trabajo de grado integraciÓn de la estrategia de … · 2020. 9. 1. · 3.2.3. cascada de metas...
TRANSCRIPT
1
TRABAJO DE GRADO
INTEGRACIÓN DE LA ESTRATEGIA DE PROTECCIÓN DE ACTIVOS DE INFORMACIÓN AL PLAN DE RECUPERACIÓN DE DESASTRES DE UNA CASA
DE SOFTWARE BAJO LA NORMA GTC-ISO/TS 22317:2015
WILSON CASTILLO TORRES
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ D.C, MAYO 2020
2
TRABAJO DE GRADO
INTEGRACIÓN DE LA ESTRATEGIA DE PROTECCIÓN DE ACTIVOS DE INFORMACIÓN AL PLAN DE RECUPERACIÓN DE DESASTRES DE UNA CASA
DE SOFTWARE BAJO LA NORMA GTC-ISO/TS 22317:2015
WILSON CASTILLO TORRES
Trabajo de grado presentado para optar al título de Especialista en Seguridad de la Información
Docente: Ing. ALFONSO LUQUE ROMERO
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
BOGOTA D.C
2020
3
Nota de aceptación
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
______________________________________
4
5
DEDICATORIA
Dedico este gran esfuerzo a todos los especialistas en seguridad de la información que día a día ponen sus conocimientos al servicio de la mejora continua y al desarrollo de las organizaciones, con un sentido abrazo para todos y cada uno que fueron amigos y maestros en esta nueva etapa de mi formación y de mi vida.
Ing. Wilson Castillo Torres. Universidad Distrital Francisco José de Caldas Especialista en Auditoria de Sistemas de Información Universidad Católica de Colombia
AGRADECIMIENTOS
Agradezco al todopoderoso por sus bendiciones en mí, también agradezco a mi madre y mis hermanas por sus enseñanzas y su confianza y a mi padre por su sentido de trabajo, a mi asesor, el Ing. Alfonso Luque, por sus sabios consejos y revisiones, al ingeniero Diego Osorio por ser una escalera para el camino de esta idea, Al ingeniero Jhon Fredy Cardona por sus recomendaciones y el apoyo a un miembro de su equipo en apuros, a los amigos de mis días que siempre permanecen allí y a mi esposa por caminar de la mano y a mi lado en este rumbo y en esta vida.
Ing. Wilson Castillo Torres. Universidad Distrital Francisco José de Caldas Especialista en Auditoria de Sistemas de Información Universidad Católica de Colombia
6
TABLA DE CONTENIDO
1. Introducción 12
2. Generalidades 14
2.1. Línea de Investigación 14
2.2. Planteamiento del Problema 14
2.2.1. Antecedentes del problema 15
2.2.2. Pregunta de investigación 16
2.2.3. Variables del problema 16
2.3. Justificación 16
2.4. Objetivos 18
2.4.1. Objetivo general 18
2.4.2. Objetivos específicos 18
3. Marcos de referencia 18
3.1. Marco conceptual 18
3.2. Marco teórico 20
3.2.1. Componentes del Ciclo PHVA 20
3.2.2. GTC-ISO/TS 22317 22
3.2.3. Cascada de Metas COBIT v5 23
3.2.4. Clasificación de Activos de Información según la Guía 5 para la Gestión de Activos de Información 26
3.3. Marco jurídico 29
3.4. Estado del arte 30
4. Metodología 32
4.1. Fases del trabajo de grado 32
4.2. Instrumentos o herramientas utilizadas 34
4.3. Población y Muestra 34
4.3.1. Población 34
4.3.2. Segmento de la Población 34
4.3.3. Muestra 35
4.4. Alcances y limitaciones 36
4.4.1. Alcance 36
4.4.2. Limitaciones 36
7
5. Desarrollo de la propuesta 36
5.1. Fase 1: Levantamiento de información 37
5.1.1. Historia 38
5.1.2. Organigrama Casa de Software 38
5.1.3. Análisis de los Procesos de la unidad 38
5.2. Fase 2: Análisis y organización del levantamiento de información 40
5.2.1. Recopilación de información a través de encuestas 44
5.2.2. Verificación frente a plan de continuidad de la casa de software 48
5.2.3. Adaptación de Cascada de metas de COBIT para priorización de procesos 48
5.2.3.1. Establecimiento de la cascada de metas 50
5.2.3.2. Matriz Procesos Validados vs Metas Corporativas 52
5.2.3.3. Matriz entre las metas corporativas y las preguntas del gobierno y gestión 53
5.3. Fase 3: Diagnóstico y planteamiento de estrategias de protección 56
5.3.1. Clasificación de Activos de información 57
5.3.2. Valoración de Riesgos identificados hacia los activos 58
5.4. Fase 4: Generación de propuesta y comunicación de los resultados 59
5.4.1. Escenarios de Desastre 59
5.4.2. Procesos Críticos con RTO y RPO 60
5.4.3. Información de recursos necesarios en la estrategia de protección 61
5.4.4. Operación alterna en caso de contingencia 65
5.4.5. Clientes en operación mínima en caso de contingencia 69
5.4.6. Procedimientos antes del incidente 70
5.4.7. Procedimientos durante el incidente 71
5.4.8. Procedimientos después del incidente 73
5.4.9. Proveedores operación crítica 75
5.4.10. Personal operación crítica 76
6. Productos a entregar 79
7. Entrega de Resultados e impactos 79
7.1. Entrega de Resultados e impactos fase 1 79
7.2. Entrega de Resultados e impactos fase 2 79
7.2.1. Totalización procesos habilitadores relacionados con procesos críticos 91
8
7.3. Entrega de resultados e impactos fase 3 92
7.3.1. Clasificación de Activos de información con mayor relevancia para la elaboración de la estrategia conforme a Guía 5 (MinTIC) 92
7.3.2. Resultado de Valoración de Riesgos identificados hacia los activos con nivel de riesgo alto y extremo 93
7.4. Entrega de resultados e impactos fase 4 96
8. Nuevas áreas de estudio 97
9. Conclusiones 97
10. Bibliografía 98
11. Anexos 102
9
LISTA DE FIGURAS
Pág.
FIGURA 1. EL CICLO PHVA Y LA ISO 22301 ............................................................................................................... 21 FIGURA 2. CASCADA DE METAS COBIT V5 .................................................................................................................. 25 FIGURA 3. FASES DEL PROYECTO................................................................................................................................ 33 FIGURA 4. DESARROLLO DE LA PROPUESTA. ................................................................................................................. 37 FIGURA 5. ORGANIGRAMA CASA DE SOFTWARE ............................................................................................................ 38 FIGURA 6. MAPA DE PROCESOS CASA DE SOFTWARE ..................................................................................................... 39 FIGURA 7. RELACIONES EN EL ANÁLISIS DE IMPACTO EN EL NEGOCIO ................................................................................. 43 FIGURA 8. CASCADA DE METAS CASA DE SOFTWARE. .................................................................................................... 51 FIGURA 9. PROCESO DE ANÁLISIS DE IMPACTO EN EL NEGOCIO ........................................................................................ 56 FIGURA 10. ¿CONOCE USTED LOS PROCESOS QUE RIGEN LAS LABORES QUE SE REALIZAN EN LA UEN SALUD? ........................... 80 FIGURA 11. DENTRO DE SU EXPERIENCIA ¿CUÁLES DE ESTOS PROCESOS PUEDEN CONSIDERARSE COMO CRÍTICOS PARA EL
FUNCIONAMIENTO DE LA UEN SALUD? (LAS 3 OPCIONES MÁS IMPORTANTES) ................................................................... 80 FIGURA 12. ¿CUÁLES DE ESTOS PROCESOS APOYAN A SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS IMPORTANTES) ................. 81 FIGURA 13. ¿CONOCE USTED LAS ÁREAS QUE DEBEN EJECUTAR PROCESOS DE APOYO A SU ÁREA DE GESTIÓN? .......................... 81 FIGURA 14. ¿CONOCE USTED LOS SERVICIOS QUE SE PRESTAN DESDE SU ÁREA DE GESTIÓN? ................................................. 82 FIGURA 15. ¿CUÁLES DE ESTOS SERVICIOS SE RELACIONAN DIRECTAMENTE CON SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS
IMPORTANTES) ...................................................................................................................................................... 82 FIGURA 16. ¿CUÁLES DE ESTOS SERVICIOS APOYAN A SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS IMPORTANTES) .................. 83 FIGURA 17. ¿CONOCE USTED LAS ÁREAS QUE DEBEN EJECUTAR LOS SERVICIOS A SU ÁREA DE GESTIÓN? .................................. 83 FIGURA 18. ¿CUÁLES DE ESTOS PRODUCTOS SE RELACIONAN DIRECTAMENTE CON SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS
IMPORTANTES) ...................................................................................................................................................... 84 FIGURA 19. ¿CONOCE QUE COMPONENTES HACEN PARTE DE LOS PRODUCTOS A LOS CUALES SU ÁREA REALIZA GESTIÓN? ........... 84 FIGURA 20. ¿DE LOS COMPONENTES AQUÍ LISTADOS SELECCIONE LOS QUE APLIQUEN AL PRODUCTO 1? (LAS 3 OPCIONES MÁS
IMPORTANTES) ...................................................................................................................................................... 85 FIGURA 21. ¿DE LOS COMPONENTES AQUÍ LISTADOS SELECCIONES LOS QUE APLIQUEN AL PRODUCTO 2? (LAS 3 OPCIONES MÁS
IMPORTANTES) ...................................................................................................................................................... 85 FIGURA 22. ¿DE LOS COMPONENTES AQUÍ LISTADOS SELECCIONES LOS QUE APLIQUEN AL PRODUCTO 3? (LAS 3 OPCIONES MÁS
IMPORTANTES) ...................................................................................................................................................... 86 FIGURA 23. ¿CONOCE USTED COMO SE PROTEGEN LOS ARCHIVOS, DOCUMENTOS, DISEÑOS O PIEZAS DE CÓDIGO QUE GENERA SU
ÁREA DE GESTIÓN PARA EL DESARROLLO DEL PRODUCTO? ............................................................................................... 86 FIGURA 24. CONOCE LOS AMBIENTES LIGADOS A FABRICACIÓN Y PUESTA EN MARCHA DE PRODUCTOS GENERADOS EN EL ÁREA .... 87 FIGURA 25. DE LOS AMBIENTES SUGERIDOS ¿EN CUALES SE VE INVOLUCRADO EN DESARROLLO DE SUS FUNCIONES? (LAS 3
OPCIONES MÁS IMPORTANTES).................................................................................................................................. 87 FIGURA 26. DE LOS AMBIENTES SUGERIDOS ¿CUÁLES SON LOS AMBIENTES QUE DEBEN SER CLASIFICADOS Y PROTEGIDOS PARA EL
NORMAL FUNCIONAMIENTO DEL ÁREA? (LAS 3 OPCIONES MÁS IMPORTANTES) ................................................................... 88 FIGURA 27. ¿CONOCE USTED COMO SE PROTEGEN LOS AMBIENTES DE FABRICACIÓN EN LOS QUE TRABAJA SU ÁREA DE GESTIÓN? 88 FIGURA 28. ¿CONOCE USTED LOS CONTROLES DISPUESTOS POR EL ÁREA / ORGANIZACIÓN PARA LA PROTECCIÓN DE LOS ACTIVOS DE
INFORMACIÓN? ..................................................................................................................................................... 89 FIGURA 29. DENTRO DE LOS CONTROLES QUE USTED CONOCE / DESEA EN LA ORGANIZACIÓN ¿CUÁLES DE LAS SIGUIENTES OPCIONES
DEBEN INCLUIRSE? (LAS 3 OPCIONES MÁS IMPORTANTES) .............................................................................................. 89
10
LISTA DE TABLAS
Pág.
