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA.

11

1.2.4. TOPOLOGÍA DE LA RED DE DATOS DE EKBC & JFSV. 12

1.2.5. EQUIPOS 13

1.2.6. PROGRAMAS 13

1.2.7. SEGURIDAD EN EL DEPARTAMENTO DE TECNOLOGÍA 14

1.2.7.1. Seguridad física. 14

1.2.7.2. Seguridad lógica 16

1.2.7.3. Revisiones de cumplimiento 18

1.2.7.4. Seguridad legal 19

1.2.7.5. Seguridad de información y respaldos 19

1.3. LEVANTAMIENTO DE PRODUCTOS Y SERVICIOS DE LA EMPRESA.

21

1.3.1. PROCESO DE ATENCIÓN AL CLIENTE. 21

1.3.2. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO.

30

1.3.3. PROCESO DE COBRANZAS. 35

1.4. DESCRIPCIÓN DE LOS PROCESOS DE LA EMPRESA. ..................... 38

1.4.1. DESCRIPCIÓN DEL PROCESO DE ATENCIÓN AL CLIENTE. 38

1.4.2. DESCRIPCIÓNDEL PROCESO DE OPERACIONES DE SERVICIO.

39

X

1.4.3. DESCRIPCIÓN DEL PROCESO DE COBRANZAS 41

1.4.4. DESCRIPCIÓN DEL PROCESO DE APOYO ADMINISTRATIVO. 42

1.5. DESCRIPCIÓN DEL PROBLEMA Y NECESIDADES DE CONTINUIDAD.

42

1.5.1. DESCRIPCIÓN DEL PROBLEMA 42

1.5.2. NECESIDAD DE CONTINUIDAD 43

CAPITULO 2. ....................................................................................................... 44

PROPUESTA DEL PLAN DE CONTINUIDAD ..................................................... 44

2.1. LIDERAZGO ........................................................................................... 44

2.2. POLÍTICA DE CONTINUIDAD DEL NEGOCIO. ..................................... 45

2.2.1. OBJETIVO 45

2.2.2. RESPALDO DE INFORMACIÓN 45

2.2.3. ROLES Y RESPONSABILIDADES 46

2.2.4. PRUEBAS 46

2.2.5. CONSIDERACIONES GENERALES 46

2.3. ANÁLISIS DE RIESGO Y VULNERABILIDADES. .................................. 47

2.3.1. IDENTIFICACIÓN DE RIESGOS 47

2.3.1.1. Análisis FODA. 49

2.3.1.2. Análisis PESTEL. 50

2.3.1.3. Matriz de riesgos 51

2.4. ANALISIS DE IMPACTO DEL NEGOCIO. .............................................. 55

XI

2.4.1. DESCRIPCIÓN DEL IMPACTO 55

2.4.2. ESTRATEGIAS DE RECUPERACIÓN. 66

2.5. DESCRIPCIÓN DEL PLAN DE CONTINUIDAD. .................................... 71

2.5.1. DESCRIPCIÓN DE LA BASE ISO 22301:2013 71

2.5.2. PLAN DE RECUPERACIÓN DE DESASTRES (DISASTER

RECOVERY PLAN - DRP) 73

2.5.2.1. Introducción 73

2.5.2.2. Descripción del DRP 73

2.5.2.3. Preparación ante un desastre 76

2.5.2.4. Planes de Recuperación 77

2.6. GUIA DE PROCEDIMIENTOS DEL PLAN. ............................................. 78

2.6.1. DEFINCIÓN DE LA SITUACION ACTUAL 78

2.7. SOCIALIZACIÓN DEL PLAN .................................................................. 78

2.7.1. ¿POR QUÉ SOCIALIZAR EL PLAN? 78

2.7.2. PLANEACIÓN DE RRHH. 79

2.7.3. CAPACITACIÓN. 79

CAPITULO 3. ....................................................................................................... 80

VALIDACIÓN DEL PLAN. .................................................................................... 80

3.1. PREPARACION DE CASOS DE CONTINUIDAD. .................................. 80

3.1.1. IDENTIFICACIÓN DE ESCENARIOS 84

3.2. EJECUCIÓN DE LOS PROCEDIMIENTOS. ........................................... 95

XII

3.2.1. POLÍTICA DE CONTINUIDAD DEL NEGOCIO 95

3.2.1.1. Objetivo 95

3.2.1.2. Respaldos de Información 95

3.2.1.3. Roles y Responsabilidades 95

3.2.1.4. Pruebas 96

3.2.1.5. Consideraciones Generales 96

3.2.2. DESCRIPCIÓN DEL DRP 97

3.2.1.1. Preparación ante un Desastre 103

3.2.1.2. Procedimientos Generales 103

3.2.1.3. Planes de Recuperación 106

3.3. ANÁLISIS DE RESULTADOS. .............................................................. 110

3.3.1. GENERALIDADES 110

3.3.2. RESULTADOS 111

CAPITULO 4. ..................................................................................................... 113

CONCLUSIONES Y RECOMENDACIONES ..................................................... 113

4.1. CONCLUSIONES.................................................................................. 113

4.2. RECOMENDACIONES. ........................................................................ 115

BIBLIOGRAFÍA .................................................................................................. 116

GLOSARIO ......................................................................................................... 117

ANEXOS ............................................................................................................ 120

XIV

INDICE DE TABLAS

Tabla 1. ESCALA DE SEVERIDAD DE RIESGO ................................................. 48

Tabla 2. CALIFICACIÓN DEL RIESGO ............................................................... 48

Tabla 3. ANÁLISIS FODA .................................................................................... 49

Tabla 4. MATRIZ DE RIESGOS ........................................................................... 51

Tabla 5. VALORACIÓN DEL RIESGO ................................................................. 56

Tabla 6. ESCENARIO - INCENDIO ...................................................................... 58

Tabla 7. ESCENARIO - TERREMOTO ................................................................ 59

Tabla 8. ESCENARIO - FALLA DE ENERGÍA ..................................................... 60

Tabla 9. ESCENARIO - ROBO ............................................................................. 61

Tabla 10. ESCENARIO - FALLO DE RED ........................................................... 62

Tabla 11. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN

COMPUTACIONAL .............................................................................................. 63

Tabla 12. ESCENARIO - RIESGO OPERACIONAL ............................................ 64

Tabla 13. ERUPCIÓN DE VOLCÁN ..................................................................... 65

Tabla 14. TIEMPO DE RESTAURACIÓN DE LAS OPERACIONES ................... 66

Tabla 15. PRIORIZACIÓN DE LAS ACTIVIDADES ............................................. 80

Tabla 16. PERSONAL NECESARIO PARA ESTABLECER LA CONTINUIDAD DE

LAS OPERACIONES ........................................................................................... 81

Tabla 17. SISTEMAS DE INFORMACIÓN REQUERIDOS PARA LA

CONTINUIDAD DE OPERACIONES ................................................................... 82

Tabla 18. DESCRIPCIÓN DE LOS ACTIVOS TECNOLÓGICOS ........................ 83

XV

Tabla 19. MATERIAL MOBILIARIO ...................................................................... 83

Tabla 20. MATERIAL DE OFICNA ....................................................................... 83

Tabla 21. MATERIAL DE REFERENCIA ............................................................. 84

Tabla 22. ESCENARIO - INCENDIO .................................................................... 85

Tabla 23. ESCENARIO - TERREMOTO .............................................................. 87

Tabla 24. ESCENARIO - FALLA DE ENERGÍA ................................................... 88

Tabla 25. ESCENARIO - ROBO ........................................................................... 90

Tabla 26. ESCENARIO - FALLO DE RED ........................................................... 91

Tabla 27. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN

COMPUTACIONAL .............................................................................................. 92

Tabla 28. ESCENARIO - RIESGO OPERACIONAL ............................................ 93

Tabla 29. ERUPCIÓN DE VOLCÁN ..................................................................... 94

Tabla 30. EQUIPO DE RECUPERACIÓN .......................................................... 102

XVI

INDICE DE FIGURAS

Figura 1. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA ......................... 2

Figura 2. CADENA DE VALOR DE LA EMPRESA AUDITORA ............................. 3

Figura 3. FUNCIONES DEL ÁREA DE TECNOLOGÍA .......................................... 5

Figura 4. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA 11

Figura 5. TOPOLOGÍA DE RED EKBC & JFSV ................................................... 12

Figura 6. DESCRIPCIÓN DE EQUIPOS DEL CENTRO DE DATOS ................... 13

Figura 7. MACROPROCESOS EKBC & JFSV ..................................................... 20

Figura 8. DESCRIPCIÓN DE SUBPROCESOS ................................................... 21

Figura 9. PROCESO DE ATENCIÓN AL CLIENTE ............................................. 21

Figura 10. GESTIÓN DE DESARROLLO DE NEGOCIOS 1/4. ........................... 22

Figura 11. GESTIÓN DE DESARROLLO DE NEGOCIOS 2/4............................ 23

Figura 12. GESTIÓN DE DESARROLLO DE NEGOCIOS 3/4. ........................... 24

Figura 13. GESTIÓN DE DESARROLLO DE NEGOCIOS 4/4............................. 25

Figura 14. ATENCIÓN A CLIENTE - CLIENTES NUEVOS ................................. 26

Figura 15. ATENCIÓN AL CLIENTE - CLIENTES COMPRAS PÚBLICAS .......... 27

Figura 16. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 1/2. ............. 28

Figura 17. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 2/2 .............. 29

Figura 18. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO .. 30

XVII

Figura 19. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE

AUDITORÍA1/4. .................................................................................................... 31

Figura 20. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE

AUDITORÍA 2/4 .................................................................................................... 32

Figura 21 GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE

AUDITORÍA 3/4. ................................................................................................... 33

Figura 22. GESTIÓN DE LAS OPERACIONES DE SERVICIO- GESTIÓN DE

AUDITORÍA 4/4 .................................................................................................... 34

Figura 23. PROCESO DE COBRANZAS ............................................................. 35

Figura 24. FACTURACIÓN DE CLIENTES - COBRANZAS1/2. ........................... 36

Figura 25. FACTURACIÓN DE CLIENTES - COBRANZAS 2/2 ........................... 37

Figura 26. DIAGRAMA DEL DESARROLLO DEL PLAN DE CONTINUIDAD ..... 44

Figura 27. ANÁLISIS DE RIESGO Y VULNERABILIDADES ............................... 47

Figura 28. DIAGRAMA DE FUENTES DE RIESGO. ............................................ 48

Figura 29. ESCENARIOS DE RECUPERACIÓN. ................................................ 68

Figura 30. CLICLO PDCA APLICADO AL PROCESO DE LA CONTINUIDAD DEL

NEGOCIO ............................................................................................................ 71

Figura 31. RELACIÓN ENTRE EL RTO, RPO Y MRPD ...................................... 72

Figura 32. SOCIALIZACIÓN DEL PLAN .............................................................. 78

XVIII

RESUMEN

Se ha planteado el problema de la continuidad del negocio para una empresa

auditora, se plantea un caso de estudio para realizarlo de manera general y que

aplique no solo al caso de estudio sino a varias empresas El caso de Estudio se

plantea en una empresa utilizando las siglas de los nombres de los elaboradores

de la presente tesis para sigilo de la información.

El presente trabajo se enfoca en la problemática que tienen las empresas para

tener una continuidad en la prestación de servicios y elaboración de sus

productos dando una solución para realizar un plan preventivo de continuidad

para casos emergentes y comunes en el continuo desempeño de funciones.

Se plantea una propuesta como una solución de desarrollo del plan de

continuidad de negocio, donde se pueda aplicar como modelo a seguir; la

propuesta señala y enuncia los respectivos análisis a realizar como el de riesgo e

impacto que pueden generar.

Se presentan diferentes escenarios que pueden suscitarse en cualquier empresa

y pueden ser tomados como referencia para tener planes preventivos frente a

ellos, los cuales nos permiten realizar procesos y procedimientos estándares para

ser validados en el caso de estudio.

XIX

INTRODUCCIÓN

En el capítulo uno detallaremos el reconocimiento y describiremos la empresa de

caso de estudio, siendo el objetivo de la descripción: tener un referente de

eventualidades, procedimientos y perfiles reales donde enfocarnos lo cual nos dio

como resultado el levantamiento de procesos de una empresa real donde

podemos analizar casos eventuales de falencias y mejorar la seguridad de los

mismos. Detallaremos la empresa con el nombre de: EKBC & JFSV.

En el segundo capítulo detallamos los análisis de riesgo e impacto de negocio,

enfocándonos en la ISO 22301 para redactar la guía de los procedimientos a

emplear para realizar el plan y su dicha socialización.

En el tercer capítulo detallamos el plan como tal para la empresa de caso de

estudio, realizando la propuesta modelo con la guía detallada de los sub planes y

procedimientos evaluados en el capítulo dos enfocando en la mejora de seguridad

y prevención contra desastres y discontinuidad de negocio.

El capítulo cuarto detalla las conclusiones a las cuales llegamos al realizar el

análisis para realización del plan y las recomendaciones a tratar al elaborar un

plan de continuidad del negocio.

1

CAPITULO 1.

PLANTEAMIENTO DEL PROBLEMA.

1.1. RECONOCIMIENTO DEL PROBLEMA.

DESCRIPCIÓN DE LA EMPRESA.

Actualmente EKBC & JFSV Cía. Ltda., es una empresa de servicios con 30 años

de trayectoria. Sirve a sus clientes con más de 50 profesionales desde las oficinas

en Quito y Guayaquil con recursos innovadores en la provisión de servicios y la

sensibilidad que les caracteriza para entender la cultura particular de cada

organización.

Están orientados a clientes que aprecian un alto valor agregado al trabajo

profesional. Se esfuerzan permanentemente para atender todos los

requerimientos de organizaciones desde pequeños negocios hasta importantes

empresas multinacionales en una gran variedad de actividades económicas.

Siempre combinan la experiencia, el conocimiento del mercado y condiciones

locales, con la comprensión del contexto internacional.

1.1.1. MISIÓN DE LA EMPRESA.

“Brindar los mejores servicios estándares internacionales EKBC & JFSV”1

1.1.2. VISIÓN DE LA EMPRESA.

“Crecer y desarrollarse ampliamente en las ramas de auditoría y consultoría en el

Ecuador”2

1 Información elaborada por: Erika Betancourt, Francisco Salguero.


2

1.1.

3.

ES

TR

UC

TU

RA

OR

GA

NIZ

AC

ION

AL

DE

LA

EM

PR

ES

A.

La

est

ruct

ura

org

an

iza

cion

al d

e E

KB

C &

JF

SV

se

en

cuen

tra

cla

ram

en

te id

en

tific

ad

a,

la m

ism

a q

ue

se

en

cue

ntra

de

talla

da

en

el

gráfic

o A

dju

nto

(ve

r F

igu

ra 1

.).

Fig

ura

1. E

ST

RU

CT

UR

A O

RG

AN

IZA

CIO

NA

L D

E L

A E

MP

RE

SA

E

LA

BO

RA

DO

PO

R:

Eri

ka B

etan

cour

t, F

ranc

isco

Sal

guer

o.

3

1.1.4. CADENA DE VALOR DE LA EMPRESA AUDITORA.

La cadena de valor de EKBC & JFSV ha sido identificada por los responsables de

los macro procesos y ha sido desarrollada de forma interna, la cadena de valor se

encuentra claramente identificada en la figura adjunta. (Figura 2.)

Figura 2. CADENA DE VALOR DE LA EMPRESA AUDITORA

ELABORADO POR: Erika Betancourt, Francisco Salguero .

1.1.5. IDENTIFICACIÓN DEL CORE BUSSINESS DE LA EMPRESA.

Si bien cada proceso del cual se conforma la empresa es fundamental por el

mismo hecho de ser un órgano para el correcto funcionamiento de la empresa se

ha escogido el proceso de auditoría para a amplios rasgos ser analizado y

detallado para poder minimizar el impacto sobre el mismo.

1.1.6. PLANTEAMIENTO DEL PROBLEMA.

Las oficinas de EKBC & JFSV, tanto en Quito como en Guayaquil, se encuentran

ubicadas en zonas de alto riesgo por lo que es necesario elaborar un plan para

continuar con las actividades del negocio, para de esta forma minimizar el impacto

financiero y mantener imagen que pueda tener la empresa frente catástrofes y su

inmediata recuperación a la vista de sus clientes.

4

1.2. DESCRIPCIÓN DEL DEPARTAMENTEO DE TECNOLOGÍA.

1.2.1. UBICACIÓN DEL DEPARTAMENTO DE TECNOLOGIA.

El departamento de tecnología está ubicada en la oficina principal de Quito, desde

donde residen las sub áreas de auditoría e infraestructura el cual tiene el siguiente

esquema:

· AUDITORÍA TI.

o Gerente de Auditoría TI.

o Sénior de Auditoría TI.

o Asistentes de Auditoría TI.

· INFRAESTRUCTURA.

o Gerente de Tecnología.

o Ingeniero de Infraestructura.

o Asistente de Infraestructura.

El personal administrativo de la Empresa se encuentra ubicado en las dos

ubicaciones antes indicadas y debido a la naturaleza del negocio el personal de

Auditoría Externa realiza trabajo en campo, es decir se encuentran ubicados

geográficamente en las instalaciones del cliente asignado.

El área de Infraestructura es la encargada de proveer los servicios de tecnología

tanto a los clientes internos (área administrativa y Auditoría Externa) de las dos

ciudades.

El espacio físico asignado tanto para el centro de Datos como para el área de

Tecnología es bastante reducido, además el personal asignado es insuficiente

para abarcar todos los requerimientos presentados por los clientes y atenderlos

en un corto lapso de tiempo.

5

Entre los servicios que ofrece a la Empresa el Área de Infraestructura tenemos los

siguientes:

· Servicio de internet.

· Telefonía.

· Mantenimiento de equipos,

· Almacenamiento de información.

· Soporte a usuarios

· Soporte en la herramienta utilizada en el proceso de Auditoría. .

Figura 3. FUNCIONES DEL ÁREA DE TECNOLOGÍA

ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO

1.2.2. OBJETIVOS Y FUNCIONES.

El Departamento de Tecnología como se mencionó anteriormente se divide en

dos áreas; el área de Auditoría TI que se la puede tomar como una línea de

negocio o como un soporte al proceso de Auditoría Financiera, y el área de

infraestructura que divide las responsabilidades en tres (3) cargos de suma

importancia: El Gerente Tecnología, el Ingeniero de Infraestructura y el Asistente

de Infraestructura.

6

Las funciones que desempeña el departamento de Tecnología se encuentran

resumidas en la Figura 3.

1.2.2.1. Gerente de sistemas.

DESCRIPCIÓN DE PERFIL3

TÍTULO DE PUESTO: Gerente de Tecnología

Nivel o Grado: Gerente

OCUPANTE: # Ocupantes 1

LOCALIZACIÓN GEOGRÁFICA:

Quito – Ecuador PREPARADO POR:

Recursos Humanos

DEPENDENCIA JERÁRQUICA:

Gerente General APROBADO POR:

DEPENDENCIA FUNCIONAL:

Oficina UIO FECHA: Abril 23, del 2013

1. MISIÓN (qué, dónde, para qué)

Administrar, monitorear y controlar las actividades relacionadas con Tecnologías de Información y Comunicación (TICs) de EKBC & JFSV, para contribuir al crecimiento y posicionamiento de la Organización.

2. PRINCIPALES RESULTADOS (Responsabilidades Core de la posición)

Imp

ort

anc

ia

ACCIONES (¿Qué hace?)

KPI FINAL ESPERADO

Frecuencia (D,S,M,BM,TM,SM,A)

1

Planificar la estrategia y planes operativos de TICs EKBC & JFSV, para alinear el uso de la tecnología a los objetivos de la Organización.

Plan Operativo Estratégico realizado y aprobado a Mayo 30.

Anual

2

Coordinar la ejecución de proyectos de TICs parl EKBC & JFSV, para proporcionar a la Organización de las herramientas adecuadas para su

100% de la ejecución de la cartera de proyectos aprobados.

Semanal

3 Fuente: Recursos Humanos EKBC & JFSV

7

desarrollo.

3

Administrar, monitorear y controlar el servicio de soporte tecnológico al cliente interno de EKBC & JFSV, para maximizar la continuidad de la operación.

90% de casos de soporte atendidos de acuerdo a políticas (semanal). 87% de satisfacción del cliente interno (mensual).

Diario

4

Administrar, monitorear y controlar el funcionamiento de la infraestructura tecnológica (hardware, software, comunicaciones y seguridad de la información) de EKBC & JFSV.

99,00000 % uptime aplicaciones 99,99999 % uptime redes de comunicación.