TABLA 1. ANÁLISIS DE IMPACTO EN EL NEGOCIO EN UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO CON BASE EN LA ISO
223301 .............................................................................................................................................................. 23 TABLA 2. OBJETIVOS DE LA EMPRESA DE COBIT V5 ...................................................................................................... 25 TABLA 3. OBJETIVOS DE LAS TI .................................................................................................................................. 26 TABLA 4. ESQUEMA DE CLASIFICACIÓN POR CONFIDENCIALIDAD. ..................................................................................... 27 TABLA 5. ESQUEMA DE CLASIFICACIÓN POR INTEGRIDAD ............................................................................................... 28 TABLA 6. ESQUEMA DE CLASIFICACIÓN POR DISPONIBILIDAD. ......................................................................................... 28 TABLA 7. TABLA DE PROCESOS .................................................................................................................................. 39 TABLA 8. TABLA DE PROCESOS Y ACTIVOS HALLADOS ..................................................................................................... 41 TABLA 9. PREGUNTAS DE LA ENTREVISTA .................................................................................................................... 44 TABLA 10. IDENTIFICACIÓN DE LA FUNCIÓN DEL NEGOCIO .............................................................................................. 48 TABLA 11. MATRIZ PROCESOS VALIDADOS VS METAS CORPORATIVAS .............................................................................. 52 TABLA 12. MATRIZ ENTRE LAS METAS CORPORATIVAS Y LAS PREGUNTAS DEL GOBIERNO Y GESTIÓN ...................................... 53 TABLA 13 .MUESTRA DE CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN CONFORME A GUÍA 5 (MINTIC) ................................ 57 TABLA 14. MUESTRA DE VALORACIÓN DE RIESGOS IDENTIFICADOS HACIA LOS ACTIVOS ........................................................ 58 TABLA 15. ESCENARIOS DE DESASTRES ....................................................................................................................... 59 TABLA 16. INFORMACIÓN DE PROCESOS CRÍTICOS CON TIEMPO OBJETIVO DE RECUPERACIÓN Y PUNTO DE RECUPERACIÓN OBJETIVO
........................................................................................................................................................................... 60 TABLA 17. RECURSOS NECESARIOS EN LA ESTRATEGIA DE PROTECCIÓN .............................................................................. 61 TABLA 18. OPERACIÓN ALTERNA EN CASO DE CONTINGENCIA .......................................................................................... 65 TABLA 19. CLIENTES EN OPERACIÓN MÍNIMA EN CASO DE CONTINGENCIA .......................................................................... 69 TABLA 20. PROCEDIMIENTOS ANTES DEL INCIDENTE ...................................................................................................... 70 TABLA 21. PROCEDIMIENTOS DURANTE EL INCIDENTE .................................................................................................... 71 TABLA 22. PROCEDIMIENTOS DESPUÉS DEL INCIDENTE ................................................................................................... 73 TABLA 23. PROVEEDORES OPERACIÓN CRITICA ............................................................................................................. 75 TABLA 24. PERSONA OPERACIÓN CRÍTICA .................................................................................................................... 76 TABLA 25. CONTRASTE PROCESOS PUBLICADOS Y PROCESOS EN PLAN DE CONTINUIDAD ...................................................... 90 TABLA 26. TOTALIZACIÓN HABILITADORES CRÍTICOS NECESARIOS PARA LA GENERACIÓN DE LA ESTRATEGIA ............................... 91 TABLA 27. MUESTRA DE ACTIVOS CON CLASIFICACIÓN ALTA .......................................................................................... 92 TABLA 28. RESULTADO DE VALORACIÓN DE RIESGOS IDENTIFICADOS HACIA LOS ACTIVOS CON NIVEL DE RIESGO ALTO Y EXTREMO . 93 TABLA 29. COMPONENTES DE PLANTEAMIENTO DE ESTRATEGIA ...................................................................................... 96
11
LISTA DE ANEXOS
Pág.
ANEXO A. TABLA MATRIZ ENTRE LAS METAS CORPORATIVAS Y LAS METAS RELACIONADAS CON TI ...................................... 102 ANEXO B. TABLA MATRIZ ENTRE LAS METAS DE TI Y LOS PROCESOS DE COBIT V5 ............................................................ 104 ANEXO C. TABLA MATRIZ PUNTOS DE DOLOR ............................................................................................................ 107 ANEXO D. TABLA MATRIZ DIAGNOSTICO DE LA GESTIÓN DE CONCIENCIA ........................................................................ 110 ANEXO E. TOTALIZACIÓN DE TOTALIZACIÓN PROCESOS HABILITADORES RELACIONADOS CON PROCESOS CRÍTICOS ................... 112 ANEXO F. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN CONFORME A GUÍA 5 (MINTIC) .................................................. 115 ANEXO G. VALORACIÓN DE RIESGOS IDENTIFICADOS HACIA LOS ACTIVOS ......................................................................... 119
12
1. INTRODUCCIÓN
Dentro del aseguramiento de la información hay que tomar en cuenta a la misma como un activo más en la organización, donde su alteración o pérdida puede acarrear efectos económicos y reputacionales que puede acabar con el “good will” de toda empresa, dentro del plan para proteger la operación de todo negocio existe el plan de recuperación de desastres como alternativa de protección de la información basándose en el valor real que esta tenga para las operaciones y en coherencia con el apetito de riesgo en la organización frente a incidentes en los que sus datos se encuentren involucrados.
Hoy día, la información no se protege y preserva sólo para que no sea dañada, sino por la importancia y el uso que ésta tiene en todos los ámbitos de la vida. El comercio internacional, las instituciones bancarias y todo tipo de empresas mantienen sus operaciones gracias a que la información fluye a través de todos sus departamentos y áreas. La información se utiliza en cualquier empresa para realizar cuatro tipos de actividades: planeación, dirección, organización y control, las cuales fueron definidas hace más de 100 años por el ingeniero francés Henry Fayol. Lo que significa que la información se preserva para llevar a cabo en forma óptima el proceso administrativo
dentro de cualquier organización, de cualquier tipo de actividad y cualquier tamaño1.
A nivel profesional, las organizaciones, sin importar su naturaleza, al igual que las personas, dependen de alguna manera de la tecnología de la información como una herramienta esencial para lograr sus objetivos de negocio o para poder desarrollar actividades en su vida cotidiana; al mismo tiempo, todos tienen que enfrentarse con una amplia gama de amenazas y vulnerabilidades asociadas a los entornos informáticos de hoy.
En una fábrica de software es muy frecuente el uso y desarrollo de piezas de información encaminadas a la producción de productos y servicios de Software que merecen toda protección en cuanto a su confidencialidad, integridad y disponibilidad dentro de los procesos de análisis, diseño, construcción e implementación de proyectos. Cada uno de los artefactos que se producen en este proceso se constituyen como activos de información que poseen propiedad material e intelectual y redundan en capital intangible de todo negocio de creación y gestión de programas informáticos.
Los riesgos de la información están presentes cuando confluyen dos elementos:
1 BACA, U. G. «Introducción a la seguridad informática» (2016). [En línea]. Available: http://ebookcentral.proquest.com Created from biblioucatolicasp on 2020-04-28 14:46:07.
13
amenazas y vulnerabilidades. Las cuales están íntimamente ligadas, y no puede haber ninguna consecuencia sin la presencia conjunta de éstas.
Para el desarrollo de lo anterior se propone en este estudio una identificación de los activos de la fábrica de software como parte de la implementación de un análisis de impacto del negocio de la norma GTC-ISO/TS 22317 con el fin de determinar la importancia de estos a través de la clasificación y reconocimiento del valor intangible de componentes de desarrollo, piezas de código, artefactos y entregables con el fin de realizar un estudio del riesgo como factor desequilibrante de la estabilidad de la operación y facilitar una serie de recomendaciones que puedan aplicarse para generar un plan de recuperación de desastres adecuado.
14
2. GENERALIDADES
2.1. LÍNEA DE INVESTIGACIÓN
La línea de investigación que se adopta en el presente proyecto es: “Software inteligente y convergencia tecnológica”.
2.2. PLANTEAMIENTO DEL PROBLEMA
Con el auge de las tecnologías y su aplicación en entornos corporativos todas las organizaciones han generado una serie de información, herramientas y procesos en los cuales el entorno tecnológico está directamente relacionado en la consecución de sus metas, mejoramiento de sus productos y servicios y garantías de la protección de la Información ya sea por propiedad intelectual o desarrollos nuevos, así como lo relacionado a procesos de apoyo en la organización.
Sin embargo, las organizaciones se enfrentan a una serie de eventos, incidentes o amenazas que pueden desarrollarse y afectar directamente la confidencialidad integridad y disponibilidad de la información y de sus elementos tecnológicos involucrados lo que puede llevar a una detención de sus procesos y una afectación en la prestación de su servicio.
Para el caso en particular, la fábrica de software cuenta con una serie de información ligada al desarrollo normal de soluciones enfocadas al sector salud donde puede generarse productos y servicios que puedan considerarse como activos intangibles (información de análisis, diseño, desarrollo, implementación y pruebas donde pueden encontrarse artefactos, piezas de código, entregables e instrumentos de prueba) que deben ser evaluados y valorados con el fin de establecer prioridades de protección permitan un funcionamiento adecuado de sus objetivos de negocio.
Dentro del mercado nacional, la generación de producto de productos de software cuenta con crecimiento importante para el mercado colombiano donde las fábricas de software toman datos asociados al Core de negocio de sus clientes, lo anterior, desde el desarrollo de soluciones que permitan un equilibrio entre el desarrollo de empleo y el cumplimiento de sus objetivos de la fábrica, convirtiéndose en un nicho de mercado en constante crecimiento.
15
El mercado colombiano de Software y Tecnologías de la Información es el cuarto más grande de Latinoamérica, entre los que se encuentran Brasil, México y Argentina. Durante los últimos 10 años en Colombia, el mercado de TI ha crecido a una tasa del 18%; el sector del software ha crecido un 19,1% y los servicios de TI han crecido un 15,4%. Según IDC, la industria ha duplicado sus ventas en los últimos 7 años y, en 2017, alcanzó los 9.500 millones de dólares, repartidos en: hardware (56,5%), servicios informáticos (32,2%), software (11,4%). Colombia presenta una fuerte y creciente demanda interna, siendo los sectores con mayor gasto en TI el sector industrial, el
gobierno, el sector financiero y el sector agrícola2. Razón por la cual las fábricas de software han tomado como umbral de crecimiento el número de clientes adquiridos y fidelizados o el número de ventas realizadas, obviando que el desarrollo de un producto deviene de una serie de elementos que fueron parte en el desarrollo de las soluciones que se lanzan al mercado y la falta o afectación de esto puede afectar el funcionamiento adecuado del negocio generando pérdidas para la organización de tipo reputacional, contractual o económico.
2.2.1. Antecedentes del problema
Según la guía número 5 de MinTIC guía para la gestión de activos de información “La identificación del inventario de activos de información, permite clasificar los activos a los que se les debe brindar mayor protección, pues identifica claramente sus características y rol al interior de un proceso.”3 donde cobra importancia el conocimiento que toda entidad tenga acerca de sus activos de información para realizar una correspondiente estrategia de protección de los mismos ya sea para su preservación o su recuperación.
En la fábrica se realizan productos de software que tiene al sector salud como su objetivo de desarrollo de negocio con el fin de ofrecer soluciones para administración de la historia clínica y demás actividades a desarrollar en los centros de salud según sea su nivel de atención, es aquí donde los elementos previamente mencionados se convierten en activos que pueden ser divulgados, modificados o borrados afectando la integridad de los mismos, revelando información confidencial y sensible para la organización.
2 Velneo, «El desarrollo de software de gestión en Colombia en 2019» (16 01 2019). [En línea]. Available:
https://velneo.es/el-desarrollo-de-software-de-gestion-en-colombia-en-2019/. [Ultimo Acceso: 26 03 2020] 3 Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), «Guía para la gestión de activos de información» (15 03 2016). Pág. 11. [En línea]. Available: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf. [Ultimo Acceso: 26 03 2020]
16
Como tal, la fábrica hace uso de lo anteriormente mencionado sin realizar clasificación alguna del valor que cada elemento tiene para el desarrollo de soluciones o para el cumplimiento de sus objetivos de negocio, como es el uso de licencias para la elaboración y compilación de programas; motores de base de datos donde se almacenan bases de datos de desarrollo, pruebas y demostraciones, infraestructura tecnológica donde se alojan los recursos para la elaboración de las soluciones, artefactos compilados e información documentada según los procesos de desarrollo limitándose al respaldo de esta y presentando una oportunidad de mejora que permita la elaboración de una estrategia definida para proteger lo citado.
2.2.2. Pregunta de investigación
¿Cómo la formulación de una estrategia de protección de activos de información en una casa de software fortalece la elaboración de un plan de recuperación de desastres (DRP) basada en la norma estándar GTC-ISO 22317?
2.2.3. Variables del problema
● El nivel de prioridad de protección de la información definido por la
organización. ● El análisis del riesgo inherente al que se encuentra expuesto un activo o
componente de información. ● La clasificación de información conforme al levantamiento y la importancia
objetiva determinada.
2.3. JUSTIFICACIÓN
Partiendo de la pregunta de investigación, frente al manejo y descubrimiento de los activos de información para una fábrica de software, se requiere realizar clasificación y valoración de sus activos de información a través de levantamiento de información, encuestas y revisión de sus procesos para valorar la condición de sus creaciones y material de proceso como activos de información, lo que puede redundar en beneficios reputacionales, de seguridad y cumplimiento y generar una estrategia de protección de la información que pueda ser considerada como crítica, de alto valor y definida dentro del esquema de los procesos de la organización Para realizar lo anterior, se hace indispensable realizar un levantamiento de la información con el fin de determinar los procesos y los posibles activos de
17
información que puedan definirse de los mismos, elaborando métodos de recopilación de información tales como encuestas y análisis documental que permita entrever al investigador acerca del conocimiento que los funcionarios tienen con relación a los activos que desarrollan y a los activos existentes, aplicando métodos de gestión y clasificación de la información como activos intangibles tomando como referencia la guía número 5 del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), contrastándola frente a la Norma GTC-ISO/TS 22317 frente al desarrollo de un análisis de impacto en el negocio, elaborado de estos procedimientos realizar una valoración de la información y de los riesgos que pueda tener Asociados donde, finalmente se permita plantear una estrategia de protección de los activos de información que pueda desarrollarse a través de un plan de recuperación de desastres.
De esta manera; se espera con el proyecto determinar, clasificar, valorar y visualizar los riesgos a los que están expuestos los activos de información; teniendo en cuenta los procesos e instrumentos que se encuentran involucrados en el desarrollo de las soluciones de historia clínica y demás productos asociados que ofrece, siendo consistentes con la legislación nacional, con la normativa institucional y con los procesos que se desarrollan. Se busca que el proyecto también sirva como insumo para preparar a la Unidad Estratégica de Negocio y a la Fábrica de Software en el desarrollo de un Plan de Recuperación de Desastres (DRP) que sea adecuado a las necesidades de la misma y a la implementación de instrumentos de clasificación del riesgo tales como el análisis de impacto en el negocio.
Finalmente el desarrollo del proyecto permitirá a la fábrica de software resguardar los activos de información analizada cumpliendo con la base angular de la seguridad de la información (confidencialidad, integridad y disponibilidad) ante cualquier incidente que pueda atentar contra lo clasificado, donde se establezca el valor de la misma y se realicen recomendaciones de recuperación encaminados a generar futuras políticas de gobierno de la información adecuados al valor de la misma, abriendo la oportunidad de generación de nuevos proyectos donde se busque la salvaguarda de los activos y una relación consistente entre el activo y la necesidad de la fábrica de software de proteger Toda información que optimicen el desarrollo de sus soluciones.
18
2.4. OBJETIVOS
2.4.1. Objetivo general
Establecer una estrategia de protección de activos de la información para una fábrica de software que complemente el desarrollo de un plan de recuperación de desastres, tomando como referencia la norma GTC-ISO/TS 22317.
2.4.2. Objetivos específicos
● Identificar los procesos de la organización en estudio por medio de la recopilación de información relacionada con los productos y servicios que se elaboran en la fábrica de software.
● Determinar los activos de información estableciendo la prioridad de los procesos críticos a través de la adaptación de la Cascada de Metas de COBIT v5.
● Realizar clasificación de la información y valoración del riesgo conforme a los procesos de la organización y a la aplicación de lo descrito en la norma GTC-ISO/TS 22317.
● Generar recomendaciones que permitan fortalecer el desarrollo de un plan de recuperación de desastres adecuado a la operación y objeto social de la organización.
3. MARCOS DE REFERENCIA
3.1. MARCO CONCEPTUAL
Con el objetivo de realizar una estrategia de protección que sea adecuada para el área de estudio se debe considerar la información que se genera y almacena en la misma, lo anterior con el fin de definir la información presentada como activo donde Activo “en relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización”. Todos los activos pueden entenderse sujetos a Trazabilidad como “cualidad que permite que
19
todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad”. Estos activos como todo elemento pueden tener vulnerabilidades entendiendo Vulnerabilidad como “debilidad de un activo o control que puede ser explotada por una o más amenazas”.4
Con el objetivo de realizar una evaluación de riesgos que sea adecuada para la empresa debemos considerar la información que se genera o almacena con el fin de definir el riesgo, entendiéndose como el “efecto de la incertidumbre sobre los objetivos”. y el apetito de riesgo como el “nivel y tipo de riesgo que la organización está dispuesta a asumir”5.
Para definir la priorización de los riesgos se puede realizar un análisis del impacto al negocio (BIA) definido como el proceso del análisis de actividades y el efecto que una interrupción del negocio podría tener sobre ellas, que se apoyan en el estudio de las actividades que generan un “conjunto de tareas realizadas por una organización (o en su nombre) que produce o apoya uno o más productos y servicios”, entendidos como “resultados beneficiosos proporcionados por una organización a sus clientes beneficiarios y partes interesadas, por ejemplo, artículos manufacturados, seguros de automóviles y servicio de enfermería para la comunidad”6.
La estrategia de protección de activos tiene como fin proporcionar bases para el desarrollo de un Plan de recuperación de desastres (DRP) el cual forma parte de un plan de continuidad del negocio (BCP) o plan de contingencia de procesos de negocio (BPCP)– el cual describe cómo enfrenta una organización posibles desastres, esto debe estar alineado con la continuidad de negocio que espera la organización para sus activos asumiéndolos como la “capacidad de la organización para continuar con |a entrega de productos o servicios a los niveles predefinidos aceptables después de un evento perjudicial”7. Por lo cual es importante tener en cuenta el análisis de impacto al negocio como un elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre, a diferencia de una
Evaluación de riesgos, “que se enfoca en cómo podría verse afectada una organización a través de la identificación, análisis y valoración de amenazas de
4 Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), «Guía para realizar el Análisis de
Impacto de Negocio BIA», (12 05 2015), pág. 6. [En línea]. Available: https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf. [Ultimo Acceso: 26 03 2020] 5 Icontec, «Norma Técnica Colombiana NTC 5722» de Sistemas de Gestión de Continuidad de Negocio _
Requisitos, Bogotá, Icontec, 2012, pág. 7 6 Icontec, «Norma Técnica Colombiana NTC 5722» de Sistemas de Gestión de Continuidad de Negocio _
Requisitos, Bogotá, Icontec, 2012, págs. 2,6 7 Icontec, «Norma Técnica Colombiana NTC 5722» de Sistemas de Gestión de Continuidad de Negocio _
Requisitos, Bogotá, Icontec, 2012, pág. 7
20
seguridad con base en su impacto sobre los activos críticos y la probabilidad de ocurrencia, el BIA es un proceso más especializado en la identificación de los tipos de impacto, orientado en conocer qué podría verse afectado y las consecuencias sobre los
procesos de negocio”8.
Por tanto, las bases para el desarrollo de la estrategia de protección mediante un plan de recuperación de desastres se alinean y pueden usarse en el desarrollo de un posterior Sistema de Gestión de Seguridad de la Información (SGSI) visto como un “conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión y de mejora continua”9.
3.2. MARCO TEÓRICO
3.2.1. Componentes del Ciclo PHVA
La norma ISO 22301 y el sistema que detalla sobre la gestión de continuidad del negocio, adapta el ciclo PHVA (planificar, hacer, verificar y actuar). Todo ello da lugar a la planificación, implantación, ejecución, monitorización, evaluación, conservación y mejora constante de la eficiencia del sistema de gestión. A través del Sistema de Gestión de la Continuidad del Negocio (SGCN), la norma ISO-22301, toma todos los componentes de las partes interesadas y los requerimientos para la gestión de la continuidad, que a través de ciertas actuaciones y procesos obtienen
soluciones de continuidad para hacer frente a las necesidades. Los elementos integrantes del modelo son: Planificación: fase que se da a conocer a través de las cláusulas 4, 5, 6 y 7. En este elemento o componente se consideran los principales requisitos dentro del contexto del liderazgo, planeamiento, organización o soporte. Hacer: fase del proceso integrada por la cláusula 8 (evaluación de riesgos, proyecto de control y operativo, métodos de continuidad y business impact análisis).
8 Eset, «Business Impact Analysis (BIA) y la importancia de priorizar procesos» (06 11 2014). [En línea].
Available: https://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/. [Último acceso: 22 10 2019]. 9 MinTIC, «Guía para realizar el Análisis de Impacto de Negocio BIA» (2015). pág. 6. [En línea]. Available: https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf. [Último acceso: 22 10 2019].
21
Verificar: fase integrada por la cláusula 9 (análisis y evaluación, auditoria y revisión, monitoreo y medición). Actuar: fase que abarca los requisitos de la cláusula 10 (no actuaciones y paciencias correctivas y mejora constante). Este modelo es esencial en la continuidad del negocio para el trabajo cotidiano porque mediante el, se logran los objetivos primordiales:
Actualización del certificado del Sistema de Gestión.
Identificación de posibles cambios en los procedimientos.
Establecimiento en los activos de información de nuevos niveles de riesgos.
Instauración de nuevas tecnologías10.
Figura 1. El ciclo PHVA y la ISO 22301
Fuente: https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf
La Figura 1 muestra la relación entre las cláusulas generales de la norma ISO 22301:2012 y el ciclo PHVA. La idea central de un Sistema de Gestión de Continuidad del Negocio (Business Continuity Management System, BCMS por sus siglas en inglés) es potenciar la capacidad de respuesta organizacional frente a eventos catastróficos que interrumpa la normal provisión de productos y servicios, mediante la implementación de planes de acción denominados Planes de Continuidad del Negocio (Business Continuity Plan, BCP por sus siglas en inglés), salvaguardando el bienestar personal en primer lugar, la rentabilidad económica, imagen, reputación y las actividades de creación de valor.
En virtud de lo antes expuesto, las organizaciones compiten por tener operativa su cadena de suministro, considerando todos los aspectos y recursos necesarios para evitar su paralización y en caso de ocurrir, lograr su oportuno restablecimiento11.
10 ISOTools, «ISO 22301 y su relación con el ciclo PHVA» (09 04 2014). [En línea]. Available:
https://www.isotools.com.co/iso-22301-y-su-relacion-con-el-ciclo-phva/. [Último acceso: 11 03 2020] 11 Revista Espacios, «Modelo de evaluación de gestión de Modelo de evaluación de gestión de norma ISO
22301:2012» (01 08 2017). [En línea]. Available: https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf. [Último acceso: 11 03 2020]
22
3.2.2. GTC-ISO/TS 22317
La Organización Internacional de Normalización (ISO) a través de la comisión para la redacción de las normas de seguridad, resiliencia y continuidad del negocio, ha publicado la norma ISO 22317 – Business Impact Analysis, la primera norma internacional enfocada únicamente a abordar la elaboración de un Plan de análisis de impacto en el negocio (BIA).
La nueva norma ISO / GTC 22317 supone un gran avance en el mundo de la continuidad del negocio, ofreciéndonos una receta fiable, así como los ingredientes para llevar a cabo de la forma más perfecta posible el análisis de impacto en el negocio (BIA), el Santo Grial para muchos en campo de la industria, y con buena razón, dada la complicación que resulta sumergirse en esta tarea para muchas empresas.
ISO 22317 es una especificación técnica, lo que significa que proporciona contenido técnico detallado sobre la forma de aplicar el proceso de BIA, pero no es auditable. Dicho de otra manera, las organizaciones no pueden certificar la norma ISO 22317.
La norma ISO 22317 debe ser utilizada como un documento independiente y/o complementario a las normas ISO 22301 o ISO 22313 que nos sirva de orientación sobre cómo llevar a cabo el proceso de BIA. ISO 22317 nos guía paso a paso a través del proceso de elaboración del BIA en sus tres secciones principales:
● Pre-requisitos ● Realización de la BIA ● Revisión y Seguimiento
El hilo conductor de esta guía se basa en que “El proceso BIA como análisis de las consecuencias de un incidente perjudicial en la organización. Este análisis nos da como resultado una justificación de los requisitos para la continuidad del negocio”. En otras palabras, nos justifica los requisitos necesarios para la continuidad y recuperación del negocio, así como de sus prioridades, objetivos y metas.
En términos prácticos, la guía nos ayuda a la vinculación de un registro de riesgos con la predicción de escenarios y elaboración de estrategias alineadas al BIA. Esto nos asegura que todo riesgo con alto potencial de impacto es considerado por el plan de continuidad del negocio.
Beneficios de la norma GTC - ISO/TS 22317 ● ISO 22317 nos proporciona una nueva y mejorada definición de BIA ● Ofrece una propuesta de valor para las organizaciones que luchan por ganar
credibilidad (buy-in). ● Identifica los requisitos previos para una organización antes de comenzar el BIA.
23
● Describe el proceso detallado de cómo llevar a cabo con eficacia el BIA. ● Propone los resultados del BIA (incluyendo los resultados de cada paso del BIA. ● Proporciona opciones para la recolección de información de los diferentes métodos,
junto con el análisis de ventajas y desventajas de cada método. ● Describe otros usos para los que las organizaciones pueden optar por utilizar la
BIA12.
Tabla 1. Análisis de impacto en el negocio en un sistema de gestión de continuidad de negocio con base en la ISO 223301
ISO 22317 ISO 22301
Introducción 0.3 Componentes del ciclo PHVA en la
presente norma
4.2 Contexto y alcance del programa BC 4. Contexto de la organización
4.3 Roles del programa BC 5.4 Roles organizacionales, responsabilidades
y autoridades 7.2 Competencia
4.4 Compromiso con el programa BC 5. Compromiso
4.5 Recursos del programa BC 7.1 Recursos
5. Realización del análisis de impacto en el
negocio
8.2 Análisis de impacto en el negocio y
evaluación de riesgos
5.8 Paso siguiente. SELECCIÓN DE LA
ESTRATEGIA DE CONTINUIDAD DE
NEGOCIO
8.3 Estrategia de continuidad de negocio
Fuente: Guía Técnica colombiana GTC - ISO/TS 22317 (pág. 19)
3.2.3. Cascada de Metas COBIT v5
Las empresas existen para crear valor para sus partes interesadas. En consecuencia, cualquier empresa—comercial o no — tendrá la creación de valor como objetivo de gobierno. La creación de valor significa obtener beneficios a un coste óptimo de recursos mientras se optimiza el riesgo. Los beneficios pueden tomar muchas formas, p. ej., financieros para empresas comerciales o de servicio público para entidades del
gobierno.
Las empresas tienen muchas partes interesadas, y ‘crear valor’ significa cosas diferentes—y a veces contradictorias—para cada uno de ellos. El gobierno trata sobre
12 ISO 22301 Sistemas de Gestión & Continuidad del Negocio, «ISO 22317 una receta fiable para llevar a cabo
el análisis de impacto en el negocio (BIA)» (22 10 2015). [En línea]. Available: http://normaiso22301.com/iso-22317-una-guia-practica-la-elaboracion-del-bia-business-impact-analysis/. [Último acceso: 11 03 2020]
24
negociación y decisión entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el sistema de gobierno debería tener en cuenta a todas las partes interesadas cuando se tomen decisiones relacionadas con la evaluación de beneficios, riesgos y recursos. Para cada decisión, las siguientes preguntas pueden y deberían hacerse: ¿Para quién son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren?