Diario

5

Administrar, monitorear y controlar los servicios provistos por terceros, como son: telecomunicaciones, software, aplicaciones, equipos de computación e infraestructura de EKBC & JFSV.

100% cumplimiento de SLA’s de proveedores.

Diario

6

Coordinar el soporte técnico de primer nivel de la herramienta de registro de auditoría, para que la herramienta se encuentre disponible para la Organización.

100% de casos de soporte atendidos de acuerdo a políticas (semanal).

Diario

3. LÍNEAS DE SUPERVISIÓN(A quién supervisa)

Ingeniero de Infraestructura Jr.

4. ORGANIZACIÓN (Puestos que dependen jerárquicamente)

8

5. INTERRELACIONES

Participa en: Comités estratégicos. Comités QAR (Quality Assurance Review). Comité selección de soluciones. Reuniones de Área. Contactos relevantes Internos Externos Socios Gerente General Socios de auditoría Staff de Auditoría Gerentes Departamentales Colaboradores

Clientes Proveedores Gerentes de Firmas Relacionadas Organismos de control (SIBS) Asociaciones de Estándares (ISACA)

6. PRINCIPALES CONOCIMIENTOS, EXPERIENCIAS Y HABILIDADES

Formación Académica: Obligatorio: Título de Tercer Nivel en Ingeniería de Sistemas e Informática, Ingeniería de TICs, Bachellor TI. Deseable: Cuarto Nivel en Administración de Negocios, Gerencia o gestión de Tecnología, Auditoría de Tecnología. Conocimientos Técnicos: Sólidos conocimientos de administración en ambientes Windows Server. Sólidos conocimientos de administración de redes y telecomunicaciones en ambientes Windows Server, Linux, Cisco y D-Link. Sólidos conocimientos de Administración de Seguridad bajo ambientes Linux. Sólidos conocimientos en Gobierno de TI (Cobit) Sólidos conocimientos en Gerencia de Servicios TI (ITIL). Sólidos conocimientos de Administración de Procesos. Conocimientos Business Process Management (BPM), ERP, BI. Conocimientos de Arquitectura Empresarial. Conocimientos de PETI. Conocimientos Auditoría y Consultoría TICs. Inglés: 75%. Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps, Groove, InfoPath. Experiencia: Mínimo 3 años en posiciones similares.

9

1.2.2.2. Ingeniero de infraestructura4

DESCRIPCIÓN DE PERFIL

TÍTULO DE PUESTO: Ingeniero de Infraestructura

Nivel o Grado: Asistente

OCUPANTE: # Ocupantes 1

LOCALIZACIÓN GEOGRÁFICA:

Quito – Ecuador PREPARADO POR:

Recursos Humanos

DEPENDENCIA JERÁRQUICA:

Gerente de Tecnología APROBADO POR:

DEPENDENCIA FUNCIONAL:

Oficina UIO FECHA: Abril 25, del 2013

1. MISIÓN (qué, dónde, para qué)

Administrar y monitorear la infraestructura tecnológica, los procesos de soporte primer nivel y la mesa de ayuda de EKBC & JFSV, para brindar servicios de información y tecnología oportunos. Administra y monitorea inventario HW y SW, soporte primer nivel equipos, aplicaciones y sistemas Organizacionales, administración y monitorean servidores SW, administración y monitoreo de redes de voz y datos, respaldos, mesa de servicios. Operativa: manejo inventario.

2. PRINCIPALES RESULTADOS (Responsabilidades Core de la posición)

Impo

rtanc

ia

ACCIONES (¿Qué hace?)

KPI FINAL ESPERADO

Frecuencia (D,S,M,BM,TM,SM,A)

1

Administrar, monitorear y controlar el proceso de respaldos de las aplicaciones

y herramientas informáticas de EKBC & JFSV, información de clientes y usuarios para cumplir con normativa interna y externa de seguridad de la información.

100% de la información respaldada y validada, de acuerdo a políticas. A través de reporte semanal y muestreo para validar de consistencia.

Diario

4 Fuente: Recursos Humanos EKBC & JFSV

10

2 Administrar, monitorear, controlar servidores y equipos de centro de cómputo.

99,00000 % uptime aplicaciones.

Diario

3

Administrar, monitorear y controlar los planes de mantenimiento preventivo y correctivo del hardware y software de la Infraestructura Tecnológica de EKBC & JFSV, para mantener los servicios disponibles de forma oportuna.

100% cumplimiento planes de mantenimiento preventivo. 100% cumplimiento planes de mantenimiento correctivo.

Mensual

4 Administrar los contratos de servicios con terceros, para gestionar su cumplimiento y la provisión del servicio.

100% SLA’s cumplidos.

Mensual

5 Brindar soporte técnico informático de primer nivel, para facilitar el trabajo de los colaboradores de EKBC & JFSV.

100% casos de soporte de primer nivel con respuesta. 100% SLA’s y OLA’s

cumplidos

Mensual

6

Administrar y monitorear la mesa de servicios, para gestionar la ayuda oportuna y adecuada a los problemas e incidentes tecnológicos de los

colaboradores en EKBC & JFSV.

100% casos de soporte atendidos y con respuesta, de acuerdo a SLA’s y

OLA’s.

3. LÍNEAS DE SUPERVISIÓN(A quién supervisa)

Pasantes de TI.

4. ORGANIZACIÓN (Puestos que dependen jerárquicamente)

5. INTERRELACIONES

Reuniones de Área Contactos relevantes Internos Externos Colaboradores EKBC & JFSV. Proveedores.

Colaboradores Empresas Asociadas.

11

6. PRINCIPALES CONOCIMIENTOS, EXPERIENCIAS Y HABILIDADES

Formación Académica: Obligatorio: Egresado de Tercer Nivel en Ingeniería de Sistemas e Informática, Ingeniería de TICs, Bachellor TI. Deseable: Título de Tercer Nivel en Ingeniería de Sistemas e Informática, Ingeniería de TICs, Bachellor TI. Conocimientos Técnicos: Conocimientos de administración en ambientes Windows Server. Conocimientos de administración de redes y telecomunicaciones en ambientes Windows Server, Linux, Cisco y D-Link. Conocimientos de Administración de Seguridad bajo ambientes Linux. Conocimientos en Gerencia de Servicios TI (ITIL). Inglés: 50%. Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps, Groove, InfoPath.

Experiencia: Deseable 6 meses en posiciones similares.

1.2.3. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA.

Figura 4. ORGÁNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGÍA

ELABORADO POR: Erika Betancourt. Francisco Salguero

12

1.2.

4.

TO

PO

LO

GÍA

DE

LA

RE

D D

E D

AT

OS

DE

EK

BC

& J

FS

V.

Fig

ura

5. T

OP

OL

OG

ÍA D

E R

ED

EK

BC

& J

FS

V

13

EL

AB

OR

AD

O P

OR

: E

RIK

A B

ET

AN

CO

UR

T,

FR

AN

CIS

CO

SA

LG

UE

RO

.

13

1.2.5. EQUIPOS

Figura 6. DESCRIPCIÓN DE EQUIPOS DEL CENTRO DE DATOS

FUNCION / AREA MODELO SERIE S.O.

Servidor Archivos HP PROLIANT ML 350 G5 MXQ81701BW Windows 2003 ServerServidor Proxy HP DL160 G5 2UX83405KV LinuxServidor Correo Internet HP DL160 G5 2UX83405JL LinuxServidor Antivirus HP PROLIANT ML 150 G6 MX29520062 Windows 2008 Server

Contabilidad HP Laserjet P2015 CNB1541823RRHH HP Laserjet P1600 VNB3D29831Sec. Ger. Operaciones HP Laserjet P4014N CNDX122353Desarrollo Negocios HP Laserjet CP3525dn CNCCBDX08RStaff Auditores HP Laserjet P4015n YPDF277755SwitchsData Center 5to piso D-LINK DES-3052P 52 puertosData Center 5to piso D-LINK DES-3052P 52 puertosData Center 6to piso D-LINK DES-3028P 28 puertos

Servidor Archivos HP PROLIANT ML 150 G5 MXS84309N8 Windows 2003 ServerSwitchsData Center 5to piso D-LINK DES-3028P 28 puertos

Servidor Archivos HP PROLIANT ML 110 Windows 2008 ServerGERENFOQUE

QUITO Servidores

Impresoras

GUAYAQUILServidores

ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.

1.2.6. PROGRAMAS

Dentro de las aplicaciones más utilizadas se tienen:

· Herramienta de registro del proceso de Auditoría.

· Adm BTS (Aplicación Financiero Contable).

· Paquete de Ofimática Office. (Word, Excel, Power Point)

· Software de Procesamiento de Datos.

· GLPI (Sistema de Mesa de Servicios).

14

1.2.7. SEGURIDAD EN EL DEPARTAMENTO DE TECNOLOGÍA

1.2.7.1. Seguridad física.

Para el acceso a las instalaciones de la firma de auditoría EKBC & JFSV se debe

ingresar al edificio correspondiente (Quito o Guayaquil), teniendo como control

primario el guardia del edificio pues es quien se encarga de permitir el acceso al

Edificio a las personas que no labora las instalaciones, el acceso a las

instalaciones del personal que labora en el edificio es otorgado por una tarjeta de

aproximación. En el caso del ingreso de personas ajenas al Edificio el guardia las

anuncia y es él quien puede otorgar o denegar el acceso.

El segundo control que se presenta en cuanto a seguridad física se encuentra al

ingreso al quinto piso ya que el acceso es controlado por un biométrico que

permite o deniega el acceso a las instalaciones. Adicionalmente la persona

encargada de la recepción es la encargada de permitir el ingreso al personal

ajeno a la firma, una vez que la persona ha ingresado esta es anunciada con la

persona a la que va a visitar.

Seguridades en el centro de cómputo.

El área del centro de cómputo se encuentra separada del Departamento de

Tecnología, El acceso al Departamento no es controlado ya que no se restringe el

acceso al personal a esta área, en el departamento se tienen algunos equipos de

comunicaciones los mismos que se encuentran ubicadas en un área bajo llave.

El Centro de Cómputo se encuentra ubicado a un costado del STAFF del personal

de auditoría. El control de acceso al mismo es monitoreado por una cámara que

apunta directamente a la puerta de ingreso al mismo. Adicional a esto se tiene

acceso al Centro de cómputo con la llave de la chapa manual, la misma que es

manejada por el personal de sistemas.

15

1.2.7.1.1. Seguridades en los equipos de computación.

Este tipo de seguridad se encuentra basada en las siguientes políticas de

seguridad:

· Todo equipo que se entregue al colaborador deberá estar soportado bajo

un acta de entrega – recepción donde se detallen las características,

códigos y estado de los equipos o elementos tecnológicos

· Los PC´S y equipos portátiles que EKBC & JFSVpone a disposición de sus

colaboradores deben ser utilizados para el desarrollar única y

exclusivamente las actividades propias a las funciones que encomendadas

a los colaboradores por la Compañía.

· Los requerimientos de equipos informáticos para personas que ingresan a

la Firma serán comunicados por escrito al Departamento de Recursos

Humanos al Departamento de Tecnología, y para los casos en los que se

solicite cambios o préstamos equipos, el responsable de enviar el

requerimiento será el Gerente de la Unidad de Negocio de quien requiera

el respectivo equipo.

· Si el usuario que recibe el equipo detectase algún desperfecto, mal

funcionamiento o contenido inadecuado, deberá inmediatamente poner en

conocimiento al Departamento de Tecnología con el fin de solucionar el

incidente y que el usuario quede exonerado de toda responsabilidad.

En caso de Viajar con el equipo:

· Para el transporte de equipos portátiles u otros similares desde la oficina,

sea a el domicilio del responsable o a clientes se debe utilizar el servicio de

transporte de las compañías de taxis contratadas por la firma. Para

movilizarse con el equipo se debe tener la autorización del inmediato

superior o Gerente del Compromiso, el cual debe aprobar el uso de los

vouchers de taxis.

16

· Nunca se debe abandonar la portátil a la vista del público, especialmente

en situaciones que puedan aumentar el riesgo de robo.

· En los hoteles, la portátil deberá guardarse en un espacio cerrado bajo

llave o en un lugar seguro.

· La pérdida de la portátil debe ser notificada por escrito inmediatamente al

Gerente del Departamento, y éste deberá a su vez comunicarlo al

Departamento de Tecnología.5

1.2.7.2. Seguridad lógica

Este tipo de seguridad se encuentra basada en las siguientes políticas de

seguridad:

· Cuentas de Acceso: Cada usuario dispondrá de una cuenta personalizada,

con los accesos y aplicaciones necesarias para el correcto desarrollo de

sus labores profesionales

· Activación y desactivación de Usuarios: El departamento de Recursos

Humanos o Líder de cada Área, informara oportunamente al Departamento

de Tecnología el ingreso de personal, entregando toda la información

necesaria del cargo del usuario con el fin de crear los accesos

correspondientes.

La salida de personal debe ser reportada oportunamente al Departamento

de Tecnología por parte de Recursos Humanos o líder de cada área con el

fin de desactivar los accesos que posee el usuario.

Para este efecto se llenará el Acta de Desvinculación proporcionada por el

Departamento de Recursos Humanos.

· Permisos en los equipos: El usuario no deberá modificar ni vulnerar los

permisos asignados por EKBC & JFSV, especialmente con intención.

· En caso de que el usuario estime oportuna la extensión de sus permisos o

la instalación de una instalación de una aplicación específica para llevar a


17

cabo su labor, deberá consultarlo por escrito al Gerente de su Unidad de

Negocio, para que son su autorización, se traslade dicho requerimiento al

Departamento de Tecnología.

· No se aprobará la instalación de software que no cuente con su respectiva

licencia.

· La instalación de software no autorizado por el Gerente de la Unidad de

Negocio y supervisado por el Departamento de Tecnología será

sancionada según lo establecido en el código laboral.

· Antes de introducir o descargar información en los equipos desde cualquier

dispositivo móvil de almacenamiento, este debe ser examinado por las

herramientas antivirus.

· Confidencialidad de la Información: el usuario deberá velar por la seguridad

y confidencialidad de la información contenida en sus equipos,

especialmente cuando se encuentre fuera de las dependencias de EKBC &

JFSV

· Creación de Claves de Acceso: Las Claves de Acceso serán creadas de

acuerdo a Estándares de Seguridad que se disponen en EKBC & JFSV.

o Longitud de la contraseña mínima de 8 caracteres.

o No repetir contraseñas anteriores.

o Contener caracteres en mayúscula y minúscula.

o Contener letras, números y caracteres especiales como *%&/+@-

No se debe revelar las contraseñas ni hacer uso de cuentas ajenas, ni

siquiera con el permiso expreso del propietario de la cuenta.

Debe saber que su usuario y contraseñas son personales e intransferibles.

· Bloqueo del Equipo: Es obligación del colaborador bloquear su equipo

cuando vaya a ausentarse de su puesto de trabajo.

· Renovación periódica de Claves Secretas: Es política de la Firma promover

los medios para que se renueve periódicamente la contraseña de cada

Usuario en un periodo de 90 días.

18

· Uso Correcto de las Claves Personales: El uso indebido de claves

obtenidas de forma ilegal o no autorizada, será sancionado de acuerdo a la

gravedad del efecto que dicha utilización cause a la Empresa.6

1.2.7.3. Revisiones de cumplimiento

Para verificar el cumplimiento de estas obligaciones, así como el correcto

funcionamiento de los equipos y el buen uso de los mismos, EKBC & JFSV, a

través de Departamento de Tecnología realizará inspecciones periódicas con el

objeto de examinar los siguientes aspectos:

· Aplicaciones instaladas y registro del sistema operativo.

· Información y archivos contenidos en el disco duro del equipo.

· Información y archivos contenidos en la cuenta de correo electrónico.

· Estado del antivirus.

· Una vez examinado en equipos del usuario, el contenido no autorizado

será eliminado, aplicando en su caso las medidas que correspondan por

no observar las Políticas establecidas por EKBC & JFSV se consideraran

archivos no autorizados todos aquellos que no tengan relación con las

labores encomendadas a los colaboradores como archivos de música,

videos fotografías, juegos y otros similares.

Estas revisiones podrán realizarse son notificación previa y de forma aleatoria

entre todo el personal de la Compañía tantas veces como EKBC & JFSV. Estime

oportuno.7



19

1.2.7.4. Seguridad legal

EKBC & JFSVpor ser una empresa auditora, cuenta con personal que se moviliza

dentro y fuera de la ciudad, es por ello que se cuenta con las seguridades

listadas a continuación:

· Pólizas de Seguro: EKBC & JFSV cuenta con una póliza de seguro tanto

para servidores como para equipos portátiles, los equipos nuevos que sean

adquiridos deben ser agregados a la póliza contratada por EKBC & JFSV.

Esta póliza permite reemplazar los equipos en caso de daños o pérdidas.

· Sanciones a ser ejecutadas en caso a incurrir a faltas a las políticas

establecidas por EKBC & JFSVlas mismas que establecen que:

o El incumplimiento de alguna de las normas generales de conducta

podría propiciar la ejecución del correspondiente proceso

disciplinario establecido en el Reglamento interno de trabajo.

o EKBC & JFSV, aplicara el procedimiento formal que estime oportuno

para velar por el uso apropiado de sus recursos.

o En caso de identificar a algún usuario que incumpla alguna de las

normas anteriores, se procederá a comunicar esta circunstancia al

departamento de Tecnología, y si llegase a apreciar mala fe o

reiteración en sus acciones de incumplimiento, EKBC &

JFSVadoptará las medidas que legalmente la amparen para la

protección de sus derechos y las especificadas en el Código Laboral

Ecuatoriano así como el resarcimiento de daños, de caber a lugar.8

1.2.7.5. Seguridad de información y respaldos

Este tipo de seguridad se encuentra basado en lo siguiente.


20

· Políticas generales de seguridad:

o Diariamente el usuario auditor realizara los respaldos de información

conforme a la política de Respaldos

o Todos los accesos a los programas principales estarán protegidos

mediante un mecanismo de Usuario y contraseña como permiso de

acceso.

o Las sesiones de Windows personales estarán protegidas con

contraseña.

o Los usuarios deberán abstenerse de divulgar o compartir sus datos

de acceso a los programas y sesiones de Windows.

o La contraseña de acceso al Sistema Operativo Windows tendrá un

periodo de vigencia por lo que obligará automáticamente al Usuario

a cambiar la misma. Esta política será aplicada utilizando conceptos

de dificultad y robustez evitando vulnerabilidad.

o Todos los archivos que sean enviados por correo y que contengan

información sensible deberán estar comprimidos con contraseña de

uso interno como medida de seguridad de información.

o A todos los equipos se les realizara una revisión de virus por lo

menos cada mes, que incluye la actualización de la base de firmas,

la búsqueda y eliminación de virus detectados.

· Políticas de respaldo de información.

Figura 7. MACROPROCESOS EKBC & JFSV

ELABORADO POR: Erika Betancourt, Francisco Salguero

21

1.3. LEVANTAMIENTO DE PRODUCTOS Y SERVICIOS DE LA

EMPRESA.

Dentro de EKBC & JFSV podemos identificar tres Macro Procesos internos en

base a los cuales Funciona la organización. (Figura 7.)Estos tres procesos

incluyen procesos más pequeños que los vamos a ir detallando a continuación.

Figura 8. DESCRIPCIÓN DE SUBPROCESOS


1.3.1. PROCESO DE ATENCIÓN AL CLIENTE.

El área encargada del proceso de Atención al cliente es el área de Desarrollo de

Negocios, apoyada por el área de Marketing, Apoyo Administrativo y los Gerentes

de Auditoría.

Figura 9. PROCESO DE ATENCIÓN AL CLIENTE


Dentro de esta área se Gestiona el manejo de la cartera de clientes y se los

categoriza de acuerdo a clasificaciones establecidas en el área, estas

categorizaciones se han propuesto en base a montos y procedencia del cliente.

El proceso de negocio se ha diagramado en función de los clientes nuevos,

clientes obtenidos a través de compras públicas y de clientes recurrentes:

22

Desarrollo de negocios

Figura 10. GESTIÓN DE DESARROLLO DE NEGOCIOS 1/4.


23

Figura 11. GESTIÓN DE DESARROLLO DE NEGOCIOS 2/4


24

Figura 12. GESTIÓN DE DESARROLLO DE NEGOCIOS 3/4.


25

Figura 13. GESTIÓN DE DESARROLLO DE NEGOCIOS 4/4


26

Figura 14. ATENCIÓN A CLIENTE - CLIENTES NUEVOS

PROPUESTA Y EJECUCIÓN DE SERVICIOS – Clientes nuevos

Personal de Apoyo

AdministrativoGerente General Cliente

Directora de

Marketing y

Comunicaciones

Gerentes de

Auditoría

Inicio del proceso

Compilainformación

obtenida

Base de datos declientes (Excel)

Se asigna unGerente deAuditoría al

Proyecto

Entregainformación a

Gerencia Generalpara aprobación

¿Acepta?

Elabora cuadrocon información

relevante

si

Conocimiento delCliente

Solicita los servicios de la

Firma

Llamada telefónica, e-mail ó fax

Recibe la base dedatos con

información declientes potenciales

Analiza laposibilidad de

efectuar el trabajorequerido

no

Proporcionainformación a la

Firma

Cuadro coninformación delpotencial cliente(Excel) (Excel)

Formularios F002y F003

Preparapresupuesto dehoras y servicios

Presupuesto dehoras y servicios

Fin del proceso

BDO.PR.001-2


27

Figura 15. ATENCIÓN AL CLIENTE - CLIENTES COMPRAS PÚBLICAS

PROPUESTA Y EJECUCIÓN DE SERVICIOS – Clientes obtenidos mediante portal de Compras Públicas

Asistente deGerencia

Socio deAuditoría

ClientePortal de Compras

PúblicasMensajero

Personal de ApoyoAdministrativo

Directora de

Marketing y

Comunicaciones

Gerente deAuditoría

Gerente General

si

no

Inicio del proceso

Imprimen laPropuesta

Revisa lapublicación de

nuevos concursosen el Portal de

Compras Públicas

Documentación

Recibe laPropuesta de

Servicios

La Propuesta esentregada alMensajero

Comunica aGerencia sobre la

oferta

Compila ladocumentación

requerida para serincluida en laPropuesta de

Servicios

Bases delconcurso en línea

Publica las basesdel concurso en elPorta de Compras

Públicas

Coordina conMarketing y

Comunicacionesla preparación dela Propuesta de

Servicios

Propuesta deServicios

Reciben ladocumentación ydan formato a la

Propuesta deServicios

¿Acepta?

Autoriza lapreparación de la

Propuesta deSerivicios

Analizaconjuntamente la

posibilidad deejecutar el trabajo

Monitorea elproceso de

adjudicación de lalicitación

nosi

BDO.PR.001-1

Envían por e-mailal Gerente para su

revisión

Recibe Propuestay revisa

¿Cambios? si

Entrega Propuestavía e-mail a Apoyo

Administrativo

no

Entregan propuestaa Asistente de

Gerencia

Recibe Propuestay la entrega alSocio a cargo

Recibe Propuestay la revisa

¿Cambios? si

Firma Propuesta yentrega a ApoyoAdministrativo

no

Elabora carta derecepción y adjunta a

Propuesta

¿Propuestaaceptada?

Se asigna unGerente deAuditoría al

Proyecto

Entrega laPropuesta de

Servicios y cartade recepción enlas instalaciones

del cliente

Notifica aGerencia

Notifica aGerencia

Firma carta ydevuelve copia al

Mensajero

Fin del proceso

BDO.PR.001-3

Entrega carta aApoyo

Administrativo

Archiva carta enexpediente del

cliente

BDO.PR.002

Carta de entrega/recepción


28

Clientes recurrentes

Figura 16. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 1/2.


29

Figura 17. ATENCIÓN AL CLIENTE- CLIENTES RECURRENTES 2/2


30

1.3.2. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO.

El Proceso de Gestión de las Operaciones de servicio es la descripción del

proceso de auditoría como tal. Este proceso tiene una relación estrecha con los

otros dos grandes procesos ya que es alimentado por el proceso de Atención al

Cliente y alimenta al Proceso de Cobranzas.

Las áreas encargadas del proceso de Gestión de las Operaciones de servicio son

las Áreas de Auditoría y el área de Desarrollo de Negocios, apoyada por el área

de Marketing, Apoyo Administrativo y los Gerentes de Auditoría.

Figura 18. PROCESO DE GESTIÓN DE LAS OPERACIONES DE SERVICIO


A continuación se puede observar el flujo de este proceso.

31

Gestión de auditoría

Figura 19. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE AUDITORÍA1/4.


32

Figura 20. GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE AUDITORÍA 2/4


33

Figura 21 GESTIÓND E LAS OPERACIONES DE SERVICIO - GESTIÓN DE AUDITORÍA 3/4.


34

Figura 22. GESTIÓN DE LAS OPERACIONES DE SERVICIO- GESTIÓN DE AUDITORÍA 4/4


35

1.3.3. PROCESO DE COBRANZAS.

Este es un proceso realizado por el área de Contraloría, Apoyo Administrativo y

el Gerente General.

EL área de Contraloría al revisar el contrato y las condiciones del mismo, acorde

al avance de la Auditoría se realizan los cobros.

Este proceso se encuentra descrito y explicado posteriormente.

Figura 23. PROCESO DE COBRANZAS


36

COBRANZAS

Figura 24. FACTURACIÓN DE CLIENTES - COBRANZAS1/2.


37

Figura 25. FACTURACIÓN DE CLIENTES - COBRANZAS 2/2


38

1.4. DESCRIPCIÓN DE LOS PROCESOS DE LA EMPRESA.

1.4.1. DESCRIPCIÓN DEL PROCESO DE ATENCIÓN AL CLIENTE.

El área de Desarrollo de Negocios es la encargado de establecer la relación con

el cliente en la fase previa y posterior a la Auditoría y por ende la retención de la

cartera de clientes, para ello mantiene una estrecha relación con los mismos

ofreciéndoles trato personalizado y manteniéndolos al día con información

relevante.

El proceso de Desarrollo de negocios inicia con las cotizaciones o la preparación

de propuestas tanto para empresas públicas como para empresas privadas. En el

desarrollo de las propuestas interviene el personal del área, los Gerentes y Socios

ya que ellos son los que conocen las fechas y los tiempos previstos para le

entrega de dichas propuestas.

En esta área es en donde se inicia el servicio de la firma Auditora. Como se

mencionaba anteriormente el manejo del cliente es responsabilidad tanto del

Gerente y Socio del compromiso, así como del área de Desarrollo de Negocios ya

que se debe manejar una buena relación con el Cliente para establecer las

cláusulas del contrato de auditoría.

En este punto se prepara una estrategia de Auditoría en función de las horas

pactadas, se establece el alcance y se asigna el número de personas que van a

cubrir el proceso de Auditoría en la Empresa Cliente, de igual forma se establecen

las condiciones de la cobertura de gastos incurridos en el cumplimiento del trabajo

solicitado.

Es esencial que en la negociación se establezca un Costo- Beneficio tanto para la

firma como para la Empresa Cliente, enfocándose en los tiempos de la Auditoría

como una meta real dependiendo de la naturaleza del negocio, los recursos

39

humanos e informáticos que se vayan a emplear para lograr cumplir a cabalidad

el trabajo.

Es importante mencionar que el área de Desarrollo de Negocios cuenta con una

cartera de clientes definida, para ello la firma ha establecido una categorización

de clientes en la que se va ubicando tanto a clientes nuevos como recurrentes en

función de las horas necesarias para el cumplimiento de la Auditoría.

1.4.2. DESCRIPCIÓNDEL PROCESO DE OPERACIONES DE SERVICIO.

El proceso de operaciones detallado como el servicio principal de EKBC & JFSV

tiene sujetos los procesos de Desarrollo de Negocios y Facturación los cuales son

indispensables para dar continuidad al negocio. El proceso en si inicia con el

contrato realizado con el Cliente, el cual debe estar respaldado y protegido ante

cualquier amenaza para tener claras las condiciones de cumplimiento

establecidos en los acuerdos para dicho contrato.

Es importante recalcar que toda la información que se adquiera del cliente debe

conservar las características de: integridad, disponibilidad, confiabilidad, y

confidencialidad lo que nos obliga a proteger esta información de manera que

conserve las propiedades antes mencionadas. De este modo se puede confiar en

la veracidad de la información almacenada y la disponibilidad de la misma.

El proceso para la obtención de productos finales para el cliente, por el servicio de

auditoría, se enfoca en análisis de información y pruebas de los procedimientos

establecidos en la empresa Cliente. Los productos obtenidos así como la

documentación de respaldo realizada por los auditores deben ser salvaguardados

y preservados de manera que no se presente ningún inconveniente al momento

de generarse una catástrofe, perdiendo la fuente principal de dicho trabajo el cual

sería el computador del auditor o en su defecto los computadores de socios,

apoyo administrativo, etc.

Por ende la información almacenada en el computador del Auditor es considerada

como el activo más relevante para continuar con la continuidad del proceso

40

operativo; mientras se tenga la comunicación directa con la empresa Cliente y los

datos actualizados de la misma, se proporcionará una guía para tener claro el

trabajo que se realizó o se está realizando en dicha empresa, dando así

cumplimiento con el servicio prestado y se podrá culminar las actividades de

auditoría independientemente de catástrofes presentadas. Ya que en caso de no

cumplir con el contrato estipulado se tiene el riesgo de dañar la imagen con el

Cliente al que se le está dando el servicio y a su vez generar un desprestigio a

nivel global de la empresa, ocasionando la pérdida de gran parte de la Cartera de

Clientes.

Para evitar que se produzcan pérdidas totales de modo que se pueda seguir con

el negocio y se siga prestando el servicio de auditoría es necesario especificar

factores y herramientas que ayuden a implementar una correcta gestión de los

recursos tecnológicos para otorgar continuidad del servicio y en caso de

producirse alguna catástrofe esta sea totalmente transparente al cliente final.

Teniendo en cuenta que el aspecto principal a cumplir en cuanto al servicio de

auditoría es cumplir a cabalidad el contrato ya establecido, teniendo un enfoque

global, utilizando metodologías propias y adicionando parámetros que permiten

diferenciar a EKBC & JFSVde otras firmas auditoras.

Para el cumplimiento de este objetivo se debe cuidar la imagen de la Firma y

sobre todo al Cliente, es decir su información y los análisis que se hacen sobre la

misma; por lo que la pérdida de información se convierte en un factor crítico el

cual puede ser controlado con la implantación de un Plan estratégico de

Continuidad del Negocio.

El plan de continuidad del negocio para proteger propiamente al negocio debe

abarcar los procesos que lo alimentan al mismo, es decir, se debe cuidar la

imagen, la manera de vender el servicio, los recursos tanto humano como

tecnológico y por su puesto el presupuesto asignado por el cliente para cubrir los

gastos de la auditoría; todos estos procesos deben ser claros y permitir

41

enriquecer y facilitar la auditoría para poder hacer que el negocio continúe y en

adición a eso crezca.

Es importante conocer que hay varios factores que hacen que el proceso de

auditoría no pueda cumplirse lo cual se convierte en amenaza para el prestigio de

la empresa y pondría poner en riesgo su posición en el mercado.

Es primordial determinar los riesgos que tiene la empresa como tal, para seguir

manteniendo su posición en el mercado, seguir creciendo y ascendiendo en el

Ranking, podemos categorizar los tipos de riesgos o amenazas presentes para

enlistarlas como prioridad; como ya se mencionó anteriormente lo más crítico es

respaldar la información.

El negocio depende plenamente del proceso de auditoría como servicio, del cual

los entregables finales son el informe detallado donde se presentan los trabajos

realizados: revisión, análisis de los documentos, análisis de riesgos existentes

para los estados financieros; las conclusiones y recomendaciones para que la alta

gerencia tome decisiones para mejorar su situación actual, y la opinión de la

Firma sobre los estados financieros de la Empresa Cliente.

1.4.3. DESCRIPCIÓN DEL PROCESO DE COBRANZAS

El proceso de contraloría está involucrado en la creación de un código de cliente y

cobro por los servicios de auditoría prestados por EKBC & JFSV a sus clientes. A

pesar de ser un proceso básico en su complejidad es uno de los procesos críticos

para el funcionamiento de la empresa, puesto que son ineludibles los ingresos

netos de acuerdo al trabajo realizado para que la empresa invierta en los insumos

necesarios para la prestación se los servicios de Auditoría a la Cartera de clientes

adquirida para la Temporada de Auditoría.

El proceso inicia con el ingreso del Cliente, el registro de horas propuestas en el

contrato, las mismas que están basadas en el análisis realizado por el proceso de

Desarrollo de Negocios, las condiciones del contrato, las fechas de ingreso y

42

aceptación de contrato, así como los demás parámetros de la Auditoría. Esta

información es ingresada al sistema por el asistente contable. Este procedimiento

se lo realiza para tener un registro en el cual se rigen para la emisión de facturas

de acuerdo a las fechas estipuladas en el contrato.

Los costos incurridos por el personal que realizo la auditoría son registrados

sumarizados, en función a dichos gastos, el presupuesto estipulado en el contrato

y las condiciones del mismo se procede a realizar la factura correspondiente; Los

gastos y horas son tomadas de los reportes de tiempo emitidos por cada

colaborador acorde a las asignaciones realizadas por los gerentes de Auditoría.

Cada reporte de facturas tiene que estar acorde con el presupuesto y debe contar

con las firmas correspondientes de los gerentes o en su defecto el socio a cargo

de la auditoría realizada al cliente.

1.4.4. DESCRIPCIÓN DEL PROCESO DE APOYO ADMINISTRATIVO.

Como su nombre lo indica este proceso es un proceso de apoyo en proceso de

Auditoría. Este proceso se basa netamente en la elaboración de productos finales

que se van presentando la culminar la Auditoría, es decir, se encargan de plasmar

la documentación de la auditoría en esquemas y plantillas en las que son

basados los informes presentados a Gerencia General del cliente final o en su

defecto a las entidades reguladoras.

1.5. DESCRIPCIÓN DEL PROBLEMA Y NECESIDADES DE

CONTINUIDAD.

1.5.1. DESCRIPCIÓN DEL PROBLEMA

EKBC & JFSVes una firma auditora que prestas sus servicios a entidades

públicas y privadas que se encuentran sujetas a revisiones de control de sus

estados financieros; por lo que al tratarse de un negocio en el cual la custodia de

la información de los clientes obtenida en la Auditoría es vital, ya que no puede

43

ser perdida, o modificada por terceros, es aquí donde radica el problema

considerando la infraestructura que posee la empresa actualmente.

EKBC & JFSVcuenta con un Centro de Datos ubicado en la ciudad de Quito en

donde se encuentran alojados los servidores, actualmente no se cuenta con una

contingencia tecnológica que permita continuar con la operación normal de los

servicios y permita obtener la información almacenada en los servidores de

archivos en caso de ocurrencia de incidentes o catástrofes que inhabiliten el uso

del actual Centro de Datos.

1.5.2. NECESIDAD DE CONTINUIDAD

EKBC & JFSVtiene la necesidad de continuar con sus labores aun presentándose

alguna catástrofe teniendo en cuenta que la imagen que presta como firma

Auditora debe mantenerse y esta se perdería si las actividades se suspenden con

algún evento desafortunado que ocurra a las oficinas considerando que es el

lugar donde radican los servidores donde es almacenada la información de los

clientes, y si la información se pierde se corre el riesgo de también perder no solo

los clientes con los que actualmente se cuenta, sino también la oportunidad de

adquirir nuevos clientes en un tiempo razonable.

Como todo negocio EKBC & JFSVaun en medio de una catástrofe debe reanudar

sus actividades lo antes posible y es ahí donde entra el Plan de Continuidad del

Negocio, determinando los procedimientos claves para seguir brindando los

servicios a las empresas que depositaron su confianza en la Firma para realizar la

correspondiente Auditoría.

44

CAPITULO 2.

PROPUESTA DEL PLAN DE CONTINUIDAD

En este capítulo se describirá propiamente la propuesta del plan de continuidad

del negocio, analizando el impacto del daño que pueden causar los puntos

mencionados en la matriz de riesgos que se detallará enfatizando el grado de

afectación mediante un valor determinado por la multiplicación de los valores de

severidad y de vulnerabilidad de cada uno de ellos.

Se detallará el plan describiendo los planes para salvaguardar el negocio como tal

de dichos riesgos; el plan completo se conformará de todos los proyectos/planes

pequeños que se enfocan en cubrir cada área relevante del negocio, enunciando

proveedores que pueden facilitar cumplir con los objetivos del plan de continuidad

de negocio. En la Figura 26. Se muestra los procesos a seguir durante el

desarrollo de la propuesta del Plan de Continuidad del Negocio.

Figura 26. DIAGRAMA DEL DESARROLLO DEL PLAN DE CONTINUIDAD

Plan de Continuidad del Negocio

An

ális

is Análisis de Riesgo y Vulnerabilidades

Fin

Análisis del Impacto Plan de continuidad

Inicio


2.1. LIDERAZGO

El plan de continuidad de negocios se encuentra liderado por el Gerente General

de EKBC & JFSV, ypor el Gerente de Tecnología.

Actualmente EKBC & JFSVcuenta con brigadas en el caso de tener que evacuar

el edificio, estas brigadas se encuentran capacitadas en cómo proceder en caso

45

de enfrentar algún desastre natural o un conato de incendio. Las brigadas entran

en acción al momento de presentarse alguno de estos incidentes, o al ser

prevenidos por las alarmas sonoras que se encuentran ubicadas en cada uno de

los pisos del Edificio Londres.

Actualmente EKBC & JFSV no ha establecido un Comité de Riesgos ni ha

designado el personal que conformará el mismo. Este comité será el encargado

de gestionar las acciones a tomarse en caso de enfrentarse a alguno de los

percances o riesgos inminentes a los que se puede enfrentar la empresa.

De igual forma el comité de riesgos será el encargado de coordinar con el

departamento de Recursos Humanos la forma de comunicación y difusión del plan

según lo establece la norma (ver sección 2.7).

2.2. POLÍTICA DE CONTINUIDAD DEL NEGOCIO.

El objetivo clave de realizar el plan de continuidad de negocio, es de seguir con

las actividades programadas sin interrupción de cualquier índole o en su defecto

que exista un mínimo tiempo de recuperación de tal manera que no afecte a gran

escala, esto es realizar planes y preparativos para enfrentar el incidente que se

suscite y que atente contra las actividades normales de la empresa.

2.2.1. OBJETIVO

La premisa de crear la política de continuidad del negocio tiene como finalidad la

protección y seguridad tanto de los activos de la empresa como de los recursos

humanos.

2.2.2. RESPALDO DE INFORMACIÓN

Los colaboradores de la empresa, deben realizar los respaldos de información de

manera ser frecuentes, sea de manera automática o manual. Esto se definirá por

áreas, o en su defecto con soporte del personal tecnológico.

46

2.2.3. ROLES Y RESPONSABILIDADES

Las tareas por cada acción de recuperación deberán estar segregadas asignando

los roles correspondientes al personal idóneo para cumplir con las

responsabilidades del cargo a él/ella impuestos para salvaguardar sea un activo o

el recurso humano.

Cada rol debe tener relación con su capacidad de respuesta ante el evento y/o

incidente y de acuerdo a los conocimientos que pueda tener respecto a una

respuesta ante las situaciones de emergencia.

2.2.4. PRUEBAS

Se debe probar continuamente el plan de continuidad de negocio, dejando

documentado sea en actas o bitácoras con los resultados obtenidos de dichas

pruebas.

Se debe probar el plan de manera integral, para poder definir tareas, situaciones,

características, sub planes que ayuden a mejorar el plan en función de los

resultados obtenidos anteriormente y así poder cubrir todas las brechas

correspondientes.

2.2.5. CONSIDERACIONES GENERALES

La política como tal es creada para que los colaboradores se sientan

comprometidos a ser parte del mejoramiento continuo y de la continuidad como tal

del negocio, siendo que los mismos conforman la empresa. La política sustenta

principios que deben basarse en el entendimiento de los riesgos que

inherentemente posee un negocio y dar a conocer los lineamientos a seguir para

salvaguardar las vidas y continuar con las operaciones regularmente.

47

a) Cada nuevo colaborador de la empresa debe tener conocimiento

respecto a los planes de desastres y continuidad del negocio.

b) Existirá un área de control para poder tener mejoramientos continuos

(actualizaciones a la política)

c) Se consideraran las pruebas frecuentes para medir el nivel de madurez

de conocimiento de los planes en casos de emergencia.

d) Existirán personas elegidas para cumplir ciertas funciones en caso de

una emergencia de nivel geológico.

e) Se capacitará al personal en función de las laboreas a desempeñar una

vez que se pueda suscitar alguna emergencia.

2.3. ANÁLISIS DE RIESGO Y VULNERABILIDADES.

En las Figuras 27 y 28 se describen los procesos a seguir para realizar el análisis

de Riesgos y Vulnerabilidades, y como se van a obtener las fuentes de riesgo.