Las necesidades de las partes interesadas tienen que transformarse en estrategia corporativa practicable, es decir, que se pueda poner en marcha. La cascada de metas de COBIT v5 es el mecanismo para traducir las necesidades de las partes interesadas en metas corporativas específicas, practicables y personalizadas, metas de TI y metas de los catalizadores. Esta traducción permite establecer metas específicas a cualquier nivel y en toda área de la empresa como apoyo a las metas globales y los requerimientos de las partes interesadas.
Paso 1: Los Motivos de las Partes Interesadas influyen en las Necesidades de las Partes Interesadas: Las necesidades de las partes interesadas son influenciadas por una serie de controladores, p. ej., cambios en la estrategia, un entorno de negocio y regulatorio cambiante y nuevas tecnologías.
Paso 2: Las Necesidades de las Partes Interesadas en Cascada hacia Metas Corporativas: Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de metas genéricas corporativas. Estas metas corporativas se han desarrollado utilizando las dimensiones del cuadro de mando integral (CMI. En inglés BSC: Balanced Score Card), y representan una lista de metas utilizadas habitualmente y que una empresa puede definir para sí misma. Aunque esta lista no es exhaustiva, la mayoría de metas específicas de empresa pueden ser mapeadas fácilmente con una o más de las metas corporativas genéricas.
COBIT v5 define 17 metas genéricas, como se muestra en la tabla 2, que incluyen la siguiente información:
Dimensión CMI a la cual se ajusta la meta corporativa
Metas corporativas
Relación con las tres metas de gobiernos principales – obtención de beneficios, optimización de riesgos y optimización de recursos. (‘P’ significa relación principal y ‘S’ relación secundaria, es decir, una relación, menos fuerte)13.
13 COBIT 5, «Proceso catalizadores», (2012) pág. 13, Isaca Framework.
25
Figura 2. Cascada de metas COBIT v5
Fuente: COBIT 5 “Procesos Catalizadores”, pág. 14.
Tabla 2. Objetivos de la empresa de COBIT v5
Fuente: COBIT 5 “Procesos Catalizadores”, pág. 14.
Paso 3: Metas Corporativas en Cascada hacia Metas TI: El logro de las metas corporativas requiere una serie de resultados TI2, representados por las metas relacionadas con TI. TI significa relacionadas con la información y con la tecnología y las metas relacionadas con TI se encuentran estructuradas en las dimensiones del Cuadro de Mando Integral TI (IT BSC). COBIT v5 define 17 metas TI, listadas en la tabla 3.
26
Tabla 3. Objetivos de las TI
Fuente: COBIT v5 “Procesos Catalizadores”, pág. 14.
Paso 4: Metas TI en Cascada hacia Metas de los Catalizadores. Lograr las metas TI requiere la aplicación y uso exitoso de una serie de catalizadores. Estos catalizadores incluyen:
• Principios, políticas y marcos de referencia • Procesos • Estructuras organizativas • Cultura, ética, y comportamiento • Información • Servicios, infraestructuras y aplicaciones • Personas, habilidades y competencias Para cada catalizador se puede definir un conjunto de metas específicas y relevantes en apoyo a las metas TI. En este documento, se proporcionan metas de proceso en las descripciones detalladas de proceso14 .
3.2.4. Clasificación de Activos de Información según la Guía 5 para la Gestión de Activos de Información
La guía 5 para la gestión de Activos de Información elaborada por MinTIC entrega los lineamientos básicos que pueden ser utilizados por los responsables de la seguridad de la información, para poner en marcha la gestión y clasificación de activos de información que son manejados por cada entidad, con el fin de determinar que activos posee la entidad, de cómo deben ser utilizados, los roles y responsabilidades que tienen los funcionarios sobre los mismos y, reconociendo adicionalmente el nivel de clasificación de la información que a cada activo debe dársele15. La clasificación de activos de información tiene como objetivo asegurar que la
14 COBIT 5, «Proceso catalizadores», (2012), Isaca Framework, pág. 15 15 MinTIC, «Guía para la gestión de activos de información» (15 03 2016). pág. 6. [En línea]. Available:
https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf, [Ultimo Acceso: 02 05 2020]
27
información recibe los niveles de protección adecuados, ya que con base en su valor y de acuerdo a otras características particulares requiere un tipo de manejo especial.
El sistema de clasificación de la información que podría definirse en la entidad se basa las características particulares de la información, contempla la cultura y el funcionamiento interno y buscando dar cumplimiento a los requerimientos estipulados en el ítem relacionado con la Gestión de Activos de los estándares 27001:2013, ISO 27002, e ISO 27005.
Clasificación de acuerdo con la confidencialidad: La confidencialidad se refiere a que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados, Esta se debe definir de acuerdo con las características de los activos que se manejan en cada entidad, a manera de ejemplo en la guía se definieron tres (3) niveles alineados con los tipos de información declarados en
la ley 1712 del 2014:
Tabla 4. Esquema de Clasificación por Confidencialidad.
Fuente: Guía para la gestión de activos de información, pág. 16.
Clasificación de acuerdo con la integridad: La integridad se refiere a la exactitud y completitud de la información (ISO 27000) esta propiedad es la que permite que la información sea precisa, coherente y completa desde su creación hasta su destrucción. En esta guía se recomienda el siguiente esquema de clasificación de
tres (3) niveles:
28
Tabla 5. Esquema de Clasificación por Integridad
Fuente: Guía para la gestión de activos de información, pág. 17.
Clasificación de acuerdo con la disponibilidad: La disponibilidad es la propiedad de la información que se refiere a que ésta debe ser accesible y utilizable por solicitud de una persona entidad o proceso autorizada cuando así lo requiera está, en el momento y en la forma que se requiere ahora y en el futuro, al igual que los recursos necesarios para su uso.
En esta guía se recomienda el siguiente esquema de clasificación de tres (3) niveles16:
Tabla 6. Esquema de Clasificación por Disponibilidad.
Fuente: Guía para la gestión de activos de información, pág. 17.
16 MinTIC, «Guía para la gestión de activos de información» (15 03 2016). págs. 16 - 18. [En línea]. Available:
https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf, [Ultimo Acceso: 02 05
2020]
29
3.3. MARCO JURÍDICO
La legislación colombiana incluye una gran variedad de reglamentaciones de rango constitucional y legal, que rigen diversas actividades en cuanto al entorno de la información y la seguridad digital, de las cuales se mencionan las que afectan directamente este proyecto:
Ley 594 de 2000: “La presente ley tiene por objeto establecer las reglas y principios generales que regulan la función archivística del Estado”17.La ley 594 aplica para el proyecto tomando en consideración aspectos relacionados con la gestión, protección y disposición de la información.
Ley estatutaria 1266 de 2008: “Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones” 18 El uso de esta ley aplica regulando el manejo de la información contenida en bases de datos relacionadas con información comercial y financiera como es el objeto del área que será estudiada.
Ley 1273 de 2009: "Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones"19.
Ley 1341 de 2009: “Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones”20.
Decreto 1377 de 2013: Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012 (mediante la cual se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo 1°, tiene por objeto "(...) desarrollar el derecho constitucional que tienen todas las personas
17 Congreso de la República de Colombia, «Ley 594 de 2000», (14 07 2000). [En línea]. Available:
https://www.mintic.gov.co/portal/604/articles-15049_documento.pdf. [Último acceso: 31 03 2020]. 18 Congreso de la República de Colombia, «Ley 1266 de 2008», (31 12 2008). [En línea]. Available:
https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488. [Último acceso: 31 03 2020]. 19 Congreso de la República de Colombia, «Ley 1273 de 2009», (05 01 2009). [En línea]. Available:
https://www.mintic.gov.co/portal/inicio/3705:Ley-1273-de-2009. [Último acceso: 31 03 2020]. 20 Congreso de la República de Colombia, «Ley 1431 de 2009», (30 07 2009). [En línea]. Available:
https://www.mintic.gov.co/portal/inicio/3707:Ley-1341-de-2009. [Último acceso: 31 03 2020].
30
a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma)”21.
Ley 2015 de 2020: Por medio del cual se crea la historia clínica electrónica interoperable y se dictan otras disposiciones como: Objeto, definiciones, diseño, implementación y administración, sujetos, obligados, custodia y guarda”22.
3.4. ESTADO DEL ARTE
A partir del desarrollo de la norma ISO 22317 la cual establece los lineamientos para el Plan de análisis de impacto en el negocio (BIA), se han desarrollado diferentes implementaciones y estudios que orientan a organizaciones de todo tipo de negocio, entre los cuales encontramos la tesis desarrollada por Samuel Pascual en España denominada BUSINESS CONTINUITY PLAN – CONCEPTOS TEÓRICOS Y
SIMULACION PRACTICA elaborado para la Universidad Carlos III de Madrid por Samuel Pascual.
Por medio del cual pretende realizar una aproximación tanto teórica como práctica a los Planes de Continuidad de Negocio empresariales y que concluye “El disponer de un plan de este tipo dotará a la empresa, aparte del plan propiamente dicho, de varias medidas de seguridad tanto de recuperación como preventivas, con las que poder
mitigar los riesgos que puedan afectar a la compañía.
Como conclusiones del proyecto se determinó Nunca se sabe cuándo puede suceder un desastre que afecte de forma crítica a cualquier negocio, y estar preparados para afrontarlo nunca está de más. Incluso, al contrario, la falta de este plan podría conducir a que la Empresa perdiera contratos, prestigio y por tanto valor, al no disponer de algo que los clientes solicitan hoy en día a sus proveedores. El disponer de un plan de este tipo dotará a la empresa, aparte del plan propiamente dicho, de varias medidas de seguridad tanto de recuperación como preventivas, con las que poder mitigar los riesgos que puedan afectar a la compañía.
Teniendo en cuenta que las empresas son entes vivos, y que la tecnología como las amenazas van cambiando y evolucionando a lo largo de los años, tanto los riesgos como
21 Presidencia de la República de Colombia, «Decreto 1377 de 2013», (27 06 2013). [En línea]. Available:
http://www.suin-juriscol.gov.co/viewDocument.asp?ruta=Decretos/1276081. [Último acceso: 31 03 2020]. 22 Congreso de la República de Colombia, «Ley 2015 de 2020», (31 01 2020). [En línea]. Available:
https://dapre.presidencia.gov.co/normativa/normativa/LEY%202015%20DEL%2031%20DE%20ENERO%20DE%202020.pdf. [Último acceso: 31 03 2020].
31
las soluciones propuestas pueden revisarse en el futuro, y podrían adecuarse las medidas de seguridad a los nuevos riesgos, o actualizarse las medidas existentes por evolución tecnológica23.
El proyecto cuyo título es: PLAN DE GESTIÓN DEL PROYECTO ANÁLISIS, DISEÑO, DESARROLLO E IMPLEMENTACIÓN DE UN PLAN DE RECUPERACIÓN DE DESASTRES (DRP) PARA UNA ENTIDAD FINANCIERA elaborado para la Universidad Piloto de Colombia por Ana Milena Cortés y Julián Ríos.
El objetivo general de este proyecto es Analizar, diseñar, desarrollar e implementar el Plan de Recuperación de Desastres (DRP) para la plataforma tecnológica de una Entidad financiera, que permita continuar con la operación de los procesos críticos del negocio ante un evento de contingencia. La metodología que se utilizó para la elaboración del documento es la recomendada por el PMI (Project Management Institute), la cual se utilizó para desarrollar el plan de gestión del proyecto y los planes que lo conforman. Para desarrollar el DRP, se propuso identificar los procesos críticos de la organización, por medio de un análisis de impacto al negocio (BIA – business impact analysis). Posteriormente, se plantea la identificación de los servicios y elementos que soportan estos procesos y cuáles de ellos son faltantes y se deben adquirir para poder implementar un esquema de contingencia. También se propuso la realización de una prueba de contingencia para evaluar el desempeño de las estrategias seleccionadas y, por último, desarrollar un plan de sensibilización y capacitación a todo el personal de la compañía. En este proyecto es de vital importancia la definición de los procesos críticos que se van a recuperar, con base en el análisis del tiempo mínimo que
está dispuesta la organización a no tener disponible ese proceso.
Como conclusiones del proyecto El término desastre generalmente está asociado a una destrucción catastrófica, pero en realidad, una simple falla en el suministro de energía eléctrica puede causar un pequeño desastre en la empresa. Sin un plan de recuperación de desastres (DRP) establecido, la pérdida hasta de un simple disco duro puede convertirse en un problema mayor, consumiendo tiempo valioso para la organización.
Con el desarrollo de este proyecto se establecieron los lineamientos del plan de gestión del proyecto que permitirá llevar a cabo el análisis, diseño, desarrollo y desarrollo de un plan de recuperación de desastres24.