Figura 27. ANÁLISIS DE RIESGO Y VULNERABILIDADES

Análisis de Riesgo y Vulnerabilidades

Aná

lisis

Det

erm

inac

ión

Plan

es y

ac

cion

es

Fin

Fuentes de Riesgo

Análisis de Fuentes y

Planes

Planes de mantenimiento

Inicio

Planes de contingencia


2.3.1. IDENTIFICACIÓN DE RIESGOS

Al analizar los riesgos es importante cuantificar las medidas de impacto de los

parámetros cualitativos de dichos riesgos por lo que para calcular la incidencia o

gravedad de los riesgos, se puede tener varias escalas dependiendo el tipo de

uso que se le puede dar, por lo general es recomendable usar escalas simples

que permitan a cualquier persona independientemente de su cultura profesional

entender el cálculo para determinar la severidad de los riesgos encontrados

48

tendremos 2 escalas que usaremos para valorar el riesgo las mismas que se

encuentran en la Tabla 1:

Figura 28. DIAGRAMA DE FUENTES DE RIESGO.

Fuentes de Riesgos

An

ális

isA

ccio

nes

Fin

Listado de Riesgos

Potenciales

Determinación de Impacto

Identificación de vulnerabilidades

Determinación de Vulnerabilidades en función

de los riesgos

Inicio

Análisis Foda y Pestel


En esta escala de severidad de Riesgo en la que se lo califica acorde la

probabilidad de ocurrencia de un incidente y adicionalmente acorde al impacto o

severidad del mismo.

Tabla 1. ESCALA DE SEVERIDAD DE RIESGO

Probabilidad de ocurrencia (P)

Valor referencial

Impacto (I) Valor referencial

Improbable 1 Muy bajo 2 Poco probable 2 Bajo 4 Posible 3 Medio 6 Probable 4 Alto 8 Altamente probable 5 Muy Alto 10


Para evaluar el riesgo (R) vamos a utilizar la fórmula R = P * I, el valor obtenido en

este cálculo comparado con la siguiente tabla (Tabla 2.) nos dará la calificación

del riesgo Identificado.

Tabla 2. CALIFICACIÓN DEL RIESGO

Riesgo Valor referencial

Muy Alto 40-50 Alto 30-39 Medio 20-29 Bajo 10-19 Muy bajo 0-9


49

2.3.1.1. Análisis FODA.

Tabla 3. ANÁLISIS FODA

Lista de Fortalezas Lista de Oportunidades

- Cumplimiento de contratos en los tiempos designados

- Nuevos Clientes de gran ingreso económico

- Personal dedicado, responsable y trabajador

- Ingresar al mercado de Auditoría Informática

- Poseer herramientas que facilitan la documentación del trabajo en campo de los auditores.

- Trabajo orientado a resultados

- Productos finales entregados en tiempos especificados.

- Precios cómodos

- Personal con conocimientos en varios ámbitos (Core de negocio)

- Capacitaciones del personal

- Revisión tecnológica de procesos automáticos

Lista de Debilidades Lista de Amenazas

- Rotación del personal - Firmas competidoras oferten mejores servicios

- La firma cuenta con recurso humano que aún está estudiando la universidad

- Firmas competidoras contraten personal que sale de EKBC & JFSV

- Ubicación de las oficinas principales no adecuada.

- Poco tiempo para realizar los papeles de trabajo.

- Ambiente laboral - Clientes con recurso humano complicado en su forma de trato con los auditores.

- Dispositivos tecnológicos obsoletos

- Auditar Clientes de Alto Riesgo

- Poco personal del área Informática

- Políticas de respaldos de información no aplicadas

- Sénior repartidos en más de 1 cliente por falta de personal


50

2.3.1.2. Análisis PESTEL.

Políticos

· Inestabilidad política en el país (Riesgo País)

· Reformas para el manejo de Empresas de Capital extranjero en el País.

Económicos

· Inestabilidad del cambio de políticas de impuestos y aranceles.

· El costo del cambio de las NEC a las Normas Internacionales de

Información Financiera.

· Alta competencia en el mercado.

Sociales

· No cumplir con brindar beneficios sociales en la comunidad. (políticas

establecidas en el plan estratégico)

Tecnológicos

· Fallos de Energía.

· Fallos de RED.

· Ataques a los Sistemas Computacionales.,

· Fallas de Energía.

Ecológicos o Ambientales

· Incendios.

· Terremotos.

· Erupciones Volcánicas

Legales

· Dar un Dictamen erróneo en una auditoría

o Ejecución de pruebas erróneas

o Extorsión

51

o Soborno.

o Pérdida de Independencia.

51

2.3.

1.3.

M

atri

z d

e ri

esgo

s

Ta

bla

4.

MA

TR

IZ D

E R

IES

GO

S

TIP

O D

E A

ME

NA

ZA

A

ME

NA

ZA

V

UL

NE

RA

BIL

IDA

D

RIE

SG

O

IMP

AC

TO

AM

EN

ZA

S

PR

OV

OC

AD

AS

PO

R

LA

MA

NO

DE

L

HO

MB

RE

Cri

me

n In

form

átic

o

Lín

eas

de

com

unic

aci

ón

no

pro

teg

ida

s

Info

rma

ció

n

em

pre

saria

l po

co

y/o

na

da

p

rote

gid

a.

Difu

sió

n d

e

info

rma

ció

n

con

fide

ncia

l.

Arq

uite

ctu

ra d

e R

ed

Inse

gu

ra

Con

exi

on

es

de R

ed

pú

blic

a s

in p

rote

cció

n

Tra

nsf

ere

ncia

de

co

ntra

señ

as n

o a

uto

riza

das

Trá

fico

se

nsi

ble

sin

pro

tecc

ión

No

exi

ste

n

con

tro

les

pa

ra

ase

gura

r la

co

nfid

enci

alid

ad

e

In

teg

rida

d d

e la

Info

rma

ció

n

No c

ont

ar

con

un

áre

a d

e S

egu

rid

ad

Info

rmát

ica

Po

lític

as d

e S

eg

urid

ad

Inad

ecu

ad

as o

no

difu

ndid

as

Fa

lta

de

con

tro

les

de

A

ute

ntic

aci

ón

p

ara

e

l a

cces

o

a lo

s S

iste

mas

de

Info

rmac

ión

Te

rro

rism

o/V

an

dalis

mo

Au

senc

ia

de

cám

ara

s d

e vi

gila

nci

a

en

lo

s d

ifere

nte

s D

ep

art

ame

nto

s d

e la

em

pre

sa

Fa

lta d

e c

on

tro

l d

e s

eg

urid

ad

in

tern

a

El f

unc

ion

am

ien

to

de

l eq

uip

o p

od

ría

ve

rse

gra

vem

en

te

com

pro

me

tido

Fa

lta

de

vi

gila

nci

a

pe

rma

nen

te

po

r to

dos

lo

s d

ifere

nte

s D

ep

art

ame

nto

s d

e la

em

pre

sa

Pe

rso

nal y

Usu

ari

os

Inte

rnos

(D

esco

nte

nto

, N

eg

lige

nci

a,

Desh

one

stid

ad,

Cesa

dos

, etc

.)

Pro

cedi

mie

nto

s in

ade

cua

dos

de

co

ntr

ata

ció

n

Pe

rson

al

rota

tivo

. C

ola

bo

rad

ore

s co

n fa

lta d

e

exp

eri

en

cia

y/o

d

esh

on

esto

s

Eje

cuci

ón d

e

Op

era

cio

nes

fic

ticia

s o

fra

udu

len

tas

en

los

Sis

tem

as d

e

info

rma

ció

n.

Fa

lta d

e u

na

con

tinu

a C

ap

acita

ción

al p

ers

ona

l con

res

pec

to a

la

Se

gu

rida

d In

form

átic

a

Fa

lta

de

co

ncie

ntiz

ació

n co

n

resp

ecto

a

la

Se

gurid

ad

Info

rmá

tica

Tra

ba

jo n

o su

pe

rvis

ad

o d

e p

ers

on

al e

xte

rno

o li

mp

ieza

Fa

lta d

e M

eca

nis

mo

s d

e m

on

itori

zaci

ón

.

Alta

ro

taci

ón

de

l p

ers

ona

l N

o

exi

ste

n

con

tro

les

pa

ra

ase

gura

r la

co

nfid

enci

alid

ad

e

In

teg

rida

d d

e la

Info

rma

ció

n

Fa

lta d

e c

on

tro

l e

n la

con

tinu

ida

d

Pé

rdid

a d

e la

co

ntin

uid

ad

de

las

52

Fa

lta

de

Ge

stió

n

de

Con

ocim

ient

o

ant

e

la

au

sen

cia

de

u

n

em

ple

ado

d

e la

s ac

tivid

ad

es

de

l ca

rgo

del

p

ers

ona

l qu

e

rota

.

op

era

cion

es

de

l áre

a d

e c

en

tro

de

Da

tos

Fa

lta d

e d

isp

ositi

vos

de

vig

ilan

cia

co

mo

cám

ara

s p

ara

de

tect

ar

cua

lqu

ier

eve

nto

inu

sua

l

Fa

lta d

e c

ap

acita

ció

n s

ob

re v

alo

res

y é

tica

pro

fesi

ona

l.

Inco

rre

cta

A

dm

inis

tra

ció

n d

el

Sis

tem

a In

form

átic

o y

d

e lo

s D

ere

cho

s de

A

cces

o

Ge

stió

n d

efic

ien

te d

e C

on

tras

eñ

as

Pe

rson

al c

on

acc

eso

s no

a

uto

riza

dos

a

info

rma

ció

n

clas

ifica

da

.

Reg

istr

o d

e T

ran

sacc

ione

s n

o

pe

rmiti

das

o fr

au

dul

en

tas

en

los

sist

em

as

de

in

form

aci

ón

Hab

ilita

ció

n d

e S

erv

icio

s in

nec

esa

rios

Fa

lta d

e c

on

tro

l efic

az

de

l cam

bio

No e

xist

e d

ocu

me

nta

dos

lo

s S

erv

icio

s q

ue

pre

sta

la

Red

a l

os

Usu

ario

s

Me

jora

mie

nto

d

e

las

p

olít

ica

s q

ue

re

gul

en

e

l U

so

de

los

Sis

tem

as I

nfo

rmát

ico

s d

e a

cue

rdo

al p

erf

il d

e U

sua

rio.

Con

figu

raci

ón

de

S

eg

urid

ad

ina

dec

uad

a

en

lo

s S

iste

mas

d

e In

form

aci

ón

Rob

o

Fa

lta d

e c

on

tro

les

de

acc

eso

y se

gu

rida

des

impl

an

tad

as e

n l

a e

difi

caci

ón

Pe

rdid

a d

e

info

rma

ció

n

Inte

rrup

ció

n e

n lo

s se

rvic

ios

inte

rnos

y

ext

ern

os

pre

sta

dos

po

r la

em

pre

sa

Au

senc

ia d

e C

ontr

ol p

erm

ane

nte

a lo

s a

ctiv

os

de

info

rma

ción

TIP

O D

E A

ME

NA

ZA

A

ME

NA

ZA

V

UL

NE

RA

BIL

IDA

D

RIE

SG

O

IMP

AC

TO

AM

EN

AZ

AS

T

ÉC

NIC

AS

Fa

lla d

e C

ompo

ne

nte

s e

lect

rón

icos

No h

ab

er

est

ab

leci

do

po

lític

as

de

re

empl

azo

de

pie

zas

sen

sib

les

en

el f

unc

ion

am

ient

o d

e lo

s di

spos

itivo

s e

lect

rón

icos

.

Po

ca/N

ula

fu

nci

on

alid

ad

de

la

s h

err

amie

nta

s.

Su

spen

sió

n te

mpo

ral

o d

efin

itiva

de

los

eq

uip

os

de

co

mp

uta

ción

o

com

un

ica

cio

nes

con

los

qu

e d

isp

one

la

em

pre

sa.

No s

e re

aliz

a p

rue

bas

pe

riód

ica

s ta

nto

de

H

ard

wa

re c

om

o

So

ftw

are

an

tes

de

su u

so o

pue

sta

en

pro

duc

ció

n.

Con

tro

les

de c

am

bios

de

con

figu

raci

ón

de

ficie

nte

s.

No s

e h

an

ide

ntifi

cado

co

mp

one

nte

s cr

ític

os

de

los

dis

pos

itivo

s.

No

cont

ar

con

p

ers

on

al

calif

icad

o

para

la

op

era

ción

d

e lo

s e

qu

ipo

s co

n lo

s q

ue c

ue

nta

la e

mp

resa

Fa

lla e

n e

l Se

rvic

io d

e

Pro

vee

do

res

(Int

ern

et,

etc

.)

No s

e c

uen

ta c

on

un

pro

ced

imie

nto

en

e

l q

ue

se

in

diqu

e l

a fo

rma

de

pro

ced

er

en

ca

so d

e fa

llos

de in

tern

et

Ba

ja

pro

duc

tivid

ad

Pé

rdid

a d

e lo

s se

rvic

ios

en

lín

ea

y la

s co

mu

nic

acio

ne

s co

n e

l ext

eri

or.

N

o s

e c

uen

ta c

on

un

en

lace

de

ba

ck u

p p

ara

con

tinu

ar

con

la

co

ntin

uid

ad

de

op

era

cio

nes

Ma

la im

ple

me

nta

ció

n

Imp

lem

enta

ción

de

co

ntro

les

defic

ien

tes.

P

oco

co

ntr

ol

Pé

rdid

a d

e

53

de

co

ntr

ole

s o

in

cum

plim

ien

to d

e lo

s m

ism

os

Imp

lem

enta

ción

de

co

ntr

oles

qu

e n

o s

e e

ncu

en

tran

aco

rdes

a la

re

alid

ad

de

l ne

goc

io.

sob

re la

se

gu

ridad

.

info

rma

ció

n o

dañ

os

en

los

equ

ipo

s d

e

Usu

ario

Fin

al.

No s

e h

an m

on

itore

ado

o n

o s

e h

a e

valu

ado

el c

um

plim

ient

o d

e lo

s co

ntro

les

de s

eg

urid

ad.

Fa

lta/F

alla

de

So

ftw

are

E

mp

resa

rial (

An

tivir

us,

G

est

or

de B

ase

de

D

ato

s, e

tc.)

Con

figu

raci

ón

inco

rrec

ta d

e P

ará

met

ros

Ba

ja

fun

cio

nal

ida

d d

e

las

he

rram

ien

tas

dis

pon

ible

s

Afe

ctac

ión

de

los

serv

icio

s p

rest

ado

s.

Se

po

drí

a

com

pro

me

ter

la

dis

pon

ibili

da

d,

inte

grid

ad y

co

nfid

enc

ialid

ad

de

la

info

rma

ció

n

alm

ace

nad

a ta

nto

en

serv

ido

res

com

o e

n e

qu

ipo

s d

e U

sua

rio

Fin

al.

Cam

bio

s de

co

nfig

ura

ción

no

do

cum

ent

ad

os.

Fa

lta d

e A

udito

ría

de

So

ftw

are

(S

erv

ido

res,

Equ

ipos

, etc

.)

Defic

ienc

ia

en

los

pro

cedi

mie

nto

s d

e

resp

ald

o

pe

riód

ico

de

In

form

aci

ón

.

Uso

de

softw

are

de

sact

ualiz

ado

o il

eg

al

Fa

lla/M

al

Fu

nci

on

amie

nto

de

los

Eq

uip

os

Su

pre

sió

n d

e l

as

pis

tas

de

Au

dito

ría

de

Hard

wa

re (

Se

rvid

ore

s,

Eq

uip

os, e

tc.)

Retr

aso

en

las

tare

as d

e lo

s co

lab

ora

do

res

con

eq

uip

os

de

fect

uos

os

El f

unc

ion

am

ien

to

de

l eq

uip

o p

od

ría

se

r g

rave

me

nte

a

fect

ad

o, a

l ig

ual

qu

e s

e v

erí

a

inte

rrum

pid

o e

l se

rvic

io d

e re

spa

ldo

s d

iario

s qu

e s

e

eje

cute

n.

Fa

lta

de

imp

lem

ent

aci

ón

de

e

squ

em

as

de

reem

pla

zo

de

eq

uip

os.

Se

nsi

bili

dad

a r

adia

ción

ele

ctro

ma

gné

tica

Su

sce

ptib

ilid

ad

an

te v

ari

acio

nes

de t

ens

ión

Su

sce

ptib

ilid

ad

an

te v

ari

acio

nes

de t

emp

era

tura

Fa

lta d

e c

ap

acita

ció

n d

el U

so d

e lo

s eq

uip

os

a lo

s us

uari

os

Sa

tura

ció

n d

e la

red

Ge

stió

n i

nad

ecu

ada

de

la

Red

(C

ap

acid

ad

de

rec

upe

raci

ón d

e e

nru

tam

ien

to)

Fa

llase

n la

co

rrec

ta

fun

cio

nal

ida

d d

e

la r

ed

em

pre

saria

l.

Fa

llos

en la

co

mu

nic

aci

ón

tan

to

en

la r

ed

inte

rna

co

mo

la s

alid

a a

in

tern

et

por

pa

rte

de

lo

s fu

ncio

nari

os d

e la

e

mp

resa

Fa

lta d

e p

olít

icas

de

uso

de

re

curs

os

de

red

co

mo

el

bu

en

uso

d

e in

tern

et.

Defic

ien

te d

ise

ño d

e la

Red

Fa

lta d

e m

oni

tori

zaci

ón d

e tr

áfic

o d

e la

re

d

Lín

eas

de

com

unic

aci

ón

sin

pro

tecc

ión

Con

exi

ón

de

ficie

nte

de

ca

ble

s

Pu

nto

de

re

d co

n f

alla

s

54

Pu

nto

s d

e ac

ceso

a

la

re

d si

n

pro

tecc

ión

y

vuln

era

ble

s a

ata

que

s in

form

átic

os

TIP

O D

E A

ME

NA

ZA

A

ME

NA

ZA

V

UL

NE

RA

BIL

IDA

D

RIE

SG

O

IMP

AC

TO

AM

EN

AZ

AS

O

RG

AN

IZA

CIO

NA

LE

S

Ine

xist

en

cia

de

Pla

ne

s P

olít

icas

y

Pro

cedi

mie

nto

s o

rga

niz

acio

na

les

y d

e a

dm

inis

trac

ión

de

U

sua

rios

y P

roye

cto

s.

No s

e h

a e

lab

ora

do

un

Pla

n d

e C

on

ting

enc

ias

Ba

ja g

est

ión

y

po

co c

ontr

ol

sob

re e

l cu

mp

limie

nto

de

la

s p

olít

ica

s in

tern

as.

Dañ

os

en

eq

uip

os

de

pro

cesa

mie

nto

de

da

tos

y d

e

info

rma

ció

n a

sí

com

o la

pé

rdid

a d

e

la in

form

aci

ón

a

lmac

ena

da.

Fa

lta

de

l p

roce

dim

ien

to

form

al

pa

ra

el

reg

istr

o

y b

loqu

eo

o

elim

inac

ión

de

Usu

ari

os

Ine

xist

en

cia

de

pro

cedi

mie

nto

s d

e r

evi

sió

n d

e l

os

dere

chos

de

acc

eso

oto

rga

dos

a lo

s U

sua

rios.

Fa

lta

de

p

roce

dim

ien

tos

de

mo

nito

reo

de

lo

s re

curs

os

de

p

roce

sam

ien

to y

alm

ace

nam

ien

to d

e in

form

aci

ón

Fa

lta d

e a

ud

itorí

as r

egu

lare

s

Ine

xist

en

cia

d

e

po

lític

as

que

e

xija

n la

d

ocum

en

taci

ón

de

cam

bio

s d

e co

nfig

ura

ció

n e

n lo

s si

ste

ma

s y

recu

rso

s e

xist

ent

es.

Ine

xist

en

cia

de

Est

án

dare

s p

ara

la D

ocum

en

taci

ón

Fa

lta o

Ins

ufic

ien

te

Ge

stió

n d

e la

S

eg

uri

dad

de

la

Info

rma

ció

n

(Mo

nito

rea

r,

Pro

cedi

mie

nto

s, e

tc.)

Incu

mp

limie

nto

de

las

pol

ític

as d

e s

eg

urid

ad

info

rmá

tica

Ba

jo c

on

tro

l so

bre

no

rma

s o

pe

rativ

as

em

pre

saria

les,

Dañ

os

en

eq

uip

os

de

pro

cesa

mie

nto

de

da

tos

y d

e

info

rma

ció

n a

sí

com

o la

pé

rdid

a d

e

la in

form

aci

ón

a

lmac

ena

da.

Fa

lta

de

asig

naci

ón

ad

ecua

da

d

e

resp

ons

ab

ilida

des

e

n

la

seg

urid

ad d

e la

info

rmac

ión

Fa

lta

de

re

gis

tros

e

n

las

bitá

cora

s ta

nto

d

e

adm

inis

tra

dore

s co

mo

de

op

era

rios

Fa

lta d

e r

espo

nsa

bili

dad

es e

n la

se

gu

rida

d d

e la

info

rma

ció

n

Fa

lta d

e m

eca

nis

mo

s d

e M

on

itore

o

Fa

lta d

e li

cen

cia

s d

e

So

ftw

are

Pro

pie

tari

o o

vi

ola

cio

nes

de

de

rech

o

de

au

tor

Fa

lta

de

pro

ced

imie

nto

s p

ara

e

l cu

mp

limie

nto

de

la

s d

ispo

sici

on

es c

on

res

pec

to a

los

dere

cho

s in

tele

ctu

ales

Ba

ja

fun

cio

nal

ida

d d

e

las

ap

licac

ion

es.

Incu

rrir

en

pro

ble

mas

leg

ale

s co

n e

ntid

ad

es d

e

con

tro

l po

r la

fa

lta d

e

licen

cia

mie

nto

EL

AB

OR

AD

O P

OR

: E

rika

Bet

anco

urt,

Fra

ncis

co S

algu

ero/

Bas

ada

en la

nor

ma

ISO

: IE

C 2

7001

55

2.4. ANALISIS DE IMPACTO DEL NEGOCIO.

En función de los riesgos identificados se debe analizar el impacto que generará

en el negocio para realizar una propuesta para disminución de la afectación a la

continuidad y los servicios que presta la empresa no se vean afectados por largo

tiempo y las actividades de los colaboradores no se interrumpan.

2.4.1. DESCRIPCIÓN DEL IMPACTO

En función de los riesgos identificados se debe analizar el impacto que generará

en el negocio para realizar una propuesta para disminución de la afectación a la

continuidad y los servicios que presta la empresa no se vean afectados por largo

tiempo y las actividades de los colaboradores no se interrumpan.

El BIA (Bussiness Impact Analysis) debe definir los riesgos y tiempos de

recuperación al menos de proceso o procesos principales identificando y

clasificando el nivel de costo y riesgo que representa una recuperación en función

a los desastres.

Es importante tener en cuenta las actividades a las que se remite la empresa y

sus procesos dando valoraciones o cuantificando la prioridad de dichas

actividades para considerar el impacto al ser dañadas o en última instancia

completamente pérdidas.

Una vez que se han identificado todas las amenazas con la fórmula de cálculo de

Riesgo mostrada en la sección 2.1.1 vamos a identificar las amenazas con mayor

valoración como se muestra en la Tabla 5. Las amenazas con riesgo Medio, Alto y

Muy alto van a ser consideradas para nuestro análisis de riesgos.

56

Ta

bla

5.

VA

LO

RA

CIÓ

N D

EL

RIE

SG

O

Am

en

aza

s

Pro

bab

ilid

ad d

e

ocu

rren

cia

V

alo

raci

ón

Im

pac

to

Val

ora

ció

n

Rie

sgo

V

alo

raci

ón

del

Rie

sgo

Rie

sg

o O

pe

rac

ion

al

Alta

me

nte

pro

bab

le

5

Mu

y A

lto

10

Mu

y A

lto

5

0

Te

rre

mo

to

Pro

ba

ble

4

M

uy

Alto

1

0 M

uy

alt

o

40

Inc

en

dio

P

osi

ble

3

Alto

1

0 A

lto

3

0

Ro

bo

P

osi

ble

3

Alto

8

M

ed

io

24

Fa

lla

de

en

erg

ía

Po

sibl

e 3

A

lto

8

Me

dio

2

4

Fa

lla

de

Re

d

Pro

ba

ble

4

M

ed

io

6

Me

dio

2

4

Ata

qu

es

al

sis

tem

a d

e in

form

ac

ión

co

mp

uta

cio

na

l P

osi

ble

3

Alto

8

M

ed

io

24

Eru

pc

ión

de

vo

lcá

n

Po

co P

rob

abl

e 2

M

uy

Alto

1

0 M

ed

io

20

Dañ

os

Oca

sio

na

do

s p

or

pe

rso

na

l in

tern

o

Po

sibl

e 3

M

ed

io

6

Baj

o

18

Co

mp

ete

nc

ia e

n e

l Me

rca

do

P

rob

ab

le

4

Ba

jo

4

Baj

o

16

Dic

tam

en

err

ón

eo

en

Au

dit

orí

a

Po

co P

rob

abl

e 2

A

lto

8

Baj

o

16

Alt

a r

ota

ció

n d

e p

ers

on

al

Pro

ba

ble

4

B

ajo

4

B

ajo

1

6

Sa

tura

ció

n e

n

red

P

rob

ab

le

4

Ba

jo

4

Baj

o

16

Fa

lta

o in

su

fic

ien

te G

esti

ón

de

la

Seg

uri

da

d d

e la

Info

rma

ció

n

Po

co p

rob

able

2

A

lto

8

Baj

o

16

Ine

sta

bil

idad

po

líti

ca

Po

sibl

e 3

B

ajo

4

B

ajo

1

2

Ref

orm

as

Em

pre

sa

ria

les

Po

sibl

e 3

B

ajo

4

B

ajo

1

2

Cam

bio

s e

n p

olí

tic

as a

ran

cel

ari

as

P

oco

Pro

ba

ble

2

Me

dio

6

B

ajo

1

2

Te

rro

ris

mo

/ V

an

dal

ism

o

Po

co p

rob

able

2

M

ed

io

6

Baj

o

12

Err

ore

s e

n l

a a

dm

inis

trac

ión

de

de

rec

ho

s d

e

ac

ce

so d

e lo

s S

iste

ma

s I

nfo

rmá

tic

os

P

oco

pro

bab

le

2

Me

dio

6

B

ajo

1

2

57

Fa

lla

en

el

Se

rvic

io d

e P

rove

ed

ore

s

Po

co p

rob

able

2

M

ed

io

6

Baj

o

12

Ine

xis

ten

cia

de

Do

cu

men

taci

ón

de

co

ntr

ol

(Pla

nes

po

líti

cas

y p

roc

ed

imie

nto

s d

e A

dm

inis

trac

ión

de

Usu

ari

os

y p

roye

cto

s)

Po

co p

rob

able

2

M

ed

io

6

Baj

o

12

Fa

lta

de

lic

en

cia

s d

e S

oft

war

e p

rop

ieta

rio

o

vio

lac

ion

es

de

de

rec

ho

de

au

tor

Po

co p

rob

able

2

M

ed

io

6

Baj

o

12

Inc

um

plim

ien

to d

e B

en

efi

cio

s S

oc

iale

s

Po

co P

rob

abl

e 2

B

ajo

4

M

uy

ba

jo

8

Cri

me

n I

nfo

rmá

tic

o

Imp

rob

ab

le

1

Alto

8

B

ajo

8

Fa

lta

de

co

mp

on

ente

s e

lec

tró

nic

os

P

oco

pro

bab

le

2

Ba

jo

4

Mu

y b

ajo

8

Ma

la im

ple

me

nta

ció

n d

e c

on

tro

les

e

inc

um

plim

ien

to d

e lo

s m

ism

os

P

oco

pro

bab

le

2

Ba

jo

4

Mu

y b

ajo

8

Fa

lla

de

So

ftw

are

Em

pre

sa

ria

l P

oco

pro

bab

le

2

Ba

jo

4

Mu

y b

ajo

8

Ma

l fu

nc

ion

am

ien

to d

e lo

s e

qu

ipo

s

Po

co p

rob

able

2

B

ajo

4

M

uy

ba

jo

8

Co

sto

de

l ca

mb

io d

e N

EC

a N

IIF

Im

pro

ba

ble

1

M

ed

io

6

Baj

o

6

EL

AB

OR

AD

O P

OR

: E

rika

Bet

anco

urt,

Fra

ncis

co S

algu

ero

58

Una vez que se han determinado los riesgos es necesario establecer una

descripción los escenarios, afectación, etc., categorizando de manera más amplia

los riesgos y dando características esenciales para tener una visión más clara de

lo que se puede enfrentar la empresa.

De las Tablas 7 a la 14 se muestran la probabilidad, el impacto, el escenario, la afectación, la acción y los responsables.

Tabla 6. ESCENARIO - INCENDIO

Riesgo Incendio

Probabilidad Posible

Impacto Alto

Escenario

Un incendio puede provocar la devastación total de la oficina perdiendo no solo los equipos computacionales sino las vidas que en ese momento estén presentes, considerando que las alfombras son de grado combustible. Hay que tener en cuenta que los toma corrientes están cerca de la alfombra lo cual haría más fácil la propagación del fuego a las áreas por donde las misma cruza.

Afectación

El grado de afectación es severo al tener pérdidas

humanas que es el recurso más valioso de la organización

y en adición los equipos que ofrecen el servicio para

cumplir las labores diarias (Data Center).

Acción

Implementar extintores de espuma para inhibir la combustión de las alfombras y en el Data center al menos tener un extintor de anhídrido carbónico los cuales contrarrestan la combustión de las alfombras y protegen los equipos electrónicos.

Responsable

Brigadista


59

Tabla 7. ESCENARIO - TERREMOTO

Riesgo Terremoto

Probabilidad Probable

Impacto Muy Alto

Escenario

Un terremoto puede provocar la destrucción total no solo de

la oficina sino del edificio; dependiendo de la magnitud puede

destruir apenas solo parte de la oficina o completamente el

edificio.

Afectación

Dependiendo el grado de magnitud del terremoto puede

causar que se cuarteen o caigan las paredes con bajo nivel

de destrucción (recuperable sin incidencia catastrófica) o

puede ser una destrucción completa de las oficinas

residentes.

Acción

Independientemente del grado o magnitud del terremoto la

acción por parte del brigadista encargado es de ayudar a

otros a evacuar el edificio evitando primordialmente pérdidas

humanas y de ser posible los equipos de computación

(anteponer la vida antes que los equipos).

Responsable

Brigadista


60

Tabla 8. ESCENARIO - FALLA DE ENERGÍA

Riesgo Fallas de energía


Impacto Alto

Escenario

El edificio puede presentar fallas eléctricas por lo general por

una tormenta eléctrica lo cual puede producir un cortocircuito

que origine 2 escenarios:

1.- Apagón total de energía

2.- Incendio.

Afectación

La afectación puede ser Leve o Severa dependiendo del

escenario, en el caso del Apagón puede quedar solamente en

la discontinuidad de los servicios, por otro lado también

pueden quemarse los equipos no solo los UPS sino los

servidores en sí.

En caso de que se produzca in incendio la afectación se

vuelve más severa y caeríamos en el caso de riesgo por

incendio

Acción

Implementar UPS especiales que soporten grandes cargas

de energía de modo que no se produzca un apagón de los

servidores y estos no resulten afectados; en adición tener en

cuenta la acción del riesgo de incendio.

Responsable

Departamento de Tecnología


61

Tabla 9. ESCENARIO - ROBO

Riesgo Robo


Impacto Alto

Escenario

Existen 2 escenarios:

Robo interno: robo de equipos que se produzca dentro de las

instalaciones por lo general en horas que la oficina está

prácticamente vacía.

Robo externo: robo de equipos al personal mientras están

fuera de las instalaciones de la empresa.

Afectación

El robo de equipos a los miembros de la empresa, por lo

general los auditores considerando el hecho que son los que

más movilizan equipos computacionales, en este caso la

afectación recae severamente por la información de “el/los”

clientes que posee el auditor en el computador a su cargo.

Acción

En el caso de robo interno, se debe tener alarmas a más de

las cámaras de seguridad y tener cuidado con el ingreso de

personal ajeno a la empresa para estar pendientes que se

trate de un agente de confianza.

En el caso de robo externo, es importante que los auditores

consideren el hecho de ir en taxis con los que tiene convenio

la compañía al movilizarse con equipos computacionales.

Responsable

Todo el personal


62

Tabla 10. ESCENARIO - FALLO DE RED

Riesgo Falla de red


Impacto Medio

Escenario

Existen varios tipos de causas por las cuales puede

suscitarse fallas en la red de comunicaciones, como son:

1.- Cruce entre hilos (mala conexión)

2.- Rupturas de los cables

3.- Exceso de ruido y/o estática

Afectación

El efecto que causa las fallas en la red es netamente con

los sistemas de información, ya que si los servidores

están haciendo rutinas automáticas de respaldos o incluso

el personal está haciendo sus respaldos propios puede

generar conflicto o fallas al generar la información

respaldada, además de errores en la comunicación.

Acción

Proteger y resguardar el Data center, cambiando los

cables periódicamente y haciendo mantenimiento de los

equipos para que reducir el impacto al suscitarse dicho

problema.

Responsable

Departamento de tecnología


63

Tabla 11. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN COMPUTACIONAL

Riesgo Ataques al sistema de información computacional


Impacto Alto

Escenario

Al contar con información crítica de los clientes es necesario

que la resguardemos de manera confidencial, aunque los

piratas informáticos contratados por otras empresas atacarían

la red organizacional para obtener dicha información.

Afectación

Al tener plagio de información propia de la empresa o

información de otras organizaciones a las cuales se les ha

realizado la auditoría ponemos en riesgo no solo a dichas

organizaciones sino a la Empresa como tal por el factor de

desconfianza que generaría dicho plagio lo que terminaría en

pérdida de clientes.

Acción

Implementar IDS u otros sistemas para prevenir y detectar

ataques de piratas informáticos.

Responsable



64

Tabla 12. ESCENARIO - RIESGO OPERACIONAL

Riesgo Riesgo Operacional

Probabilidad Altamente probable

Impacto Muy Alto

Escenario

El momento de hacer la auditoría en sí se corre el riesgo de

incumplir tiempos estipulados para entrega de informes

resultantes, de utilizar un lenguaje no adecuado con el cliente

o dar juicios que provoquen inconvenientes dentro de la

organización del cliente.

Afectación

La severidad de impacto es la más alta considerando que si

se produce el riego, lo posible es que se pierda prestigio de la

imagen propia de la empresa y por ende se perdería clientes

a gran escala por lo cual la afectación de darse este riesgo es

inminentemente catastrófico.

Acción

Planificar bien la auditoría para mejorar tiempos de desarrollo

de la misma teniendo en cuenta que se debe tener un

lenguaje cordial sin emitir juicios porque el auditor no juzga.

Responsable

Socios-Auditores


65

Tabla 13. ERUPCIÓN DE VOLCÁN

Riesgo Erupción de Volcán

Probabilidad Poco Probable

Impacto Muy alto

Escenario

Dependiendo de la magnitud de erupción en este caso el

guagua pichincha se tendría de una simple caída de ceniza

que afectaría los servidores y la salud de las personas hasta

una inminente corriente de lava que puede arrasar con la

ciudad

Afectación

La ceniza que bota el volcán puede alojarse en los servidores

al ser llevado por el viento entrando por los ductos de

ventilación.

La lava acabaría con gran parte de la ciudad

Acción

Evacuar el edificio lo antes posible siendo los brigadistas

responsables los que ayuden a la gente a salir a un sitio

seguro.

Responsable

Brigadista


El impacto se debe analizar en función de los procesos críticos que posee la

empresa;

66

2.4.2. ESTRATEGIAS DE RECUPERACIÓN.

Al analizar las necesidades de recuperación de los sistemas desde la vista del

negocio, es necesario establecer el Tiempo de tolerancia (RPO) a

la interrupción que poseen los procesos de Negocios y los Tiempos

de Recuperación (RTO) que poseen los sistemas tecnológicos que soportan al

mismo. Por ello es importante establecer los Objetivos de Tiempo de

Recuperación y Tiempo de Tolerancia.

En la Tabla 15 se muestra el tiempo en el que se deben reestablecer las

operaciones dependiendo de la organización y las políticas establecidas en las

mismas. Para marcar las opciones seleccionadas en las tablas utilizadas en este

capítulo se utilizará una “X”.

Tabla 14. TIEMPO DE RESTAURACIÓN DE LAS OPERACIONES

_ _RTO_____ RPO

0-30 Minutos

30 Minutos -2 Horas

2-6 Horas

6-12 Horas

12-24 Horas

24-48 Horas

48<X horas

Recuperación de correo electrónico X

Recuperación de Información digital de clientes

X

Recuperación de Servidores X

Recuperación de equipos operativos para Auditores encargados

X

Recuperación de equipos operativos para Auditores asistentes

X


Recuperación de correo electrónico

67

El impacto que genera la perdida de correo electrónico es alto, considerando que

se puede perder la comunicación con el cliente y perjudica la imagen y de igual

manera la interrelación con el mismo se verá afectada.

El servicio de correo estará activo en un 99,99% considerando que se maneja

correo externo en Gmail por lo que las comunicaciones e información que se

tenga en el correo está prácticamente a salvo en caso de producirse algún

incidente en la empresa, aunque no queda exenta de perdida pero prácticamente

el riesgo es mínimo.

Recuperación de información digital de clientes

La recuperación de la información recopilada del cliente es vital para poder

proseguir con las actividades de auditoría al mismo, sin ella se pierde no

solamente el esfuerzo realizado en el tiempo que se llevó la auditoría sino

también la confianza del cliente lo que genera un gran impacto a la imagen de la

empresa.

Recuperación de servidores

La recuperación de los servidores debe ser inmediata para poder seguir con las

actividades, teniendo en cuenta esto debemos tener un lugar donde poder

levantar los servidores, de manera que los servicios con los que cuenta la

empresa sean levantados uno por uno de manera correcta y seguir obteniendo los

productos correspondientes.

El impacto es menor al tener servidores de replica que se levanten cuando el

principal se cae y es recomendable tenerlo en otro sitio alejado del principal,

aunque implica un alto costo.

Para tener en cuenta el tipo de recuperación de medios físicos es importante

tener en cuenta la magnitud del impacto que se tendrá al producirse el incidente,

68

por lo que es necesario considerar los escenarios de recuperación que se

encuentran establecidos en la Figura 30.

Es importante acorde al cuadro anterior saber elegir el medio de recuperación

teniendo en cuenta que riesgos mantener, mitigar o transferir, siempre teniendo

en cuenta que está en juego la continuidad del negocio.

Figura 29. ESCENARIOS DE RECUPERACIÓN.


DESCRIPCIÓN DE LOS SITIOS:

Sitio en frío (ColdSites)

Este sitio no comprende ni sistemas de comunicación, ni hardware necesario para

levantar inmediatamente un centro de Datos necesario para que al menos las

labores principales se reanuden; es decir solo tenemos el arrendamiento o

compra de un espacio físico (No recomendado en empresas Medianas y

Superiores).

Este tipo de sitios pueden ser utilizados por empresas pequeñas que en su

mayoría tienen equipos portables.

Sitios semi-preparados (WarmSites)

69

En este tipo de sitios tenemos el sistema de comunicaciones y equipos de

servidores y ordenadores parcialmente instalados en el espacio físico arrendado,

es decir se cubre los procesos más críticos a levantar para que el negocio retome

sus actividades casi inmediatamente después del incidente ocurrido.

Sitios preparados (Hot Sites)

El sitio preparado, es en el que tenemos una réplica del Centro de Datos,

principal; es decir que tiene el sistema de comunicaciones en su mayor parte

instalado y arreglo de servidores ya implantado similar al original que al suscitarse

un incidente está listo para que los servicios se levanten en un máximo de 3

horas.

Se debe especificar en el contrato los tiempos inmersos en la recuperación para

ya que si bien se puede realizar una recuperación con un sitio similar en un

máximo de 3 horas se debe especificar en el convenio para que dicho plazo

pueda cumplirse a cabalidad y la empresa contratante pueda continuar prestando

los servicios.

Considerando la magnitud del Site y la cobertura este tipo este contingente tiene a

ser de un costo alto.

Sitio espejo (MirrorSite)

Este tipo de contingencia es uno de los más elevados en costo por su nivel de

cobertura considerando que al igual que el sistema de arreglo de servidores y el

de telecomunicaciones es completo, por lo que el tiempo de recuperación es

mínimo, tan solo depende del tiempo de movilización del personal para el sitio y

completar el levantamiento de servicios de acuerdo a las funciones de los

colaboradores aunque los servicios en línea estarían funcionales prácticamente al

instante.

70

Al ser un sitio espejo, es esencial que tenga la misma infraestructura del sitio

principal, es decir que tanto los servidores, ordenadores e incluso el software que

tenga sea idéntico al principal para que no exista problemas de compatibilidad.

Este tipo de Site alterno es el más recomendado para mantener la continuidad de

negocio, en especial aquellos que manejan información sensible. Es importante

que el sitio alterno esté lo suficientemente alejado del sitio principal para que si

hay un desastre de gran magnitud no exista un fallo de ambos, es decir el

desastre afecte tanto al sitio principal como al secundario (espejo).