23 PASCUAL, S. «Universidad Carlos III Madrid», «Business Continuity Plan – Conceptos Teóricos y Simulación
Practica» (2015). [En línea]. Available: https://e-archivo.uc3m.es/bitstream/handle/10016/25756/PFC_Samuel_Pascual_Martin.pdf. [Último acceso: 01 11 2019]. 24 CORTÉS, A. y RÍOS G, J E. «Universidad Piloto de Colombia», «Análisis, diseño, desarrollo e implementación
de un plan de recuperación de desastres (DRP) para una entidad financiera» (2012). [En línea]. Available: http://polux.unipiloto.edu.co:8080/00000753.pdf. [Último acceso: 01 11 2019].
32
El proyecto cuyo título es PROPUESTA PARA EL DISEÑO DEL PLAN DE RECUPERACIÓN DE DESASTRES DRP CASO: UNIDAD ADMINISTRATIVA ESPECIAL DE CATASTRO DISTRITAL UAECD elaborado para la Universidad Católica de Colombia por Luisa Barragán y Yamid Puentes.
Este proyecto se realizó con el objetivo de elaborar la propuesta para el diseño del Plan de Recuperación ante Desastres -DRP de la Unidad ajustado a la realidad de la infraestructura tecnológica, con el ánimo de proponer planes de acción que se puedan poner en marcha en caso de un desastre o eventualidad que ponga en riesgo el
desarrollo y continuidad de las actividades que ejecuta la Unidad.
Como recomendaciones del proyecto se obtuvo:
● Se recomienda que el oficial de continuidad y el líder del DRP hagan partícipes del DRP a la alta gerencia, no solo como patrocinadores, sino dejándoles ver la importancia del rol que tienen ellos dentro plan frente a la toma de decisiones.
● Dar a conocer el plan de recuperación ante desastres, no solo a las áreas afectadas sino a todos los usuarios de los servicios de la unidad.
● Es importante conocer el análisis de impacto al negocio, ya que de esta manera se comprenden los tiempos máximos tolerables en que un sistema puede estar sin funcionamiento y la pérdida de información.
● Se recomienda que el tratamiento y el seguimiento de los riesgos se realice de una manera más profunda y concienzuda en las etapas de implementación y mejora continua, puesto que es allí donde se define el apetito por el riesgo y las opciones para el manejo de estos, además esto ayuda a tener un control continuo a los dueños de los procesos y de los riesgos.
● Finalmente es importante conocer óptimamente los riesgos a los que están expuestos los procesos críticos contemplados dentro del DRP, ya que estos son los que disparadores para activar dicho plan25.
●
4. METODOLOGÍA
4.1. FASES DEL TRABAJO DE GRADO
El proyecto se ha estructurado en 4 fases para el cumplimiento de los objetivos las
25 BARRAGÁN N, L. F. Y PUENTES G, Y. «Repositorio Universidad Católica de Colombia», «Propuesta para
el diseño del plan de recuperación de desastres DRP caso: unidad administrativa especial de catastro distrital UAECD» (2016). [En línea]. Available: https://repository.ucatolica.edu.co/bitstream/10983/14044/4/Proyecto%20Final.pdf. [Último acceso: 01 11 2019].
33
cuales son:
Figura 3. Fases del proyecto.
Fuente: Elaboración del autor
Fase 1: Levantamiento de información: En esta fase se realizará el contacto inicial con las áreas sometidas a estudio, realizando análisis de la estructura de la organización e identificación de los procesos documentados en la entidad.
Fase 2: Análisis y organización del levantamiento: Usando como instrumento una encuesta la cual será estructurada para ello y aplicada al área de estrategia y arquitectura, posteriormente se analizarán los resultados y se levantará una identificación de activos de información, se contrastará contra documentos que estén relacionados con el plan de continuidad y se realizará un análisis de la estrategia de adaptación del marco metodológico basado en la elaboración de la cascada de metas propia del marco de referencia COBIT v5, con el fin de comprobar la prioridad de procesos asociados a continuidad de negocio y gestión de activos.
Fase 3: Diagnóstico y planteamiento de estrategia de protección: En esta fase se realizará la clasificación de los activos identificados que permitan su valoración conforme a la Guía 5 de MinTIC y la evaluación de riesgos asociados a los mismos.
Fase 4: Generación de propuesta y comunicación de los resultados: En esta fase se realizará la generación de recomendaciones encaminado a la elaboración de un posible plan de recuperación de desastres tomando como referencia la norma GTC/ISO 22317, realizando la entrega y la comunicación de la estrategia planteada.
34
4.2. INSTRUMENTOS O HERRAMIENTAS UTILIZADAS
Para el desarrollo del presente proyecto se van a utilizar los siguientes instrumentos o herramientas:
● Encuestas (formularios de google) ● COBIT v5 “Proceso catalizadores_ Cascada de Metas”. ● Guía Técnica Colombiana (GTC-ISO/TS 22317) ● Material de procesos y procedimientos del área de tecnología (a los cuales
se tenga acceso) ● Guía 5 MinTIC “Guía para la gestión y clasificación de activos de
información”. ● Herramientas de ofimática
4.3. POBLACIÓN Y MUESTRA
4.3.1. Población
Según datos de Fedesoft, la industria del software en Colombia agrupa a 6.096 empresas que facturan 13,5 billones de pesos al año, creció a una tasa anual promedio extraordinaria del 16,7 por ciento durante los últimos 6 años y representa un 1,6 por ciento del PIB. Estas empresas, que en un 90 por ciento son micro y pequeñas y en un 40 por ciento tienen cinco o menos años de vida, emplean 109.000 personas; y el gremio calcula que el sector presenta 45.000 vacantes.26
4.3.2. Segmento de la Población
Para el presente proyecto, el segmento de población está enfocado en la unidad estratégica de negocios en salud de una casa de software, la cual cuenta con experiencia de 31 años diseñando soluciones tecnológicas para instituciones médicas desarrolladas bajo el cumplimiento de la legislación colombiana, permitiendo integrar la Gestión Clínica, Administrativa, Financiera y Contable de una
26 Revista Semana, «La clave es el “software”» (17 10 2018). [En línea]. Available:
https://www.semana.com/opinion/articulo/industria-del-software-en-colombia-columna-de-esteban-piedrahita/587171. [ultimo acceso: 03 26 2020]
35
institución.
4.3.3. Muestra
Para el proyecto se utilizará el muestreo no probabilístico teniendo en cuenta que se basa en un proceso que no les permite a todos los individuos de una población investigada tener las mismas oportunidades de ser seleccionados. Es decir, este tipo de muestreo predomina a aquellos individuos que al cumplir con cierta cualidad o
característica benefician a la investigación, entonces pueden ser parte de la muestra27.
De los tipos de muestreo no probabilístico se seleccionó el Muestreo por conveniencia, considerando que:
Es una técnica comúnmente usada consistente en seleccionar una muestra de la población por el hecho de que sea accesible. Es decir, los individuos empleados en la investigación se seleccionan porque están fácilmente disponibles y porque sabemos que pertenecen a la población de interés, no porque hayan sido seleccionados mediante un criterio estadístico28.
Específicamente para este proyecto se utilizó el muestreo no probabilístico con el tipo de muestreo por conveniencia por las siguientes razones:
Las personas a las que fue aplicada la encuesta, son cercanas y fueron seleccionadas de acuerdo a sus roles en la organización y en la unidad de negocio.
Tomando en consideración el estudio a realizar y el nivel de ejecución a desarrollar en el presente trabajo, se usa el método de conveniencia para acotar esfuerzo y tiempo de aplicación.
Partiendo del nivel no probabilístico, considerando la desagregación del área y el tamaño de la muestra, no se tiene en cuenta el margen de error para el análisis del desarrollo de la encuesta.
27 Enciclopedia económica, «¿Qué es el muestreo no probabilístico?» (2020). [En línea]. Available:
https://enciclopediaeconomica.com/muestreo-no-probabilistico/. [ultimo acceso: 29 05 2020] 28 Netquest, Muestreo no probabilístico: muestreo por conveniencia» (29 05 2015). [En línea]. Available:
https://www.netquest.com/blog/es/blog/es/muestreo-por-conveniencia. [ultimo acceso: 29 05 2020]
36
4.4. ALCANCES Y LIMITACIONES
4.4.1. Alcance
Como alcance del proyecto, se contempla realizar una priorización de procesos de continuidad de negocio de la casa de software que se apoye en la clasificación de los activos identificados considerando a la Unidad Estratégica de Negocios en Salud que se encuentra constituida dentro de la organización. Tomando, como base, la valoración de la información que fuera obtenida dentro de un proceso de priorización compatible con las fases de un análisis de impacto del negocio, de igual forma el proyecto abarca desde la obtención de la información hasta la entrega de la categorización de los riesgos que hayan sido hallados. Entregando una serie de recomendaciones citando su impacto, y determinando el nivel de riesgo inherente.
4.4.2. Limitaciones
Para la elaboración del presente proyecto no se va a desarrollar el análisis de impacto al negocio (BIA) per se, planes aplicables de recuperación de desastres, documentos de arranque que se articulen a planes de continuidad del negocio existentes, o documentos asociados con la implementación del plan.
5. DESARROLLO DE LA PROPUESTA
Para llevar a cabo los objetivos establecidos, en el proyecto se tomará en cuenta una adaptación de los propuesto en la Guía Técnica Colombiana GTC-ISO/TS 22317 “Seguridad de la sociedad. Sistemas de Gestión de la Continuidad del Negocio. Directrices para el Análisis del Impacto del Negocio” y de lo especificado por la ‘Guía para la gestión y clasificación de activos de información’ de MinTIC.
Información de los activos de información: se debe realiza levantamiento de información relacionada con la entidad a la cual se tiene como objetivo del proyecto es aquí donde se debe levantar información de procesos subprocesos descripción de los mismos y un contexto externo e interno de la organización sobre la cual se realizará lo propuesto.
37
Definición: Se realizará la definición de los activos de información donde se pueda percibir una concordancia frente a los procesos del negocio y la familiarización realizada en el área. Figura 4. Desarrollo de la propuesta.
Fuente: Elaboración del autor adaptado de la Guía para la gestión y clasificación de activos de información
5.1. FASE 1: LEVANTAMIENTO DE INFORMACIÓN
Siendo consistentes con la norma GTC- ISO/TS 22317 el éxito de los resultados de un proceso BIA depende de que la organización entienda:
El ambiente externo en el que opera, de manera que pueda lograr su propósito mediante la entrega de sus productos y servicios a sus clientes;
El ambiente operativo interno, incluidos los procesos actividades y recursos, así como el impacto potencial causado por la interrupción en la entrega de productos y servicios y
Las leyes y reglamentos que gobiernan el proceso BIA y la manera como se realiza29
29 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión
de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 2.
38
5.1.1. Historia
Creada en Medellín el 28 de abril de 1989 la Casa de Software es una empresa especializada en proveer soluciones informáticas integrales que apoyen la gestión clínica y administrativa de las Instituciones prestadoras en salud, con más de 30 años de experiencia, en la actualidad cuenta con más de 248 colaboradores entre Ingenieros, Programadores, Médicos, Enfermeras entre otros.
5.1.2. Organigrama Casa de Software
Figura 5. Organigrama casa de software
Fuente: Elaboración del autor
5.1.3. Análisis de los Procesos de la unidad
Con el objetivo de realizar la definición de los activos de información, se hace necesario determinar cuáles son los procesos que se encuentran involucrados dentro de la casa de software y los elementos que interactúan entre ellos, lo anterior con el fin de determinar posibles activos que se encuentren citados en el establecimiento de estos. Por tal razón, se procede a analizar los procesos que se encuentran constituidos para la Casa de Software, en donde se tendrá en cuenta el establecimiento de cada uno de los mismos la mención a supuestos activos que tengan relación, esto debe contemplar repositorios de información, documentación extraída, sitios de almacenamiento de código, productos generados y componentes de infraestructura.
39
Figura 6. Mapa de procesos casa de software
Fuente: Pagina Institucional
A continuación, se relacionan los procesos encontrados una breve descripción de cada proceso posibles responsables y los activos de información que hayan sido detectados en la lectura de estos. Tabla 7. Tabla de procesos
Proceso Descripción
Arquitectura Encargado de analizar las posibles alternativas una decisión a tomar utilizar un proceso formal que dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión.
Aseguramiento de la calidad de los procesos
Proporciona al personal y a la gerencia una visión objetiva de los procesos a través de la identificación de no conformidades y asegurando la resolución de las mismas.
Control de calidad productos y servicios
Este proceso se encarga de verificar y validar que los productos y servicios de la organización sean liberados con un alto índice de calidad logrando la satisfacción de nuestros clientes.
Diseño, desarrollo Integración y despliegue
Este proceso tiene como propósito diseñar, desarrollar e integrar y desplegar una solución de software con altos estándares de calidad.
Entrenamiento Organizacional Este proceso se encarga de gestionar coordinadamente todas las necesidades y esfuerzos de capacitación que requieran los colaboradores a fin de desarrollar las habilidades necesarias para la ejecución efectiva de sus actividades.
40
Proceso Descripción
Gestión de la Configuración Este proceso tiene como principal objetivo planear Identificar y mantener la integridad en la administración de los ítems de configuración (productos de trabajo de la empresa) tratando líneas base que permitan a la empresa tener puntos de referencias para mantener la coherencia y calidad en los proyectos que se desarrollan.
Gestión de procesos
Este proceso establece y mantiene un conjunto estable de activos de procesos de la organización y estándares del entorno del trabajo, además; planifica, implementa y despliegan las mejoras a dichos procesos.