Recuperación de equipos operativos para Auditores encargados

La recuperación de las labores depende del trabajo a realizar por lo que hay que

tener en cuenta que los desastres deben ser totalmente o en gran parte

transparentes al cliente final, por lo que es importante que se adquiera equipos

para que estén disponibles al menos para los Auditores encargados y seguir con

el proceso de auditoría y no perder la buena imagen ante el cliente.

Recuperación de equipos operativos para auditores asistentes

La recuperación de equipos para asistentes de auditoría no tiene mayor incidencia

como recuperar equipos para encargados de auditoría pero aun así se tendría

impacto al perder equipos computacionales teniendo en cuenta que también

tienen información valiosa que sustente la auditoría.

71

2.5. DESCRIPCIÓN DEL PLAN DE CONTINUIDAD.

2.5.1. DESCRIPCIÓN DE LA BASE ISO 22301:2013

La Norma ISO de continuidad de negocio acorde a nuestro análisis es la

22301:2012 donde se identifican escenarios y señala la manera de realizar la

gestión correcta frente a incidentes para la continuidad, enfocándose en la

utilización de recursos disponibles para continuar brindando el servicio hasta

regularizar la situación a su estado normal en el menor tiempo posible y el menor

costo.

Se escogió dicha norma ya que engloba los parámetros de gestión como un

sistema lo cual permite enfocarse en la revisión de riesgos para posteriormente

poder estar preparados ante cualquier desastre y el impacto sea mínimo sin que

la interrupción de las actividades normales sea a largo plazo o en gran medida.

Figura 30. CLICLO PDCA APLICADO AL PROCESO DE LA CONTINUIDAD DEL NEGOCIO

FUENTE: ISO 22301

En el año 2012, la Organización Internacional para la Normalización (ISO) publicó

el estándar “Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-

72

Requisitos”. Este estándar certificable y auditable capta los principales conceptos

de los demás lineamientos publicados desde 1995.

El estándar ISO 22301:2012 “Seguridad de la Sociedad: Sistemas de Continuidad

del Negocio-Requisitos” aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas

en inglés) para la planificación, establecimiento, implementación, operación,

monitoreo, revisión, mantenimiento y la mejora continua de su efectividad. El

modelo ha sido creado con consistencia con otros estándares de gestión, tales

como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y

con el ISO 28000:2007.”

En la Figura 31. Se puede ver como la norma se enfoca en realizar una mejora

continua para un proceso propio de continuidad de negocio donde se pueda

responder ante cualquier eventualidad negativa que pueda afectar la normalidad

de las actividades.

Figura 31. RELACIÓN ENTRE EL RTO, RPO Y MRPD

FUENTE: ISO 22301

Como muestra la Figura 32.se puede observar que la norma también describe

casos de recuperación y tiempos del mismo proyectándose en las actividades

críticas a recuperar y el tiempo mínimo que debe demorarse por cada una de ellas

73

para que el impacto sea casi imperceptible y se puede volver a la normalidad lo

antes posible.

2.5.2. PLAN DE RECUPERACIÓN DE DESASTRES (DISASTER RECOVERY

PLAN - DRP)

2.5.2.1. Introducción

El plan de recuperación ante desastres es aquel capaz de responder ante

sucesos improvistos que interrumpen o afectan de alguna manera las actividades

normales de una empresa y los servicios que presta interna o externamente, la

característica principal de un plan de recuperación ante desastres es la de

restablecer los procesos y funciones críticas de la empresa.

En los procedimientos descritos en el plan de recuperación ante desastres deben

constar las personas responsables con las funciones que deben cumplir para

poder salvaguardar los recursos correspondientes sean estos: Recurso Humano,

Recursos de Infraestructura, procedimientos y documentación asociada, etc., para

que el impacto sea mínimo en cuanto a la perdida de los recursos mencionados.

2.5.2.2. Descripción del DRP

Objetivos del plan

a) El objetivo más importante de este documento es definir los procedimientos de

recuperación ante la interrupción de la operación de los principales servidores

y la red de comunicaciones.

b) Se ofrece una mayor atención y énfasis en una recuperación ordenada y a la

reanudación de las operaciones de negocio críticas para la empresa, incluido

el apoyo de todos los servicios que dependen de la infraestructura informática.

74

c) Los elementos que conciernen a las computadoras están contempladas, sin

embargo las funciones relacionadas con los servicios prestados al cliente final

por parte del equipo de Tecnología no se abordan.

d) La invocación de este plan implica que la operación de recuperación ha

comenzado y continuará con la máxima prioridad de viabilizar el servicio y

restablecer las operaciones informáticas de la empresa.

Servicios críticos a salvaguardar

Para la preservación de servidores es importante para tener continuidad en

cuanto a los servicios que posee la empresa a nivel interno, en términos

generales los principales servidores y servicios que deben resguardarse son los

siguientes:

· Comunicaciones de red/conectividad, Internet.

· DNS y DHCP.

· Servicio de Correo.

· Controlador de Dominio.

· Servicio de Archivos.

· Servicio de Aplicaciones.

· PCs individuales.

· Servicio de Respaldos de información.

Incidente y contingencia

Este plan de recuperación de desastres se invocará bajo una de estas

circunstancias:

· Un incidente que puede parcial o completamente paralizar las operaciones

del centro de cómputo por un período de 24 horas.

· Un incidente, que ha afectado la utilización de las computadoras y redes

administradas por Tecnología, debido a circunstancias que están más allá

75

del normal procesamiento de las operaciones del día a día. Esto incluye

todos los procedimientos administrativos del Departamento de Tecnología.

Situaciones generales que pueden destruir o interrumpir usualmente un

computador ocurren bajo las principales categorías:

· Interrupción de energía/ variación/ fluctuación

· Fuego

· Agua

· Fenómenos naturales y climáticos

· Sabotaje/vandalismo

· Robo

· Virus

Hay diferentes niveles de severidad las cuales necesitan diferentes estrategias de

contingencia y diferentes tipos y niveles de recuperación. Este plan cubre

estrategias para:

· Recuperación parcial: operación en un sitio alterno y/o en áreas de clientes

de la compañía.

Seguridad física

Por norma y control se debe tener instalados sensores de temperatura, humedad

y humo, además que los servidores, tienen que estar protegidos por UPS’s que

los tengan activos por aproximadamente 15 minutos después de cortes de

energía o hasta levantar la corriente con otro medio alterno de energía.

Energía eléctrica y controles ambientales

Se debe considerar el flujo de corriente eléctrica y ambiente en el sitio donde se

aloja la empresa como tal y donde se alojan los servidores de la misma, siendo un

edificio es necesario contar con diferentes medios para no interrumpir la carga en

76

los equipos pues pueden sufrir daños como pueden ser generadores dedicados y

auxiliares con conexión a UPS’s que resguarden la integridad en carga a los

servidores.

Al considerar los controles ambientales hay que percatarse del a humedad, calor,

y el aire acondicionado no generen aire seco que pueda producir estática pues

esto puede ocasionar una falla eléctrica o cortos energéticos.

Protección ante software mal intencionado

La empresa debe tener un software licenciado y especializado de acuerdo a las

necesidades para la protección de virus y cualquier tipo de software mal

intencionado que quiera atacar la red y los equipos de la empresa; debe existir

una política donde quede por escrito que todos los equipos pertenecientes a la

empresa obligatoriamente deben tener instalado el antivirus empresarial.

2.5.2.3. Preparación ante un desastre

Se describe a continuación los pasos mínimos necesarios para estar preparados

ante un desastre y los procedimientos a implementarse para la recuperación. Una

parte importante es asegurar que el respaldo externo esté correcto y actualizado

así como la documentación de aplicaciones, paquetes de soporte y los

procedimientos operativos.

Procedimientos Generales

Los procedimientos generales de inmediata respuesta ante un incidente deben

contener un cronograma que valide tiempos de recuperación y fases para

progresivamente retomar la continuidad normal del negocio y en función de cómo

está categorizado y le alcance de daños que tenga dicho incidente.

77

2.5.2.4. Planes de Recuperación

En función del plan de continuidad de negocio como tal se formula el plan de

recuperación con los sub planes auxiliares que aportan a la recuperación integra

ante el incidente producido.

Plan de Recuperación de los Servicios del Centro de Cómputo

El plan de recuperación de servicios como tal debe iniciar inmediatamente de la

ocurrencia del incidente al ser necesario el uso del sitio alternativo y/o cuando el

incidente haya afectado parte del sitio principal y puedan reanudarse las

operaciones en un tiempo razonable.

En cualquiera de los 2 casos se debe determinar lo siguiente:

· Determinar el alcance de el/los incidente/s.

· Determinar gastos implícitos para recuperación.

En el caso de necesitar el sitio alternativo se debe considerar ciertos aspectos:

· Informar al responsable externo del sitio alternativo para poner en

marcha la utilización del mismo.

· Organizar el movimiento de los equipos de apoyo al sitio alternativo.

· Establecer operaciones de servicios en el sitio alternativo.

· Organizarlos planes a largo plazo y apoyo de soporte.

78

2.6. GUIA DE PROCEDIMIENTOS DEL PLAN.

2.6.1. DEFINCIÓN DE LA SITUACION ACTUAL

Se debe determinar los componentes, facilidades, herramientas y demás

características actuales de la empresa para en función de ella describir los

procesos críticos a levantar y con ellos describir las áreas y/o dispositivos

primarios a levantar.

2.6.1.1. Descripción de procesos levantados

Se debe detallar los procesos enlistados y los dispositivos asociados a poner en

marcha para la continuidad, se debe considerar tanto los servidores como los

equipos para el personal correspondiente que lo utiliza identificando el personal

más crítico que deba obtener los equipos en primera instancia.

2.7. SOCIALIZACIÓN DEL PLAN

Figura 32. SOCIALIZACIÓN DEL PLAN

¿POR QUÉ SOCIALIZAR EL PLAN?PLANIFICACIÓN DE

RECURSOS HUMANOS

CAPACITACIÓN

Detalle de cursos y horas para la socialización del

plan

Documentación de campañas, charlas,

personas involucradas.

2.7.1. ¿POR QUÉ SOCIALIZAR EL PLAN?

79

Un plan de continuidad de negocio no tiene sentido ni valor al solo mantenerlo

documentado si el personal de la empresa no tiene un conocimiento adecuado de

los procedimientos que se detallan en el mismo para están preparados ante

eventualidades que puedan suscitarse y afecten la continuidad del negocio; es

decir, si el personal no tiene una capacitación adecuada de lo que es el plan de

continuidad del negocio no existirá una gestión adecuada en un caso contingente

lo cual puede afectar potencialmente a la empresa.

2.7.2. PLANEACIÓN DE RRHH.

Se debe tener un plan para la capacitación al personal que labora en la empresa

tanto los colabores nuevos como los que ya tienen tiempo trabajando en la

organización, describiendo los riesgos potenciales que incurren al no tener

conciencia clara de lo que es un plan de continuidad del negocio y lo importante

que es cada colaborador para la eficiencia y eficacia del mismo y éste pueda

cumplirse a cabalidad minimizando el riesgo potencial en la empresa.

2.7.3. CAPACITACIÓN.

Se debe implementar campañas continuas donde se detallen aspectos de los

procedimientos del plan de continuidad de negocio de manera que los

colaboradores vayan continuamente familiarizándose y empoderándose del tema

siendo ellos la parte fundamental para que el plan se lleve a cabo.

Se debe dar charlas prácticas donde se enuncien escenarios de contingencia y

dar las respuestas a eventos críticos de tal manera que el personal pueda estar

preparado ante cualquier eventualidad.

Se debe establecer brigadas y capacitar a los miembros para los casos de

contingencia, donde se pueda determinar personas idóneas con actitud y aptitud

de poder responsablemente en caso de que se produzca un incidente.

80

CAPITULO 3.

VALIDACIÓN DEL PLAN.

Una vez realizado el plan de continuidad se procede a validar el plan en un caso

de estudio escogido para realizar las pruebas correspondientes, adaptando el

plan a la empresa para determinar los puntos críticos a proteger y se puedan

continuar con las labores y actividades normales sin interrumpir propiamente a los

colaboradores siguiendo con el Core del negocio.

El caso de estudio al que se aplicará el plan de continuidad será EKBC & JFSV

Donde enfocaremos los planes y actividades a realizar para salvaguardar la

integridad del negocio y no se pierda continuidad en las labores de los

colaboradores.

3.1. PREPARACION DE CASOS DE CONTINUIDAD.

IDENTIFICACION DE PROCESOS A RESPALDAR

EKBC & JFSV como tal es una empresa de auditoría donde su proceso principal

es la Gestión Operativa de auditoría. Como se muestra en la Tabla 16 se han

Priorizado las actividades a desarrollarse.

Tabla 15. PRIORIZACIÓN DE LAS ACTIVIDADES

Actividades Prioridad

1 2 3

Desarrollo de Negocios

X

Gestión de Auditoría X

Facturación X ELABORADO POR: Erika Betancourt, Francisco Salguero

81

Los procesos que tienen relación directa, es decir que están íntimamente ligados

solo al proceso principal de auditoría son los que se encuentran listados en la

Tabla 16.

Tabla 16. PERSONAL NECESARIO PARA ESTABLECER LA CONTINUIDAD DE LAS OPERACIONES

Personal Actividades que debe

cumplir

Prioridad

1 2 3

Contralor Encargado del Área de

Contraloría y sus procesos

X

Asistente Contable Encargado de la Nómina. X

Asistente Contable Encargado de la

Facturación.

X

Cobranzas Encargado de gestionar

las cuentas por cobrar

X

Auditores Sénior Encargado de Dirigir el

proceso de Auditoría

X

Asistentes de

Auditoría

Equipo de apoyo en el

proceso de Auditoría

X


El proceso Principal de Auditoría (operaciones) es importante porque es el

servicio fundamental que posee la empresa para generar entradas económicas.

A este proceso lo ayudan y alimentan el proceso de Desarrollo de Negocios que

es el que se encarga de vender el servicio y persuadir al cliente de que se

realizará un buen trabajo; y el Sub-proceso de facturación que viene a ser parte

de contraloría donde se emite la factura en base al presupuesto estipulado para

realizar dicho trabajo.

Lista el personal operativo con el que se debería contar para reanudar las

operaciones en caso de un incidente o desastre natural se encuentra listada en la

Tabla 17.

82

Establece las prioridades de los servicios proporcionados por los sistemas

utilizados dentro de la empresa. A continuación en la Tabla 18. Se detalla

información relevante de dos de los sistemas más importantes.

Tabla 17. SISTEMAS DE INFORMACIÓN REQUERIDOS PARA LA CONTINUIDAD DE OPERACIONES

Sistemas/Aplicaciones Prioridad

1 2 3

Microsoft Excel y Word X

BTS X

Sistema de nómina X

ATP X


Sistema ADMBTS

Aplicación Financiero contable cuenta con los módulos de contabilidad,

facturación, Cuentas por pagar (emisión de cheques), Cobranzas y Nómina.

Los motores de BDD son Firebird 2.0 e IB Access con la versión 2.0

Corre bajo el Sistema Operativo XP.

APT (Audit ProcessTool)

Herramienta que registra los ciclos del proceso de autoría, requiere como

requisitos previos tener instalado Microsoft Office Groove e InfoPath sp2. Se

cuenta con una licencia por máquina y el Software es administrado por Bruselas.

83

Activos Tecnológicos

Tabla 18. DESCRIPCIÓN DE LOS ACTIVOS TECNOLÓGICOS

Sistemas/Aplicaciones Prioridad

1 2 3 Computadores Portátiles

X

Teléfono X Fax X Impresora X Scanner X


La Tabla 19. Contiene un detalle de los activos tecnológicos necesario para la

puesta en marcha de las operaciones de la empresa.

Mobiliario & Material de oficina

Tabla 19. MATERIAL MOBILIARIO

Mobiliario Prioridad

1 2 3 Estación de recepción

X

Sillas X Escritorios/Mesas X


Tabla 20. MATERIAL DE OFICNA

Materiales de Oficina

Prioridad

1 2 3 Hojas de Papel

Bond X

Bolígrafos X

84

Toners color negro X


En las Tablas 20 y 21 se establece un detalle del mobiliario básico y los artículos

de oficina con el que se debe contar para reanudar las operaciones.

Material de Referencia

Tabla 21. MATERIAL DE REFERENCIA

MATERIAL Prioridad

1 2 3 Listado de Clientes X

Listado de Proveedores X Facturas Impresas X Facturas No Impresas X Procedimiento de Facturación X Dos últimos roles de pagos X Procedimiento Pago de Nómina X Listado de los clientes con pagos pendientes X


En la tabla 22 se detalla el material de referencia a ser usado en caso de la

ocurrencia de un incidente.

3.1.1. IDENTIFICACIÓN DE ESCENARIOS

Cabe mencionar que si al provocarse una catástrofe en Quito se pierde también

los servicios proporcionados en Guayaquil ya que EKBC & JFSV. Cuenta

únicamente con un enlace de datos entre Quito y Guayaquil, siendo la sucursal de

Quito la encargada de proporcionar los servicios de Internet y conexiones

generales, es decir si Quito pierde continuidad toda la empresa lo hace.

Por ende se han tomado los principales escenarios que pueden afectar la

continuidad de los servicios ofrecidos por la sucursal de Quito de EKBC & JFSVy

estableciendo los posibles riesgos asociados a estos escenarios.

85

Casos:

Tabla 22. ESCENARIO - INCENDIO

Riesgo Incendio


Impacto Alto

Escenario

En el caso de incendio que se suscite sea en el edificio

Londres o en su defecto en las oficinas de EKBC &

JFSV; las pérdidas que se generan para la empresa

serían: humanas, información, servicios y activos, ya que

existe personal administrativo que se encuentra laborando

de planta en oficinas de la Firma, los cuales serían

afectados en primera instancia.

Además en caso de presentarse un connato de incendio

este provocaría la pérdida del Centro de Datos que está

ubicado en el quinto piso del edificio Londres en un cuarto

pequeño el cual se destruiría completamente con el

incendio provocando la pérdida de información y los

servicios prestados pues los servidores centrales se

arruinarían y con ellos todo su contenido dando como

resultado una pérdida total de la información.

El edificio Londres no cuenta con escaleras de

emergencia para casos de incendio, siendo las escaleras

internas la única vía de evacuación.

Afectación

El riesgo de Incendio encontrado dentro de las

instalaciones de EKBC & JFSV es alto ya que las oficinas

están aprovisionadas con alfombras de material

86

inflamable, las mismas que en caso de suscitarse un

connato de incendio servirían para la propagación de

fuego de manera más rápida devastando completamente

el lugar.

Otro factor de riesgo en el caso de incendio son las

divisiones de las áreas las mismas que son de madera y

vidrio las cuales no solo ayudan a la propagación del

fuego si no que representan un peligro para las personas

que se encuentren en el interior de las instalaciones

debido a las explosiones de los vidrios causando lesiones

graves al personal. Adicional a esto se debe considerar el

almacenaje cartones que contienen la información

obtenida durante las visitas a los clientes para su

posterior revisión y envío a bodega, estos files son

apilados en el área del Staff (espacio designado para el

equipo de auditoría), debido al giro del negocio.

Acción

Implementar extintores de espuma para inhibir la

combustión de las alfombras y en el Data center al menos

tener un extintor de anhídrido carbónico los cuales

contrarrestan la combustión de las alfombras y protegen

los equipos electrónicos.

Responsable

Brigadista


87

Tabla 23. ESCENARIO - TERREMOTO

Riesgo Terremoto


Impacto Muy Alto

Escenario Las instalaciones de EKBC & JFSV Están ubicadas en el edificio Londres el mismo que tiene 40 años de construcción, por lo cual en caso de producirse un terremoto, dependiendo de la magnitud podría producir la pérdida parcial o total de las instalaciones. Una vez determinando el impacto que puede generar en EKBC & JFSV y al evaluar la magnitud de los daños provocados, podemos decir que riesgo asociado es alto ya que al destruirse el edificio y por ende los accesos al piso en el que se encuentran las oficinas se puede presentar pérdida de bienes materiales así como de vidas humanas, y la pérdida inminente de los servicios ya que el Centro de Datos se verá afectado a gran escala ya que los equipos en donde se aloja la información y los servicios pueden presentar daños provocando así la perdida de continuidad de los mismos.

Afectación

Dependiendo el grado de magnitud del terremoto puede

causar que se cuarteen o caigan las paredes con bajo

nivel de destrucción (recuperable sin incidencia

catastrófica) o puede ser una destrucción completa de las

oficinas residentes.

Acción

Independientemente del grado o magnitud del terremoto

la acción por parte del brigadista encargado es de ayudar

a otros a evacuar el edificio evitando primordialmente

pérdidas humanas y de ser posible los equipos de

computación (anteponer la vida antes que los equipos).

Responsable

Brigadista

88


Tabla 24. ESCENARIO - FALLA DE ENERGÍA

Riesgo Fallas de energía


Impacto Media

Escenario

En el edificio Londres existe planta de energía que es

utilizada como contingencia en caso de la suspensión

normal del servicio eléctrico. Al evaluar el riesgo

relacionado a los eventos de fallas en el servicio

eléctrico, encontramos que se pueden presentar

problemas en los equipos alternos como UPS’s,

bypass o daños en la planta de energía.

Al fallar los UPS’s se puede tener un fallo global de

todos los equipos electrónicos conectados a los

mismos lo cual genera una pérdida sustancial en la

parte de activos, además de la información contenida

en los equipos.

La configuración del bypass en caso de que no se

encuentre bien realizada puede provocar que no

encienda la planta de manera automática. Esto puede

provocar la suspensión de los servicios y la no

operatividad normal de las empresas por un periodo

considerable de tiempo.

Las fallas de energía afectan directamente a los

equipos electrónicos, pueden ocurrir fallas que

provoquen corto circuito y generar incendios, o en su

defecto afectar directamente a un colaborador

pudiendo ser electrocutado por descarga eléctrica.

89

Afectación

La afectación puede ser Leve o Severa dependiendo

del escenario, en el caso del Apagón puede quedar

solamente en la discontinuidad de los servicios, por

otro lado también pueden quemarse los equipos no

solo los UPS sino los servidores en sí.

En caso de que se produzca in incendio la afectación

se vuelve más severa y caeríamos en el caso de

riesgo por incendio

Acción

Implementar UPS especiales que soporten grandes

cargas de energía de modo que no se produzca un

apagón de los servidores y estos no resulten

afectados; en adición tener en cuenta la acción del

riesgo de incendio.

Responsable

Departamento de Tecnología


90

Tabla 25. ESCENARIO - ROBO

Riesgo Robo


Impacto Alto

Escenario

La afectación que se produce directamente a los activos

empresariales de los insumos que los colaboradores

utilizan para el trabajo diario como las portátiles, módems

y demás insumos; lo cual perjudica económicamente a la

empresa y pone en riesgo la seguridad de los datos

almacenados en medios electrónicos: portátiles,

memorias USB, discos duros y cualquier otro medio que

contenga información de los clientes visitados por los

colaboradores de EKBC & JFSV.

Afectación

El robo de equipos a los miembros de la empresa, por lo

general los auditores considerando el hecho que son los

que más movilizan equipos computacionales, en este

caso la afectación recae severamente por la información

de “el/los” clientes que posee el auditor en el computador

a su cargo.

Acción En el caso de robo interno, se debe tener alarmas a más de las cámaras de seguridad y tener cuidado con el ingreso de personal ajeno a la empresa para estar pendientes que se trate de un agente de confianza. En el caso de robo externo, es importante que los auditores consideren el hecho de ir en taxis con los que tiene convenio la compañía al movilizarse con equipos computacionales.

Responsable

Todo el personal


91

Tabla 26. ESCENARIO - FALLO DE RED

Riesgo Falla de red


Impacto Media

Escenario

EKBC & JFSV Cuenta con un enlace de Datos de

Quito a Guayaquil, por lo que un fallo de red no

debería ocurrir, en caso de ser lo contrario se pierden

los servicios que la sede en Quito como central provee

a Guayaquil además de que los colaboradores tienen

sus carpetas en red con la información de los clientes

visitados a los cuales acceden vía FTP.

Una falla de red, aunque no es crítica se la considera

importante puesto que los colaboradores que acceden

a las carpetas en red para ver su información y los

colaboradores que están en oficina.

Afectación

El efecto que causa las fallas en la red es netamente con los sistemas de información, ya que si los servidores están haciendo rutinas automáticas de respaldos o incluso el personal está haciendo sus respaldos propios puede generar conflicto o fallas al generar la información respaldada, además de errores en la comunicación.

Acción

Proteger y resguardar el Data center, cambiando los

cables periódicamente y haciendo mantenimiento de

los equipos para que reducir el impacto al suscitarse

dicho problema.

Responsable Departamento de tecnología


92

Tabla 27. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIÓN COMPUTACIONAL

Riesgo Ataques al sistema de información computacional

Probabilidad Poco Probable

Impacto Alto

Escenario

Para EKBC & JFSV Salvaguardar y mantener integra la

información de los clientes visitados, ya que los papeles

de trabajo que generan los colaboradores de su trabajo

en campo son esenciales para visitas futuras.

La empresa no se puede dar el lujo de que los datos

almacenados sean alterados o substraídos por gente que

quiera ganar los clientes enfocando un mejor resultado y

utilizando dicha información a su conveniencia.

Afectación

Al tener plagio de información propia de la empresa o

información de otras organizaciones a las cuales se les ha

realizado la auditoría ponemos en riesgo no solo a dichas

organizaciones sino a la Empresa como tal por el factor

de desconfianza que generaría dicho plagio lo que

terminaría en pérdida de clientes.

Acción

Implementar IDS u otros sistemas para prevenir y detectar

ataques de piratas informáticos.

Responsable



93

Tabla 28. ESCENARIO - RIESGO OPERACIONAL

Riesgo Riesgo Operacional

Probabilidad Altamente probable

Impacto Muy Alto

Escenario

Este tipo de riesgo se relaciona directamente con el giro

del negocio, el riesgo operacional se encuentra ligado a

los eventos fortuitos que pueden presentarse en el lapso

de tiempo que se realiza la auditoría, estos problemas

pueden presentarse por:

Incumplimientos de contratos y por ende litigios legales,

emisión de opiniones erróneas que pueden provocar el

cierre de las operaciones de la Empresa auditora.

El riesgo Operacional es alto, ya que en el caso que se

emita una opinión errónea se puede dar por terminado el

funcionamiento de la Firma

Afectación

La severidad de impacto es la más alta considerando que

si se produce el riego, lo posible es que se pierda

prestigio de la imagen propia de la empresa y por ende se

perdería clientes a gran escala por lo cual la afectación de

darse este riesgo es inminentemente catastrófico.

Acción

Planificar bien la auditoría para mejorar tiempos de

desarrollo de la misma teniendo en cuenta que se debe

tener un lenguaje cordial sin emitir juicios porque el

auditor no juzga.

Responsable

Socios-Auditores


94

Tabla 29. ERUPCIÓN DE VOLCÁN

Riesgo Erupción de Volcán

Probabilidad Improbable

Impacto Alto

Escenario

El Data Center de. EKBC & JFSV No tiene una adecuada

medida de expulsión de polvo o ceniza, considerando que

está en un espacio reducido donde solo existe 1 rack con

los servidores expuestos a los residuos como polvo, smog

más aun con ceniza volcánica la cual se puede filtrar por

el conducto de expulsión de calor y dañar los equipos.

Afectación

La ceniza que bota el volcán puede alojarse en los

servidores al ser llevado por el viento entrando por los

ductos de ventilación además de acabar con gran parte

de la ciudad

Acción

Evacuar el edificio lo antes posible siendo los brigadistas

responsables los que ayuden a la gente a salir a un sitio

seguro.

Responsable

Brigadista


95

3.2. EJECUCIÓN DE LOS PROCEDIMIENTOS.

3.2.1. POLÍTICA DE CONTINUIDAD DEL NEGOCIO

3.2.1.1. Objetivo

La premisa de crear la política de continuidad del negocio tiene como finalidad la

protección y seguridad tanto de los activos de la empresa como de los recursos

humanos.

3.2.1.2. Respaldos de Información

Los colaboradores de EKBC & JFSV, deben realizar los respaldos de información

de manera ser frecuentes, los respaldos son de manera manual, por lo que toda

información que el senior crea necesario deberá ser almacenada en el servidor de

archivos y de manera automática en google drive (seniors y asistentes).

3.2.1.3. Roles y Responsabilidades

Las tareas que se realizarán de recuperación cuentan con el detalle de seguir

ciertas normas y pasos de acuerdo a la definición de recuperación, esto es seguir

el plan de recuperación ante desastres (DRP) de acuerdo a las brigadas

establecidas en cuanto a responsabilidades de salvaguardar el recurso humano y

recurso tecnológico.

Los roles estarán designados en los planes de recuperación y cada colaborador

debe tener presente la manera de actuar ante los incidentes y las tareas a

realizas según las responsabilidades designadas a él/ella.

96

3.2.1.4. Pruebas

Se debe probar continuamente el plan de continuidad de negocio, dejando

documentado sea en actas o bitácoras con los resultados obtenidos de dichas

pruebas.

El plan deberá ser probado de manera integral, es decir en su completitud y cada

tópico para cubrir las áreas mencionadas y re-estructurar el mismo si es

necesario. Es necesario probar el plan para poder definir tareas, situaciones,

características, sub planes que ayuden a mejorar el plan en función de los

resultados obtenidos anteriormente y así poder cubrir todas las brechas

correspondientes.

Teniendo las premisas, se debe considerar una política y/o procedimiento para

realizar las pruebas del plan de continuidad.

3.2.1.5. Consideraciones Generales

La política como tal es creada para que los colaboradores se sientan

comprometidos a ser parte del mejoramiento continuo y de la continuidad como tal

del negocio, siendo que los mismos conforman la empresa. La política sustenta

principios que deben basarse en el entendimiento de los riesgos que

inherentemente posee un negocio y dar a conocer los lineamientos a seguir para

salvaguardar las vidas y continuar con las operaciones regularmente.

a) Cada nuevo colaborador de la empresa debe tener conocimiento

respecto a los planes de desastres y continuidad del negocio.

b) Existirá un área de control para poder tener mejoramientos continuos

(actualizaciones a la política)

c) Se consideraran las pruebas frecuentes para medir el nivel de madurez

de conocimiento de los planes en casos de emergencia.

97

d) Existirán personas elegidas para cumplir ciertas funciones en caso de

una emergencia de nivel geológico.

e) Se capacitará al personal en función de las laboreas a desempeñar una

vez que se pueda suscitar alguna emergencia.

3.2.2. DESCRIPCIÓN DEL DRP

3.2.2.1. Objetivos del Plan

a) El objetivo más importante de este documento es definir los procedimientos de

recuperación ante la interrupción de la operación de los principales servidores

y la red de comunicaciones. Esta interrupción podría ser por daños severos al

centro de cómputo principal de EKBC & JFSV (Quito) o por incidentes

menores que provoquen interrupción a su normal operación.

b) Se ofrece una mayor atención y énfasis en una recuperación ordenada y a la

reanudación de las operaciones de negocio críticas para la empresa, incluido

el apoyo de todos los servicios que dependen de la infraestructura informática.

Se tiene en cuenta la recuperación en un plazo razonable y dentro de las

limitaciones del costo.

c) Los elementos que conciernen a las computadoras están contempladas, sin

embargo las funciones relacionadas con los servicios prestados al cliente final

por parte del equipo de Tecnología no se abordan.

d) La invocación de este plan implica que la operación de recuperación ha

comenzado y continuará con la máxima prioridad de viabilizar el servicio y

restablecer las operaciones informáticas de la empresa.

3.2.2.1.1. Servicios Críticos A Salvaguardar

Es esencial definir los servicios que se debe preservar para la continuidad, lo

siguientes son los servicios de tecnología críticos de EKBC & JFSVy están

dispuestos en orden de prioridad de recuperación:

98

· Comunicaciones de red/conectividad, Internet.

· DNS y DHCP.

· Servicio de Correo (Servicio actualmente externalizado para alta

disponibilidad y continuidad, infraestructura fuera de oficinas).

· Controlador de Dominio.

· Servicio de Archivos.

· Servicio de Aplicaciones.

· PCs individuales.

· Servicio de Respaldos de información.

3.2.2.1.2. Incidente y Contingencia

Este plan de recuperación de desastres se invocará bajo una de estas

circunstancias:

· Un incidente que puede parcial o completamente paralizar las operaciones

del centro de cómputo de EKBC & JFSVpor un período de 24 horas.

· Un incidente, que ha afectado la utilización de las computadoras y redes

administradas por Tecnología, debido a circunstancias que están más allá

del normal procesamiento de las operaciones del día a día. Esto incluye

todos los procedimientos administrativos del Departamento de Tecnología.

Situaciones generales que pueden destruir o interrumpir usualmente un

computador ocurren bajo las principales categorías:

· Interrupción de energía/ variación/ fluctuación

· Fuego

· Agua

· Fenómenos naturales y climáticos

· Sabotaje/vandalismo

· Robo

· Virus

99

Hay diferentes niveles de severidad las cuales necesitan diferentes estrategias de

contingencia y diferentes tipos y niveles de recuperación. Este plan cubre

estrategias para:

· Recuperación parcial: operación en un sitio alterno y/o en áreas de clientes

de la compañía.

3.2.2.1.3. Seguridad Física

a) QUITO

El centro de cómputo tiene una puerta con una cerradura de una sola llave, sólo

personal de Tecnología tiene esta llave para ingresar a este sitio.

Se ha colocado un sistema de detección remota de apertura de puertas en el rack

de servidores con el fin de que envíe alertas vía email.

Existe una cámara de seguridad externa que registra el movimiento del personal

en el acceso al centro de cómputo.

b) GUAYAQUIL

El centro de cómputo está cerrado con una cerradura de una sola llave, sólo

personal de Tecnología y de administración de Guayaquil tiene autorización para

ingresar a este sitio.

Ambos centros de cómputo albergan racks, servidores y equipos de

comunicaciones. Estos llegan a ser los centros de las redes de datos de las

oficinas de EKBC & JFSV tanto en Quito como en Guayaquil.

100

Tienen instalados sensores de temperatura, humedad y humo en Quito, dichos

sensores están colocados extintores de incendio para equipos electrónicos en la

parte externa del centro de cómputo.

Los cuartos de servidores, tanto en Quito como en Guayaquil, tienen equipos

UPS; ambos protegen los servidores y principales computadores por

aproximadamente 15 minutos después de cortes de energía.

Tanto en Quito como en Guayaquil los servicios de aire acondicionado y la

iluminación en los cuartos de servidores no están conectados al UPS.

3.2.2.1.4. Energía Eléctrica y Controles Ambientales

Tanto el edificio Londres en Quito, como el edificio La Previsora en Guayaquil

cuentan con centrales generadoras de energía eléctrica autónomas en caso de

ocurrir un prolongado corte de energía del sistema eléctrico público. Esta fuente

de energía alterna alimenta a todo el sistema eléctrico de las oficinas incluyendo a

las unidades de Aire Acondicionado, pero en caso de que las centrales sufran

algún desperfecto y se interrumpa el flujo eléctrico a continuación se contemplan

las siguientes acciones:

Los métodos alternativos de refrigeración serían mediante la apertura del rack y la

puerta del cuarto, así como la puesta en marcha de los ventiladores alternos

existentes en el rack de Quito, mientras que en Guayaquil se debe abrir la puerta

y colocar los ventiladores móviles de confort. De esto se encargaría el personal

del Departamento de Tecnología en Quito y en Guayaquil el personal

administrativo encargado.

Los procedimientos anteriores ayudarían a mantener la temperatura ambiente de

los cuartos en un clima relativamente frío (Quito), pero en el caso de Guayaquil el

ambiente del cuarto de cómputo podría alcanzar un estado muy caliente y se

debería apagar los servidores para precautelar su integridad como último recurso.

101

Los Tecnología de aire acondicionado de Quito y Guayaquil han sido probados

para su normal funcionamiento. Los UPS no ofrecen servicio de energía eléctrica

a las unidades de aire acondicionado en caso de interrupción de energía.

La empresa proveedora de las unidades de aire acondicionado es la encargada

de ofrecer soporte y mantenimiento en caso de darse un desperfecto, la misma

situación es para las unidades UPS. Se tiene un contrato de mantenimiento anual

con cada proveedor para recibir asistencia preventiva y asistencia de emergencia

si es del caso.

3.2.2.1.5. Protección Ante Software Mal Intencionado

El software utilizado para protección contra virus es Symantec EndPoint

Protection el cual provee seguridad virtual del equipo de computación optimizando

el tiempo y rendimiento del ordenador, siendo que se actualiza constantemente

para cubrir la protección en contra de amenazas nuevas y/o desconocidas

además de las ya presentes.

El antivirus se encuentra localizado/alojado actualmente en un servidor que

provee la seguridad a toda la red empresarial de tal manera que un equipo

perteneciente al dominio y que tengan instalado el producto tendrá actualizado su

antivirus contra las amenazas locales o externas (por política todo el personal de

EKBC & JFSV debe tener instalado el antivirus).

3.2.2.1.6. Proveedores

La empresa debe contar con un listado de los números de teléfono y extensiones

de los administradores de cuenta o las personas encargadas de los

mantenimientos de las instalaciones y los equipos. Dentro del listado deben

constar.

· Proveedores de mantenimiento de aire acondicionado.

102

· Proveedores de mantenimiento de los equipos UPS.

· Administradores de las edificios en las locaciones quito y Guayaquil.

· Proveedores de internet (principal y backup).

· Proveedores de los enlaces de comunicación.

· Servicios de correo.

· Soporte de los Sistemas especializados.

3.2.2.1.7. Personal del Equipo de Recuperación

En caso de producirse una falla con los equipos mencionados, la lista para

llamadas de emergencia tendrá que ser utilizada. Las obligaciones generales del

coordinador de recuperación de desastres deben ser discutidas. Los encargados

del equipo de recuperación están asignados en cada oficina y las obligaciones

generales dadas. El líder del equipo hará la asignación de personal en las oficinas

de Quito y Guayaquil, así como de las tareas específicas durante la etapa de

recuperación.

Tabla 30. EQUIPO DE RECUPERACIÓN

NOMBRE CARGO UBICACIÓN Ext. Móvil.

Xxxx Xxxx Gerente de Tecnología Quito 09xxxxxxx

Xxxx Xxxx Ingeniero de Infraestructura Quito 09xxxxxxx

Xxxx Xxxx Controller Quito 09xxxxxxx

Xxxx Xxxx Administración Guayaquil Guayaquil 09xxxxxxx


Las únicas personas autorizadas a declarar el estado de desastre y por ende a

inicializar el plan de recuperación son el Gerente de Tecnología o el Ingeniero de

Infraestructura. Un ejemplo de la referencia con las personas a ser llamadas en

caso de daños se encuentra detallada en la Tabla 31.

103

3.2.1.1. Preparación ante un Desastre

Se describe a continuación los pasos mínimos necesarios para estar preparados

ante un desastre y los procedimientos a implementarse para la recuperación. Una

parte importante es asegurar que el respaldo externo esté correcto y actualizado

así como la documentación de aplicaciones, paquetes de soporte y los

procedimientos operativos.

3.2.1.2. Procedimientos Generales

Las responsabilidades se han dado para garantizar que cada una de las

siguientes acciones se ejecute y para que su actualización sea continúa.

Mantenimiento y actualización semestral del plan de recuperación ante desastres.

Garantizar que todo el personal sea consciente de sus responsabilidades en caso

de un desastre.

Asegurar que las rotaciones programadas de las copias de seguridad periódicas

se están ejecutando, sobre todo para las unidades de almacenamiento

localizadas en sitios externos.

El mantenimiento y la actualización periódica de los materiales de recuperación

de desastres, específicamente la documentación de información almacenada en

sitios de seguridad externos a las oficinas.

El mantenimiento del estado actual de los equipos en los cuartos principales de

servidores.

Informar a todo el personal de tecnología sobre una emergencia y los

procedimientos adecuados de evacuación del centro de cómputo y del

Departamento de Tecnología.

104

Garantizar que los dispositivos de protección contra incendios están funcionando

correctamente y que están siendo revisados periódicamente.

Garantizar que los dispositivos UPS están funcionando correctamente y que están

siendo revisados periódicamente.

Velar por que se mantenga la temperatura adecuada en los centros de cómputo.

3.2.1.2.1. Cronograma General

Sobre la base de la notificación de que un incidente se ha producido en cualquiera

de los servicios informáticos de la compañía, el Coordinador de Recuperación

ante Desastres o el encargado deben notificar a todos los demás funcionarios del

Departamento de Tecnología. La comunicación entre estos miembros es

fundamental para el éxito de la recuperación y restauración ante un desastre.

Si los procedimientos de emergencia no se han invocado, con el indicador de

cuatro horas después de la notificación inicial de un incidente, en cualquiera de

los servicios informáticos, el Plan de Recuperación ante Desastres entrará en

vigor y debe seguir el siguiente cronograma:

Fase 1 - Dentro de 6 horas de la notificación inicial:

· Asegurarse de que todos los funcionarios han sido evacuados del lugar y

que sean tomados lista.

· Asegurarse de que el sitio principal (centro de cómputo UIO) ha sido

asegurado.

· Asegurarse de que las autoridades de seguridad y anti-incendios han sido

notificadas.