Gestión de proyectos Ese proceso de escribir aplicación de conocimientos habilidades, herramientas y técnicas de las actividades de los proyectos de tal forma que se cumplan con los requerimientos establecidos dentro de cada proyecto. Esta sección incluye el inicio, planeación, ejecución, monitoreo, control y cierre de un proyecto.
Gestión de recursos físicos No posee Información
Gestión del portafolio de Proyectos
Este proceso permite centralizar y coordinar la dirección de proyectos a cargo del grupo de gerentes de proyectos y garantizar el cumplimiento de los mismos.
Ingeniería de Requisitos Este proceso permite identificar analizar documentar y diseñar y entregar los requerimientos del producto a partir de las necesidades del cliente .
Medición y análisis Este proceso tiene como propósito implementar una metodología que permita asegurar que los objetivos y las actividades de medición y análisis estén alineados con las necesidades de información y objetivos identificados por la dirección mediante la creación uso y modificación de métricas.
Planeación estratégica No posee información
Servicio al cliente No posee información
Toma de decisiones formales Este proceso se encarga de analizar las posibles alternativas a una decisión a tomar utilizando un proceso formal que evalúe dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión
Venta Consultiva No posee información
Transición de la solución No posee información
Infraestructura tecnológica No posee información
Fuente: Elaboración del autor
5.2. FASE 2: ANÁLISIS Y ORGANIZACIÓN DEL LEVANTAMIENTO DE INFORMACIÓN
Al tener los procesos definidos de la organización y teniendo en cuenta que existen procesos que no han sido documentados aún, se hace importante definir la prioridad que los procesos puedan tener para el negocio y si estos no cuentan con un similar en la estructura organizacional de la Casa de Software.
41
Tabla 8. Tabla de procesos y activos hallados
Proceso Descripción Subprocesos Activos Identificados
Arquitectura Encargado de analizar las posibles alternativas una decisión a tomar utilizar un proceso formal que dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión.
● Arquitectura
● Dimensionamiento
● Definición de la arquitectura
● Revisión
● Entrega
● Repositorio de información
● Repositorio de trazabilidad
Aseguramiento de la calidad de los procesos
Proporciona al personal y a la gerencia una visión objetiva de los procesos a través de la identificación de no conformidades y asegurando la resolución de las mismas.
● Aseguramiento de la calidad de los procesos
● Planeación revisión de adherencia
● Ejecución revisión de adherencia
● Seguimiento y cierre revisión de adherencia
● Herramienta de hallazgos
● Repositorio de trazabilidad
Control de calidad productos y servicios
Este proceso se encarga de verificar y validar que los productos y servicios de la organización sean liberados con un alto índice de calidad logrando la satisfacción de nuestros clientes.
● Planeación
● Pruebas estáticas
● Pruebas dinámicas
● Gestión de hallazgos
● Repositorio de información
● Repositorio de trazabilidad
● Herramienta de hallazgos
Diseño, desarrollo Integración y despliegue
Este proceso tiene como propósito diseñar, desarrollar e integrar y desplegar una solución de software con altos estándares de calidad.
● Diseño de la solución
● Desarrollo de la solución
● Integración y despliegue
● Repositorio de información
● Repositorio de trazabilidad
● Línea base producto para despliegue
Entrenamiento Organizacional
Este proceso se encarga de gestionar coordinadamente todas las necesidades y esfuerzos de capacitación que requieran los colaboradores a fin de desarrollar las habilidades necesarias para la ejecución efectiva de sus actividades.
● Identificación de las necesidades
● Planeación entrenamiento
● Ejecución y evaluación entrenamiento
● Repositorio de información
Gestión de la Configuración Este proceso tiene como principal objetivo planear Identificar y mantener la integridad en la administración de los ítems de configuración (productos de trabajo de la empresa) tratando líneas base que permitan a la empresa tener puntos de referencias para mantener la coherencia y calidad en los proyectos que se desarrollan.
● Establecimiento de líneas base
● Planeación de la configuración
● Auditoría de la configuración
● Control de la configuración
● Repositorio de información
● Repositorio de trazabilidad
● Línea base de producto para despliegue
● Repositorio de la configuración
Gestión de procesos
Este proceso establece y mantiene un conjunto estable de activos de procesos de la organización y estándares del entorno del trabajo, además; planifica, implementa y despliegan las mejoras a dichos procesos.
● Definición lineamientos para Procesos
● Análisis y diseño de procesos
● Implementación de proceso
● Mejoramiento continuo
● Herramienta de mejora
● Repositorio de trazabilidad
● Repositorio de información
Gestión de proyectos Ese proceso de escribir aplicación de conocimientos
● Inicio
● Planeación
● Repositorio de información
42
Proceso Descripción Subprocesos Activos Identificados
habilidades, herramientas y técnicas de las actividades de los proyectos de tal forma que se cumplan con los requerimientos establecidos dentro de cada proyecto. Esta sección incluye el inicio, planeación, ejecución, monitoreo, control y cierre de un proyecto.
● Ejecución
● Monitoreo y Control
● Cierre
● Información contable
● Información legal y administrativa
Gestión de recursos físicos No posee Información No posee Información No posee Información
Gestión del portafolio de Proyectos
Este proceso permite centralizar y coordinar la dirección de proyectos a cargo del grupo de gerentes de proyectos y garantizar el cumplimiento de los mismos.
● Gestión de portafolio de proyectos
● Repositorio de información
● Repositorio de mejoras
Ingeniería de Requisitos Este proceso permite identificar analizar documentar y diseñar y entregar los requerimientos del producto a partir de las necesidades del cliente .
● Análisis de requisitos
● Documentación y entrega de requisitos
● Repositorio de información
● Repositorio de trazabilidad
Medición y análisis Este proceso tiene como propósito implementar una metodología que permita asegurar que los objetivos y las actividades de medición y análisis estén alineados con las necesidades de información y objetivos identificados por la dirección mediante la creación uso y modificación de métricas.
● Creación de métricas
● Uso de métricas
● Modificación de métricas
● Repositorio de información
● Repositorio de trazabilidad
Planeación estratégica No posee información No posee información No posee información
Servicio al cliente No posee información No posee información No posee información
Toma de decisiones formales Este proceso se encarga de analizar las posibles alternativas a una decisión a tomar utilizando un proceso formal que evalúe dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión
● Toma de decisiones formales
● Repositorio de información
● Repositorio de trazabilidad
Venta Consultiva No posee información No posee información No posee información
Transición de la solución No posee información
No posee información No posee información
Infraestructura tecnológica No posee información No posee información No posee información
Dentro de los aspectos a desarrollar en el presente proyecto se requiere la toma de decisiones que permita el desarrollo de la priorización de procesos y productos, y la concordancia para la aplicación de la norma GTC-ISO/TS 22317 considerando los siguientes razonamientos:
● Los procesos establecen los objetivos que toda organización deben tener
43
frente a su negocio, lo que indica que todos estos procesos deben ser aprobados en el nivel superior de la Casa de Software
● El nivel superior de la Casa de Software debe tener completa visión de los procesos que se encuentran socializados ya que esto permite evaluarlos y establecer prioridades de operación.
● Como tal el nivel superior de la Casa de Software tiene la potestad de decidir la anulación de Obligaciones ya sean de tipo procesal o contractual según las prioridades que se hayan definido por la organización o por las misma Casa de Software per se.
● El nivel superior de la Casa de Software debe tener estar consciente de los posibles cambios en la operación de la organización ya que estos pueden afectar la aplicación de todo plan de continuidad del negocio según la visión general del mismo.
Dentro de la norma GTC-ISO/TS 22317, estos aspectos deben estar constituidos a través de las relaciones en el análisis del impacto del negocio que pudieran presentarse para la exclusión de productos y proyectos de la Casa de Software, pero cómo puede observarse en la siguiente imagen. Figura 7. Relaciones en el análisis de impacto en el negocio
Fuente: GTC – ISO/TS 22317 Pág. 6
La figura 6, “ilustra la relación entre los diferentes elementos del proceso BIA. El diagrama ilustra que puede haber superposición en los tiempos de estas fases componentes del proceso”30.
30 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión
de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 6
44
5.2.1. Recopilación de información a través de encuestas
Con el propósito de medir la prioridad de continuidad del negocio frente a los procesos de la Casa de Software se desea establecer un modelo de entrevista que permita medir el conocimiento que la Casa de Software presenta frente los procesos publicados y frente a los objetivos de recuperación y continuidad de sus operaciones.
Para el desarrollo del formato de entrevista se debe tener en cuenta el perfil de funcionarios a los que se les aplicará la entrevista. Tabla 9. Preguntas de la entrevista
Pregunta Descripción Opciones de Respuesta
Nombre Funcionario Describe el nombre del funcionario
que va a elaborar la encuesta.
Nombre de funcionario
Cargo Describe el cargo del funcionario
que va a elaborar la encuesta.
Cargo del funcionario
Área Describe el nombre del área en la
que se desempeña el funcionario.
Área del funcionario
¿Conoce usted los procesos
que rigen las labores que se
realizan en la UEN Salud?
Describe el conocimiento que tiene
el entrevistado frente a los
procesos de la organización.
* SI
* NO
Dentro de su experiencia
¿Cuáles de estos servicios
pueden considerarse como
críticos para el funcionamiento
de la UEN?
Describe desde la experiencia que
tiene el funcionario si tiene
conocimiento de servicios críticos
en la organización.
* Desarrollo
* Mesa de Servicio
* Implementación
* Infraestructura
* BI
* Innovación
* Preventa
* Infraestructura
* Arquitectura
* Comercial
Dentro de su experiencia
¿Cuáles de estos productos
pueden considerarse como
críticos para el funcionamiento
de la UEN?
Describe desde la experiencia que
tiene el funcionario si tiene
conocimiento de productos críticos
en la organización.
* SCSE
* Service_WEB
* Gestor
* ONE
* Armado de Cuentas
UEN Salud: Unidad Estratégica de Negocios de Salud de la casa de software
45
Pregunta Descripción Opciones de Respuesta
Dentro de su experiencia
¿Cuáles de estos procesos
pueden considerarse como
críticos para el funcionamiento
de la UEN?
Describe desde la experiencia que
tiene el funcionario si tiene
conocimiento de servicios críticos
en la organización.
* Arquitectura
* Aseguramiento de la calidad de los
procesos
* Control de calidad productos y
servicios
* Diseño, desarrollo Integración y
despliegue
* Entrenamiento Organizacional
* Gestión de la Configuración
* Gestión de procesos
* Gestión de proyectos
* Gestión de recursos físicos
* Gestión del portafolio de Proyectos
* Ingeniería de Requisitos
* Medición y análisis
* Planeación estratégica
* Servicio al cliente
* Toma de decisiones formales
* Venta Consultiva
* Transición de la solución
* Infraestructura tecnológica
Procesos
¿Conoce usted las áreas que
deben ejecutar procesos de
apoyo a su Área de gestión?
Busca establecer con el
entrevistado si conoce las áreas de
procesos que ofrecen apoyo
logístico y/u operativo al área de
negocio.
* SI
* NO
¿Cuáles de estos procesos se
relacionan directamente con su
Área de Gestión?
Describe cuales procesos de
relacionan directamente el área del
funcionario.
* Arquitectura
* Aseguramiento de la calidad de los
procesos
* Control de calidad productos y
servicios
* Diseño, desarrollo Integración y
despliegue
* Entrenamiento Organizacional
* Gestión de la Configuración
* Gestión de procesos
* Gestión de proyectos
* Gestión de recursos físicos
* Gestión del portafolio de Proyectos
* Ingeniería de Requisitos
* Medición y análisis
* Planeación estratégica
* Servicio al cliente
* Toma de decisiones formales
* Venta Consultiva
* Transición de la solución
* Infraestructura tecnológica
46
Pregunta Descripción Opciones de Respuesta
¿Cuáles de estos procesos
apoyan a su Área de Gestión?
Describe cuáles procesos apoyan
directamente con el área del
funcionario.
*Arquitectura
*Aseguramiento de la calidad de los
procesos
*Control de calidad productos y
servicios
*Diseño, desarrollo Integración y
despliegue
*Entrenamiento Organizacional
*Gestión de la Configuración
*Gestión de procesos
*Gestión de proyectos
*Gestión de recursos físicos
*Gestión del portafolio de Proyectos
*Ingeniería de Requisitos
*Medición y análisis
*Planeación estratégica
*Servicio al cliente
*Toma de decisiones formales
*Venta Consultiva
*Transición de la solución
*Infraestructura tecnológica
Servicios
¿Cuáles de estos Servicios se
relacionan directamente con su
Área de Gestión?
Describe cuales servicios de
relacionan directamente el área del
funcionario.
*Desarrollo
*Mesa de Servicio
*Implementación
*Infraestructura
*BI
*Innovación
*Preventa
*Infraestructura
*Arquitectura
*Comercial
¿Cuáles de estos Servicios
apoyan a su Área de Gestión?
Describe cuáles Servicios apoyan
directamente con el área del
funcionario.
* Desarrollo
* Mesa de Servicio
* Implementación
* Infraestructura
* BI
* Innovación
* Preventa
* Infraestructura
* Arquitectura
* Comercial
47
Pregunta Descripción Opciones de Respuesta
¿Conoce usted las áreas que
deben ejecutar los servicios a
su Área de gestión?
Busca establecer con el
entrevistado si conoce las áreas de
procesos que ofrecen apoyo
logístico y/u operativo al área de
negocio.
* SI
* NO
Productos
¿Cuáles de estos Productos se
relacionan directamente con su
Área de Gestión?
Busca establecer cuáles de los
productos son tratados
directamente por el área de gestión
en la labora el entrevistado.
* SCSE
* Service_WEB
* Gestor
* ONE
* Armado de Cuentas
¿Conoce qué componentes
hacen parte de los productos a
los cuales su Área realiza
gestión?
Busca establecer si el entrevistado
conoce los componentes que
componen los productos.
* SI
* NO
¿De los componentes aquí
listados selecciones los que
apliquen al producto 1?
Busca establecer con el
entrevistado cuáles son los
componentes con los que
interactúa su área de negocio.
* BD
* Aplicaciones
* Componentes
* Servidor WEB
* Micro servicios
* Almacenamiento
* Infraestructura Servidores
* Infraestructura Redes
* Código Fuente
¿ De los componentes aquí
listados selecciones los que
apliquen al producto 2?
Busca establecer con el
entrevistado cuáles son los
componentes con los que
interactúa su área de negocio.
*BD
*Aplicaciones
*Componentes
*Servidor WEB
* Micro servicios
*Almacenamiento
*Infraestructura Servidores
*Infraestructura Redes
*Código Fuente
¿ De los componentes aquí
listados selecciones los que
apliquen al producto 3?
Busca establecer con el
entrevistado cuáles son los
componentes con los que
interactúa su área de negocio.
* BD
* Aplicaciones
* Componentes
* Servidor WEB
* Micro servicios
* Almacenamiento
* Infraestructura Servidores
* Infraestructura Redes
* Código Fuente
Fuente: Elaboración del autor
Ver tabulación realizada de la encuesta en el ítem 7.2 Entrega de Resultados e Impactos Fase2
48
5.2.2. Verificación frente a plan de continuidad de la casa de software
Si una organización tiene demasiados productos y servicios para identificar individualmente, la organización puede agrupar productos y servicios cuando tenga prioridades similares. Por el contrario, puede ser necesario que la organización identifique a los clientes que a pesar de compartir los mismos productos y servicios tengan, diferentes expectativas en cuanto a tiempos de entrega, o su valor difiere para
la organización31. Con el desarrollo de la entrevista de campo se procede a contrastar el plan de continuidad en desarrollo actual contemplado para la organización objeto del estudio, en este se define la Unidad Estratégica de Negocio como macroproceso y es valorado en función a los procesos propios de la casa de software donde se define la criticidad de cada proceso desde el concepto de negocio. Tabla 10. Identificación de la función del negocio
Negocio Proceso Subproceso Nivel de Criticidad
Salud – Casa de Software
Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio
Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio
CRÍTICO
Desarrollo de aplicaciones Desarrollo de aplicaciones CRÍTICO
Aseguramiento de la calidad Aseguramiento de la calidad CRÍTICO
Entrega de desarrollo a clientes
Entrega del paquete al cliente - Despliegue
CRÍTICO
Ventas Ventas MEDIO
Proyectos de implementación Proyectos de implementación MEDIO
Del pedido al recaudo Del pedido al recaudo MEDIO
Fuente: Elaboración del autor por extracción en el documento (Plan de Continuidad Casa de Software)
5.2.3. Adaptación de Cascada de metas de COBIT para priorización de procesos
De acuerdo con la norma GTC-ISO/TS 22317 el proceso BIA prioriza los diferentes
componentes organizacionales de manera que la entrega de productos y servicios se pueda reanudar en un periodo de tiempo predeterminado luego de un incidente de interrupción para la satisfacción de las partes interesadas. Para los propósitos del presente documento y de coherencia con la NTC 5722 (ISO 22301) los productos y servicios son creados por procesos que a su vez están compuestos de actividades.
31 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión
de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 8 BIA: El análisis de impacto al negocio (Business Impact Analysis o BIA por sus siglas en inglés) es otro
elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre. Fuente: https://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/
49
Los productos y servicios se priorizan primero; así se establecen los parámetros de tiempo y nivel de servicio para la priorización de procesos. Si así lo exige la complejidad de la organización los procesos se pueden separar en sus actividades componentes
para llevar a cabo la priorización32.
Considerando el tiempo de ejecución del proyecto, se decide adaptar el uso de la cascada de metas de COBIT v5 para el desarrollo de la priorización de los procesos tomando en cuenta el éxito de dicha cascada al momento de generar la priorización de habilitadores en procesos organizacionales, con esta se espera suplir parte de las necesidades qué puede ejecutar un análisis de impacto del negocio. (BIA), tomando en cuenta que los procesos críticos a evaluar corresponden a los procesos mínimos de operación con los que puede operar la casa de software, se hace viable el uso de la cascada de metas de COBIT v5 para obtener los procesos habilitadores que refuercen el desarrollo de la estrategia de protección aplicable a la organización. Siendo consistentes a lo descrito en las guías de "COBIT v5 framework”, y relacionado a lo revisado en las guías “COBIT v5 Enabling Processes” y “COBIT v5 Implementation”, el desarrollo del modelo de cascada aplicable al esquema de protección se abordará de la siguiente manera:
Levantamiento de la cascada de metas para la casa de software dirigido a establecer prioridades de protección: La nominación de la cascada de metas hace referencia a las relaciones entre los objetivos misionales del negocio (para el caso, los procesos considerados críticos), frente a los procesos de TI para llegar a los procesos habilitadores, las matrices de la cascada muestran los cruces que definen los puntos y el nivel de relación de cada uno de los objetivos en el desarrollo de las operaciones para la organización.
Levantamiento de los procesos habilitadores para la Casa de Software: Cómo están los procesos habilitadores constituyen el conjunto de actividades que componen entradas y salidas para la obtención de los propósitos establecidos en la gestión de las tecnologías de información para la Casa de Software, esto en miras de asegurar el seguimiento la trazabilidad la realización de planes de mejora y la correspondiente documentación de estos.
Prioridades de protección de la información: con base a los habilitadores priorizados se debe definir la estrategia de protección de los activos de información encaminada al desarrollo de un plan de recuperación de desastres.
32 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión
de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 5.
50
5.2.3.1. Establecimiento de la cascada de metas
Para el estudio, se debe comprender que cada negocio, como la casa de software, se comprende de forma distinta y la organización puede determinar objetivos y funciones misionales conforme a su realidad actual y a sus objetivos de mercado; cuyo contexto es determinado por factores externos e internos que resaltan al momento de considerar un sistema de gobierno y gestión a la medida. donde los interesados y sus necesidades se convierten en estrategias corporativas factibles para el desarrollo del modelo de negocio.
La cascada de metas es importante, porque permite definir prioridades para la implementación, mejora y aseguramiento del gobierno de TI corporativa basada en metas (estratégicas) de la empresa y el riesgo relacionado. En la práctica, la cascada de metas:
• Define metas y objetivos pertinentes y tangibles a varios niveles de responsabilidad • Filtra la base de conocimiento de COBIT v5, basada en metas corporativas, para
extraer orientación pertinente a incluir en proyectos específicos de implementación, mejora o aseguramiento.
• Claramente identifica y comunica (a veces a nivel muy operativo) la importancia de los catalizadores para alcanzar las metas corporativas
El primer paso que una empresa debiera dar siempre al utilizar la cascada de metas es personalizar el mapeo, teniendo en cuenta su situación específica. En otras palabras, cada empresa debiera construir su propia cascada de metas, compararla con COBIT y después refinarla. Por ejemplo, la empresa puede desear: • Traducir las prioridades estratégicas a “pesos” o importancias específicas para cada una de las metas corporativas. • Validar los mapeos de la cascada de metas, teniendo en cuenta su entorno específico, negocio, etc.33.
33 COBIT 5, «Proceso catalizadores», (2012), Isaca Framework, págs. 15, 16.
51
Figura 8. Cascada de metas Casa de Software.
Nota: Elaboración propia (2018). Fuente: Elaboración del autor
Funciones Misionales de las partes interesadas ● Prestación de productos y servicios tecnológicos focalizados para atender las necesidades del sector salud y
proporcionar una plataforma idónea para el desarrollo de los negocios relacionados.
● Establecer y administrar plataformas que permitan realizar entrega de productos de calidad en los servicios prestados y en los productos generados por la organización.
● Proporcionar tecnología acorde a las necesidades del cliente, teniendo en cuenta su finalidad y el nivel de dependencia que pueda derivarse de su uso.
● Proporcionar un servicio al cliente acorde a las necesidades del sector salud donde los tiempos de atención y la fiabilidad del servicio se presentan como propuesta de valor de la organización para adquisición de futuros contratos Y relacionamiento comercial.
● Realizar el aseguramiento de la propiedad intelectual y garantizar la continuidad del negocio proporcionando la debida protección de lo involucrado en el desarrollo y gestión de producto.
Necesidades de las partes interesadas ● Realizar valoración de los activos de información que se encuentren involucrados en el desarrollo del
producto.
● Realizar protección de los activos involucrados en la creación y despliegue del producto.
● Gestión de posibles riesgos que puedan determinarse a nivel de la casa de software
● Obtención de resultados evidenciado el aumento de contratos y ventas de los productos generados por la casa de Software
Metas Corporativas
Matriz entre las metas corporativas de COBIT
v5 y las preguntas del gobierno y la gestión.
Matriz detallada de las metas de la empresa y
las metas relacionadas con las TI.
Metas relacionadas con TI
Matriz entre las metas relacionadas con las TI
y los procesos relacionados con las TI. Metas de los Habilitadores
52
5.2.3.2. Matriz Procesos Validados vs Metas Corporativas
Tabla 11. Matriz Procesos Validados vs Metas Corporativas
Procesos Validados vs Metas Corporativas
Valo
r d
e las p
art
es i
nte
resad
as d
e l
as
inv
ers
ion
es e
mp
resari
ale
s
Cart
era
de
pro
du
cto
s y
serv
icio
s
co
mp
eti
tivo
s.
Rie
sg
o d
e n
eg
oc
io g
esti
on
ad
o
(salv
ag
ua
rdia
s d
e a
cti
vo
s)
Cu
mp
lim
ien
to d
e l
eyes y
reg
ula
cio
ne
s
exte
rnas.
Tra
ns
pare
nc
ia f
ina
ncie
ra
Cu
ltu
ra d
e s
erv
icio
ori
en
tad
a a
l cli
en
te
Co
nti
nu
ida
d y
dis
po
nib
ilid
ad
del
serv
icio
d
el
neg
oc
io
Resp
ue
sta
ág
iles a
un
en
torn
o d
e
ne
go
cio
cam
bia
nte
.
To
ma
estr
até
gic
as d
e d
ecis
ion
es
ba
sad
as e
n in
form
ació
n.
Op
tim
izació
n d
e c
os
tes d
e p
resta
ció
n d
e
serv
icio
s.
Op
tim
izació
n d
e l
a f
un
cio
na
lid
ad
de
lo
s
pro
ceso
s d
e n
eg
ocio
.
Op
tim
izació
n d
e c
os
tes d
e p
roceso
s d
e
ne
go
cio
.
Pro
gra
mas g
esti
on
ad
os
de c
am
bio
en
el
ne
go
cio
.
Pro
du
cti
vid
ad
op
era
tiva y
de
lo
s
em
ple
ad
os
.
Cu
mp
lim
ien
to c
on
p
olíti
cas In
tern
as
Pers
on
as p
rep
ara
da
s y
mo
tivad
as.
Cu
ltu
ra d
e in
no
vació
n d
e p
rod
ucto
y
ne
go
cio
.
Procesos Validados 9 9 8 9 9 8 9 8 8 8 9 8 8 8 9 8 9
Servicio al cliente 10 8 9 8 10 10 10 8 10 10 9 9 9 10 10 9 10
Desarrollo 8 10 10 10 9 6 9 10 9 9 10 10 10 9 9 10 9
Aseguramiento de la calidad 9 9 6 9 8 9 8 7 7 8 7 6 6 7 7 8 8
Despliegue 7 7 7 8 7 8 7 5 6 6 8 8 8 5 8 6 7
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
Con el objetivo de determinar los pesos de las metas corporativas de la organización se realizó valoración de los cuatro procesos resultantes del análisis observado en la fase 2 esto con el fin de asignar valores que permitan validar la importancia de las metas corporativas y proceder al estudio dentro del esquema de la cascada de metas de esta manera se espera contrastar las metas corporativas con las preguntas de gobierno y gestión realizando un promedio entre los cuatro valores generados por cada proceso frente a cada una de las metas corporativas propuestas por el marco de referencia COBIT v5.