· Decidir si se va a reabrir las oficinas principales o se trasladarán a un sitio

alternativo.

· Notificar a todo el personal de Tecnología de un desastre.

105

· El personal de Tecnología ya debe conocer de sus responsabilidades de

recuperación primaria y el envío de un informe.

Fase 2 - Dentro de las 12 horas de la notificación inicial

· Confirmar el financiamiento disponible para los requisitos del plan de

recuperación.

· Notificar a los proveedores de apoyo para recuperación de la catástrofe y el

orden de sustitución del hardware preliminar.

· Iniciar el transporte de suministros y equipos al sitio de recuperación.

· Iniciar el transporte de los medios/Tecnología de recuperación y el

hardware para el nuevo sitio.


· Restauración de las copias de seguridad del sistema y pruebas de

integridad.

· Garantizar la existencia de suficientes suministros en el sitio de

recuperación.

· Llevar todos los dispositivos de recuperación.

· Establecer planes de copia de seguridad de todos los dispositivos

recuperados.

· Notificar a todo el personal de Tecnología y de administración del sitio de

recuperación.

· Inventariar los materiales recuperados del sitio primario.

· Volver a evaluar los daños y las pérdidas en el sitio primario.


· Discutir entre los miembros del Departamento de Tecnología sobre las

causas y resultados.

· Decidir sobre permanecer o trasladarse al sitio de recuperación.

· Preparación para desastres en el sitio de recuperación.

Fase 5 – Dentro de los 7 días de la notificación inicial

106

· Limpieza del sitio primario

· Re - establecimiento del sitio primario

3.2.1.3. Planes de Recuperación

EKBC & JFSV tiene establecidos planes auxiliares para la recuperación ante

desastres realizados por el área de Tecnología.

3.2.1.3.1. Plan de recuperación de ordenadores fijos

Las secretarias de esta unidad deben respaldar su información de la siguiente

manera:

Periódicamente – Se almacenan todos los días los archivos de los clientes a nivel

administrativo. Se deben generar y almacenar los archivos de trabajo en la

carpeta del servidor de archivos asignada. Como plan de copia de seguridad de

respaldos, estos archivos serán respaldados en una unidad de almacenamiento

externa y llevada a la caja de seguridad del banco de manera quincenal.

Cada secretaria es responsable de que sus archivos de trabajo estén alojados en

el servidor.

3.2.1.3.2. Plan Recuperación Y Control Adm BTS

Copia de seguridad completa de los datos de todos los servidores; se realizan

semanalmente copias de seguridad, se transportan electrónicamente los datos

almacenados del sistema ADMBTS a Guayaquil cada semana y en Quito se

graban en medios de almacenamiento para colocarlos en un lugar externo.

Para mayor referencia EKBC & JFSV posee un PROCEDIMIENTO DE

RESPALDOS Y RECUPERACION DE INFORMACION SISTEMA ADMBTS).

107

La información de respaldo de todas las áreas de la firma se encuentra alojada en

una caja de seguridad del Banco Produbanco de la Av. Amazonas y Japón. Ana

Cristina Meneses, Banca Empresarial –Produbanco, Telf. 2999-000 ext. 2343.

3.2.1.3.3. Back Up de Información de Auditores

Actualmente EKBC & JFSV cuenta con un procedimiento de respaldo en cliente

mediante servicio FTP, de tal manera que los auditores tengan su información

respaldada y segura ante algún desastre (daño del computador por medio físico o

virtual) o siniestro.

Los auditores están obligados a respaldar su información diariamente en su

respectiva carpeta FTP ubicada en un servidor. El cumplimiento de esta política

ayuda en la recuperación inmediata de la información por algún desastre que se

produzca con el equipo computacional.

Para mayor referencia EKBC & JFSV posee un PROCEDIMIENTO DE

RESPALDOS FTP EN CLIENTE.

3.2.1.3.4. Plan de Recuperación de los Servicios Principales

Un incidente en la infraestructura de computación y redes del cuarto de servidores

puede poner en marcha este plan en acción. Un incidente puede ser de tal

magnitud que inutilizaría las instalaciones y los planes de un sitio suplente son

obligatorios. En este caso, las secciones del sitio alternativo de este plan deben

estar implementadas. Es evidente que todas las secciones de apoyo importantes

tendrán que funcionar juntas en un desastre, aunque un plan de acción específico

esté escrito para cada sección.

3.2.1.3.5. Plan de Recuperación de los Servicios del Centro de Cómputo

Esta sección del plan de recuperación de los servicios será puesta en marcha

cuando haya ocurrido un incidente que requiera el uso del sitio alternativo, o el

108

daño es tal que las operaciones se pueden restaurar, pero sólo en modo parcial

en el sitio central en un tiempo razonable.

Se parte del supuesto de que un desastre se ha producido y el plan de

recuperación administrativa se debe poner en efecto. El jefe del departamento de

Tecnología tendrá que tomar esta decisión.

En caso de que sea un traslado a un sitio alternativo, o un plan para continuar las

operaciones en el sitio principal, los siguientes pasos generales deben tomarse:

· Determinar el alcance de los daños y si se necesita equipo y suministros

adicionales.

· Obtener la aprobación de los gastos de los fondos para traer todo el

equipo necesario y los suministros.

· Iniciar los procedimientos de compra, si hay una necesidad de la entrega

inmediata de los componentes para los Tecnología informáticos a nivel

operacional, incluso en un modo degradado.

· Si se considera conveniente, consultar con los proveedores de terceros

para ver si se puede obtener un programa de entrega más rápida.

· Notificar a los proveedores de soporte de hardware que se debe dar

prioridad a la asistencia para añadir y / o reemplazar los componentes

adicionales.

· Notificar a los proveedores de soporte de software que se necesita

ayuda de inmediato para iniciar los procedimientos para restablecer los

Tecnología de software.

· Ordenar un adicional de cables eléctricos o de computadores a los

proveedores.

· Pedido urgente de los suministros, formas o medios que puedan

necesitarse.

Además de los pasos generales que figuran al principio de esta sección, las

siguientes tareas adicionales se deben seguir en el uso del sitio alternativo:

109

· Notificar oficialmente de que un sitio alternativo será necesario para una

facilitar los Servicios a los Clientes.

· Coordinar movimiento de equipos y personal de apoyo en el sitio

alternativo con el personal adecuado.

· Colocar los medios de recuperación de los servicios de almacenamiento

externo fuera del sitio alternativo.

· Tan pronto como el hardware esté levantado para ejecutar el sistema

operativo, instalar el software y ejecutar las pruebas necesarias.

· Determinar las prioridades de los programas que deben estar

disponibles y la instalación ordenada de estos paquetes. Estas

prioridades dependen a menudo de la época del mes y del semestre,

cuando el desastre ocurre.

· Preparar los medios de copia de seguridad y el retorno de estos a la

zona externa del lugar de almacenamiento.

· Establecer operaciones de servicios en el sitio alternativo.

· Coordinar las actividades del cliente para garantizar el apoyo a los

puestos de trabajo más críticos cuando sea necesario.

· Dado que la producción se inicia, asegúrese de que los procedimientos

de copias de seguridad periódicas se están siguiendo y los materiales

están siendo objeto de almacenamiento fuera de sitio periódicamente.

· Elaborar planes para asegurar que todos los servicios de apoyo crítico

se están introduciendo progresivamente

· Mantener a la administración y a los clientes informados de la situación,

los avances y problemas.

· Coordinar los planes de largo alcance con la administración, los

funcionarios del sitio alternativo, y el personal del Servicio al Cliente para

coordinar el tiempo de soporte por parte del personal de apoyo continuo.

3.2.1.3.6. Operaciones Degradadas

110

En este caso, se supone que ha ocurrido un incidente, pero las operaciones de

los servicios degradados se pueden configurar en el cuarto de servidores.

Además de generar los pasos que se siguen en cualquier caso, las medidas

especiales deben ser tomadas.

· Evaluar la magnitud de los daños, y si sólo los servicios degradados

puede ser levantados, determinar cuánto tiempo pasará antes de que se

pueda ofrecer un servicio restaurado.

· Reemplazar el hardware que sea necesario para restaurar el servicio a

por lo menos un servicio degradado.

· Realizar la instalación del sistema, según sea necesario para restablecer

el servicio. Si los archivos de copia de seguridad son necesarias y no

están disponibles el sitio principal, se debe recurrir a los respaldos

externos.

· Trabajar con diversos proveedores, según sea necesario, para

garantizar el apoyo en la restauración de servicio completo.

· Mantenga la administración y los empleados informados de la situación,

los avances y problemas.

3.3. ANÁLISIS DE RESULTADOS.

3.3.1. GENERALIDADES

Se realizó un análisis de escenarios posibles de ocurrencia que pueden afectar la

continuidad de negocio como son: incendio, falla de energía, robo, falla de red,

ataques al sistema de información computacional, riesgo operacional y erupción

de volcán.

Se evaluó los distintos casos y el impacto que tendría sobre la empresa que se

utilizó como caso de modelo y se tomaron en cuenta los riesgos más potenciales

que reflejarían un descenso de continuidad en caso de ocurrencia.

111

3.3.2. RESULTADOS

Una vez realizado el análisis en la realidad de la Empresa Auditora EKBC &

JFSV, se ha podido identificar que los escenarios de riesgo con mayor ocurrencia

y ocasionar mayor impacto en el negocio son incendio, robo, falla de red y riesgo

operacional.

Estos escenarios que pueden ocasionar la pérdida de continuidad o

interrupciones en los servicios prestados por EKBC & JFSV. A continuación se

detallan en orden de importancia:

· Riesgo Operacional: En el caso de EKBC & JFSVse tiene un riesgo

operacional considerando que el trabajo propiamente es realizar la

auditoría a diferentes empresas, esto implica que los auditores estén en

gran medida en contacto con los clientes lo que conlleva a tener un trato

apropiado con lenguaje correcto y comunicación acertada caso contrario

pone en riesgo la auditoría como tal.

· Robo: En Ecuador, el índice de delincuencia como tal ha ido creciendo y

nadie está libre de que en cualquier momento pueda ser víctima de un robo

o asalto más aún cuando en su mayoría los auditores tienen que

movilizarse a los clientes con el computador que aun cuando genera un

riesgo de pérdida de información también genera un peligro para la vida de

los auditores.

· Incendio: Teniendo en cuenta que EKBC & JFSV cuenta con instalaciones

de ya varios años y que sus pisos son alfombrados (alfombra inflamable)

está propenso a tener incendios lo que generaría perdida no solo de

información sino de lo más importante que es el recurso humano.

· Falla de Red: Al tener una falla de red puede suscitarse una mala

realización de respaldos de información lo cual genera datos erróneos

almacenados que cuando deban ser utilizados no estarán disponibles o

estarán equivocados.

112

En cuanto a la mitigación de estos escenarios se ha desarrollado el Plan de

Recuperación de Desastres que permite la recuperación de los servicios

tecnológicos que da una pauta para la elaboración de los planes y políticas de

acuerdo a la realidad de la Empresa.

Se ha podido identificar que a nivel Organizacional es necesaria la

implementación de mejoras en cuanto a la seguridad del personal ya que se ha

podido identificar que no se cuenta con un área de Seguridad organizacional y

Salud Ocupacional.

El contar con un área de Seguridad organizacional y Salud Ocupacional ayudará

a que en caso de emergencias ocurridas en los escenarios de riesgo como

incendios o terremotos se pueda actuar de manera eficiente y se eviten así las

pérdidas Humanas. El personal que pertenezca a estas áreas debe contar con

preparación en Primeros auxilios.

En cuanto a la continuidad del negocio, es importante establecer un Comité de

Riesgos, integrado por los responsables de cada área. Es importante la creación

de este comité ya que permite establecer los posibles daños ante un incidente,

establecer las prioridades y valorar si los planes con los que se cuenta son

eficientes. Adicionalmente este comité es el encargado de la actualización,

revisión del plan y establecer pruebas de funcionalidad del mismo.

113

CAPITULO 4.

CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES.

Al iniciar con este plan se propone una Propuesta del Plan de Continuidad del

Negocio a EKBC & JFSV. Al finalizar el proyecto presentamos la propuesta y

validación como contenido de este trabajo.

· Nos hemos basado en el estándar ISO 27005:2008, análisis FODA y Análisis

PESTEL para la determinación de riesgos y vulnerabilidades, adicional a esto

se ha analizado la Estructura Empresarial; los Procesos, Productos y Servicios

que EKBC & JFSVofrece, otra área importante que se ha considerado es la

Estructura Tecnológica y las plataformas sobre las que la Empresa Auditora

Trabaja, en base a estas normas, análisis y estudios se han identificado los

Riesgos, Vulnerabilidades y las respuestas que se puede dar ante estos

escenarios.

· Se ha realizado un estudio de la problemática y se visualiza que la empresa, a

pesar de contar con políticas y procedimientos establecidos se encuentra débil

en cuanto a la gestión de riesgos, estos riesgos son en su mayoría Riesgos de

Operación y de Recuperación Tecnológica en caso de desastres o fallos

debido a la falta de documentación de los procedimientos que se deben

seguir.

· Del trabajo realizado se ha podido identificar que los riesgos que generarían

un mayor impacto en el caso de ocurrencia son los siguientes: incendio, robo,

falla de red y riesgo operacional.

· Hemos estudiado la norma ISO 22301:2012, un estándar que nos permite

establecer una propuesta basada en los riegos y vulnerabilidades que se han

identificado en la Empresa, adicionalmente se plantea el aporte que los

miembros de la organización proporcionan en el desarrollo de la propuesta.

114

· En base a esta norma se ha establecido un Plan de recuperación de

Desastres (DRP) que contienen planes parciales para la recuperación de los

servicios y equipos en caso de daños o fallas.

· Se ha desarrollado una guía que permite aplicar los procedimientos y

proporciona los pasos necesarios para aplicar los casos de contingencia.

· Esta guía permite la identificación de riesgos a los que se enfrenta una

empresa que ha implementado diferentes plataformas tecnológicas, permite

identificar cual es la situación actual de la Empresa y en base a ella la

elaboración de planes que permitan mitigar el riesgo. Adicionalmente cuenta

con una guía para la socialización del Plan de Continuidad.

· Se ha validado la guía de procedimientos aplicándolos en la realidad de la

Empresa Auditora EKBC & JFSV; primero se realizó el análisis de riesgos el

impacto que estos riesgos generarían dentro de la Empresa, a continuación se

elaboró el diseño de los procedimientos a seguir los mismos que se enfocan

en la mitigación de riesgos y vulnerabilidades ya identificadas.

115

4.2. RECOMENDACIONES.

En base a los resultados obtenidos en el desarrollo del plan se recomienda:

· Se recomienda elaborar un Plan de Continuidad en base a la norma ISO

22301:2012 ya que proporciona una visión global que puede ser aplicada en

cualquier tipo de empresa como se ha mostrado en el desarrollo de este plan.

· Coordinar con el personal de Recursos Humanos capacitaciones sobre la

ejecución de los planes de contingencia vigentes y los que se desarrollen a

futuro.

· Se recomienda al personal encargado de la Administración del BCP

establecer, definir y socializar las personas que conformarán el comité de

crisis, así como las responsabilidades. Adicionalmente se recomienda la

implementación de una política de actualización del plan y de ejecución de

pruebas del mismo.

· Fortalecer las políticas implementadas en cuanto a respaldos y seguridades en

los equipos de computación que son movilizados. Así mismo documentar los

procedimientos de encendido y apagado de los equipos tecnológicos como las

configuraciones que se encuentran vigentes.

116

·

BIBLIOGRAFÍA

J Gaspar Martínez, Planes de contingencia, La continuidad del negocio en las

organizaciones, Madrid, España, 2004

J Gaspar Martínez, El plan de Continuidad de Negocio: Guía práctica para su

elaboración Madrid, España, 2008

J Chapman, Plan de recuperación de negocios en una semana, Barcelona,

España 2006.

J Martínez Ponce de León, Introducción al análisis de riesgos, México, México,

2002

ISO/IEC 27001:2005 (antes BS 7799-2:2002): Sistema de gestión de la seguridad

de la información.

ISO 22301:2012 Sistemas de gestión & continuidad del negocio

Páginas Web

WIKIPEDIA, (2014, Marzo 30), Plan de continuidad del negocio, Disponible en:

http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio,

F Ramírez. L Daza de Montoya, (2014, Junio 20), GESTIÓN DE CONTINUIDAD

DEL NEGOCIO, Plan de Continuidad del Negocio By BIL, Disponible en

http://bilait.co/continuidad/

117

GLOSARIO

Active Directory: Denominado en español como Directorio Activo, se define

como el servicio de directorio de una red de Windows que se convierte en un

medio de organizar, controlar y administrar centralizadamente el acceso a los

recursos de la red. El Active Directory además separa la estructura lógica de una

organización de la estructura física de la misma.

BCP: Acrónimo de Bussines Continuity Plan o también conocido en español como

el Plan de Continuidad del Negocio. Es entendido como las actividades para

recuperar y poder continuar con todas las operaciones de negocio además de las

operaciones de TI luego de la existencia de alguna eventualidad.

BIA: Acrónimo de Bussiness Impact Analysis su propósito es determinar y

entender qué procesos son esenciales para la continuidad de las operaciones y

calcular su posible impacto. Este proceso es parte fundamental dentro de la

elaboración de un Plan de Continuidad del Negocio.

De acuerdo al Business Continuity Institute se tienen cuatro objetivos principales

al realizar un análisis de impacto:

• Entender los procesos críticos que soportan el servicio, la prioridad de cada uno

de estos servicios y los tiempos estimados de recuperación (RTO).

• Determinar los tiempos máximos tolerables de interrupción (MTD).

• Apoyar el proceso de determinar las estrategias adecuadas de recuperación.

Contingencia: Serie de procedimientos alternativos al funcionamiento normal de

una organización, cuando alguna de sus funciones usuales se ve perjudicada ante

la ocurrencia de cualquier eventualidad y minimizar al máximo los impactos que

esta pueda ocasionar.

Disponibilidad: Continuidad de acceso a los elementos de información

almacenados y procesados en un sistema informático.

118

DRP: Acrónimo de Disaster Recovery Plan o también conocido en español como

el Plan de Recuperación de Desastres. Es entendido como las actividades para

recuperar las operaciones de TI, incluyendo las telecomunicaciones, luego de la

existencia de un desastre que se haya dado en una empresa o institución.

Firewall: Es un dispositivo de seguridad, que es parte de un sistema o una red

diseñada para controlar accesos no autorizados, de comunicaciones malignas,

entre sus principales funciones tenemos: filtrado de paquetes y navegación,

traslación de direcciones de privadas a públicas y viceversa, encriptación (VPNs),

Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados.

Incidente: Cualquier evento que no forma parte del desarrollo habitual del

servicio y que causa, o puede causar una interrupción del mismo o una reducción

de la calidad de dicho servicio.

Integridad: Se entiende por integridad el servicio de seguridad que garantiza que

la información es modificada, incluyendo su creación y borrado, solo por el

personal autorizado. Por lo tanto los Sistemas de Información no debe modificar

o corromper la información que almacene, o permitir que alguien no autorizado lo

haga.

Políticas: Es un conjunto de reglas, normas, orientadas a regular cierta actividad,

con el objetivo de cumplir ciertos objetivos que fueron planteados. En informática

uno de los principales objetivos de las políticas es normar o regular la

administración de los recursos tecnológicos y de información.

Proceso: Conjunto de actividades o eventos, coordinados u organizados que se

realizan o suceden (alternativa o simultáneamente) bajo ciertas circunstancias

con el fin de cumplir con un objetivo en específico.

119

Riesgo: Se define como riesgo a la probabilidad de que cualquier eventualidad se

aproveche de las vulnerabilidades de un sistema, de forma que imposibilite el

cumplimento de un objetivo o ponga en peligro a los bienes de la organización,

ocasionándole pérdidas o daños.

UPS: Un UPS es una fuente de suministro eléctrico que posee una batería con el

fin de seguir dando energía a un dispositivo en el caso de interrupción eléctrica.

Los UPS son llamados en español SAI (Sistema de alimentación ininterrumpida).

UPS significa en inglés Uninterruptible Power Supply.

VPN: Red Privada Virtual, es una tecnología de red que permite una extensión

segura de una red local, sobre una red pública o no controlada.

Vulnerabilidad: Punto o aspecto del sistema que es susceptible de ser atacado o

de dañar la seguridad del mismo. Representa las debilidades o aspectos viables o

atacables en el Sistema Informático.

120

ANEXOS

121

ANEXO I

Orgánico Funcional EKBC & JFSV

124

ANEXO II

Topología de la Red de EKBC & JFSV .

escuela politecnica nacional - epn: página de...

Documents