53
5.2.3.3. Matriz entre las metas corporativas y las preguntas del gobierno y gestión
Tabla 12. Matriz entre las Metas Corporativas y las Preguntas del Gobierno y Gestión
54
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
55
En la matriz presentada se realiza validación entre las metas corporativas y las preguntas de gobierno y gestión propuestas por el marco de referencia con el objetivo de esclarecer cuáles son las metas más valoradas por la organización y de esta forma establecer el conjunto de metas a tener en cuenta al momento de realizar el análisis entre las metas corporativas y las metas propuestas o relacionadas para TI. Conforme lo definido en el proyecto de grado denominado “Adaptación de los procesos del marco de referencia Cobit v5 para Pymes del sector salud” realizado en la Universidad Católica de Colombia por los ingenieros Cristina Alarcón Tapiero, Lilis Johana Cantillo, y Wilson Castillo Torres, se realiza el análisis usando el mismo sistema de puntajes propuesto en dicho documento donde se tiene en cuenta los siguientes factores citados a continuación:
Para realizar el análisis usando el sistema de puntajes propuesto se tiene en cuenta los siguientes factores:
Los puntajes asignados a cada pregunta siempre tendrán el valor de 1 y serán medidos en igualdad de condiciones.
Para la realización de este Matriz, se da importancia a las preguntas de gobierno y gestión conforme a las metas corporativas reseñando o asignado el valor de 1 para cada pregunta donde se relaciona con la meta que, considere la organización, puede ayudar a responder dicha pregunta.
Por meta, se debe tener en cuenta que el puntaje máximo corresponde a 10 ya que después de ese valor puede afectar el cálculo.
Para el uso en el presente modelo se parte de la aplicación de las preguntas de gobierno y gestión contra las metas corporativas de COBIT v5.
Tras esta formulación se resalta * la importancia de los procesos “Servicio al cliente, Desarrollo, Aseguramiento de la calidad, Despliegue” previamente descritos por la organización en la entrevista y en el desarrollo de su plan de continuidad del negocio, deben ser tenidos en cuenta para el estudio frente a los objetivos relacionados a la TI, ese puntaje puede variar la importancia y la asignación de prioridad que se le puede entregar a las metas corporativas en el ámbito de las metas relacionadas con las tecnologías de la información razón por la cual se tienen en cuenta estos valores en la siguiente matriz34.
34 ALARCÓN T, C., CANTILLO M, L. J. y CASTILLO T, W. «Adaptación de los procesos del marco de referencia
COBIT v5 para Pymes del sector salud» Trabajo de Grado. Universidad Católica de Colombia. Facultad de
Ingeniería. Programa de Ingeniería de Sistemas. Auditoría de Sistemas de Información. Bogotá, Colombia
(2018). Pág. 125. [En línea]. Available: https://repository.ucatolica.edu.co/handle/10983/22407 true [Ultimo Acceso: 30 04 2020]
56
5.3. FASE 3: DIAGNÓSTICO Y PLANTEAMIENTO DE ESTRATEGIAS DE PROTECCIÓN
De acuerdo con la norma GTC-ISO/TS 22317 el siguiente diagrama explica el proceso BIA, junto con los prerrequisitos y su relación con la identificación de estrategias:
Figura 9. Proceso de análisis de impacto en el negocio
Fuente: GTC – ISO/TS 22317 Pág. iii
Para la elaboración de esta fase en el presente proyecto se tuvieron en cuenta los siguientes estados del proceso de análisis de impacto en el negocio indicado por la norma GTC – ISO/TS 22317:
Estado 2 (Priorización de productos y servicios)
Estado 3 (Priorización de procesos)
Estado 4 (Priorización de actividades)
Estado 5 (Análisis y consolidación)
Con relación al estado 6 (Obtener el respaldo de la alta dirección con relación a los resultados del BIA), este fue consensuado con la organización para desarrollarlo a través de la priorización de procesos, lo anterior con el fin de presentar información suficiente para la selección de la estrategia de continuidad del negocio. Con el fin de reforzar la información de la estrategia seleccionada se debe desarrollar el análisis de impacto en el negocio, el cual no será desarrollado en este proyecto.
57
5.3.1. Clasificación de Activos de información
Al identificar los activos de cada proceso se puede determinar qué es lo más importante que cada entidad y sus procesos poseen (sean bases de datos, unos archivos, servidores web o aplicaciones claves para que la entidad pueda prestar sus servicios). Así la Casa de Software puede saber qué es lo que debe proteger para garantizar tanto su funcionamiento interno como su funcionamiento externo, aumentando así su confianza en el uso del entorno digital35. Estos activos fueron identificados con relación a los procesos priorizados y concordantes con los resultados obtenidos en la adaptación de metas de COBIT v5. La clasificación de activos se realizó conforme a la Guía 5 para la gestión y clasificación de activos de información elaborada por MinTIC, ver la tabla completa en Anexo F. Clasificación de Activos de información conforme a Guía 5 (MinTIC)
Tabla 13 .Muestra de Clasificación de Activos de información conforme a Guía 5 (MinTIC)
Valor Clasificación
3 Alto
2 Medio
1 Bajo
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad
Valor Corporativo
Valor Final Estimado
ACT1 Control de calidad productos y servicios
Repositorio de Información
Información almacenada en plataforma centralizada
Información Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
2 3 2 2 2
ACT2 Control de calidad productos y servicios
Repositorio de trazabilidad
Versiones de código
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código.
2 3 3 3 3
Fuente: Elaboración del autor
35 Departamento Administrativo de la función pública (DAFP), «Guía para administración del riesgo y el diseño de controles en entidades públicas» (10 2018). pág. 21. [En línea]. Available: https://www.funcionpublica.gov.co/documents/418548/34150781/Gu%C3%ADa+para+la+administraci%C3%B3n+del+riesgo+y+el+dise%C3%B1o+de+controles+en+entidades+p%C3%BAblicas+-+Riesgos+de+gesti%C3%B3n%2C+corrupci%C3%B3n+y+seguridad+digital+-+Versi%C3%B3n+4+-+Octubre+de+2018.pdf/68d324dd-55c5-11e0-9f37-2e5516b48a87?t=1542226781163&download=true [Ultimo Acceso: 06 05 2020]
58
5.3.2. Valoración de Riesgos identificados hacia los activos
La evaluación del riesgo permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de una organización; de esta forma es posible distinguir entre los riesgos Bajos, Moderados, Medios, Altos y Extremos y fijar las prioridades de las acciones requeridas para su tratamiento.
Para facilitar la calificación y evaluación a los riesgos, se generó la tabla presentada anteriormente donde se contempla un análisis cualitativo realizado en conjunto con la entidad, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad)36. Ver la tabla completa en Anexo G. Valoración de riesgos identificados hacia los activos.
Tabla 14. Muestra de Valoración de riesgos identificados hacia los activos
Valor probabilidad Nivel probabilidad Valor Impacto Nivel Impacto Valor Riesgo Nivel Riesgo
5 Casi seguro 5 Extremo 5 Extremo
4 Probable 4 Alto 4 Alto
3 Posible 3 Medio 3 Medio
2 Improbable 2 Moderado 2 Moderado
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional Información
Legal
Financiero
ACT10 Versiones de código
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
Abuso de derechos
Ausencia de control de cambios eficaz
Posible abuso de derechos por ausencia de control de cambios eficaz en las versiones de código provocando pérdida de la integridad de la pieza desarrollada.
3 4 4 3 4 4 Al Alto
Fuente: Elaboración propia
36 Departamento Administrativo de la función pública, «DAFP», «Guía para administración del riesgo» (09 2011). pág. 30. [En línea]. Available: https://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa-8182-eb99e8c4f3ba [Ultimo Acceso: 05 06 2020]
59
5.4. FASE 4: GENERACIÓN DE PROPUESTA Y COMUNICACIÓN DE LOS RESULTADOS
5.4.1. Escenarios de Desastre
El escenario de desastre es la representación de la interacción de los diferentes factores de riesgo (peligro y la vulnerabilidad), en un territorio y en un momento dado. Significa una consideración pormenorizada de las amenazas (peligros) y vulnerabilidades y, como metodología, ofrece una base para la toma de decisiones sobre la intervención en
reducción, revisión y control de riesgo37.
Tabla 15. Escenarios de Desastres
Escenario Descripción Indicación de activación de acciones de recuperación
Limitación parcial o pérdida total de servicios
Todo incidente que pueda ocasionar daños importantes en cualquiera de los equipos críticos de los servicios de la Organización y como resultado éste se encuentra inoperable, total o parcialmente.
Gerencia fábrica de software
Incidentes con proveedores de servicios de la organización
Todo incidente que pueda causar fallas o interrupciones de los servicios entregados por terceros. (ejemplo: telefonía, internet, Data Center, Colocation, Almacenamiento de datos), afectando directamente los servicios proporcionados por la organización.
Gerencia fábrica de software
Limitación en el funcionamiento de los servicios dispuestos por la Dirección Corporativa y/o Centro de Computo inoperable
Todo incidente que ocasione una pérdida parcial de los equipos o de los servicios instalados allí, inhabilitando la operatividad del Centro de Cómputo.
Dirección Corporativa
Acceso limitado a las instalaciones con limitación de Personal o evacuación del edificio (Datacenter operativo)
Todo incidente que ocasione que el personal no tenga acceso a las instalaciones, ya sea por incidentes internos o externos o por disposiciones corporativas o gubernamentales, con Centros de Cómputo sin afectación y con funcionalidad plena.
Dirección Corporativa
Acceso limitado a las instalaciones con Limitación de Personal o evacuación del edificio (Datacenter caído)
Todo incidente que ocasione que el personal no tenga acceso a las instalaciones, ya sea por incidentes internos o externos o por disposiciones corporativas o gubernamentales, con Centros de Cómputo afectados y funcionalidad limitada o nula.
Dirección Corporativa
Fuente: Elaboración del autor.
De acuerdo con la norma GTC-ISO/TS 22317 para un ejercicio a nivel de un proceso
o actividad los objetivos se deberían enfocar en la identificación de los recursos requeridos y en el orden, viabilidad y tiempo máximo disponible para recuperación, para lograr la recuperación requerida de producto y la entrega del servicio38.
37 Centro Nacional de Estimación, Prevención y Reducción del Riesgo de Desastres (CENEPRED), «Escenario
de riesgos» (01 2019). pág. 3. [En línea]. Available: https://www.indeci.gob.pe/wp-content/uploads/2019/01/fil20160516082630.pdf [Ultimo Acceso: 2020/05/06] 38 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 24.
60
5.4.2. Procesos Críticos con RTO y RPO
De acuerdo con la norma GTC-ISO/TS 22317 para cada grupo de productos y
servicios, la alta dirección debería decidir y documentar lo siguiente:
El tiempo después del cual la falla en la entrega de productos o servicios se convierte en inaceptable para la organización debido a que los impactos ya mencionados amenazan su supervivencia o hacen que ya no pueda cumplir sus objetivos.
las razones por las cuales se ha identificado este período de tiempo con referencia a los impactos crecientes a lo largo del tiempo39
Tabla 16. Información de procesos críticos con tiempo objetivo de recuperación y punto de recuperación objetivo
Proceso Subproceso RTO RPO Nivel de Criticidad
Responsable de definir maniobras de DRP
Servicio al cliente Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio
4 H 1 D CRÍTICO Jefe estrategia y arquitectura
Diseño, desarrollo Integración y despliegue
Desarrollo de aplicaciones 16 H 1 D CRÍTICO Jefe estrategia y arquitectura
Control de calidad productos y servicios
Aseguramiento de la calidad 16 H 1 D CRÍTICO Jefe estrategia y arquitectura
Diseño, desarrollo Integración y despliegue
Entrega del paquete al cliente - Despliegue
16 H 1 D CRÍTICO Jefe estrategia y arquitectura
Venta Consultiva Ventas 10 D 1 D MEDIO Jefe estrategia y arquitectura
Gestión de proyectos Proyectos de implementación 10 D 1 D MEDIO Jefe estrategia y arquitectura
Transición de la Solución
Del pedido al recaudo 10 D 1 D MEDIO Jefe estrategia y arquitectura
Fuente: Elaboración del autor.
Para el caso de este proyecto los tiempos desarrollados de RTO y RPO surgen de la priorización de los procesos misionales frente a la prestación del servicio y fueron determinados y adheridos por la organización.
39 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión
de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 10 RTO: Tiempo Objetivo de Recuperación, tiempo meta posterior a un incidente para la reanudación de la entrega de un producto o servicio. Fuente: Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 20). RPO: Punto Objetivo de Recuperación, punto en el cual la información usada por una actividad se debe restaurar para posibilitar que la actividad se reanude. Fuente: Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 20).
61
5.4.3. Información de recursos necesarios en la estrategia de protección
En este ítem se realizó la documentación del tiempo objetivo de respuesta y el punto objetivo de respuesta según el proceso, el recurso, el tipo de archivo.
Unidad Descripción
H Hora
D Días
S Semana Tabla 17. Recursos necesarios en la estrategia de protección
Proceso Recurso Tipo
Activo Descripción RTO RPO
Control de calidad productos y servicios
Repositorio de Información
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
4 H 1 D
Control de calidad productos y servicios
Repositorio de trazabilidad
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código.
4 H 1 D
Control de calidad productos y servicios
Herramienta de Hallazgos
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
4 H 1 D
Control de calidad productos y servicios
Bases de datos - Ambiente de Pruebas
Información
Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
4 H 1 D
62
Proceso Recurso Tipo
Activo Descripción RTO RPO
Control de calidad productos y servicios
Bases de datos - Ambiente de Pruebas
Software
Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.
4 H N/A
Control de calidad productos y servicios
Servidores - Ambiente de Pruebas
Software Software encargado de ordenar y controlar los procesos relacionado con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.
4 H N/A
Diseño, desarrollo Integración y despliegue
Repositorio de Información
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación de desarrollo y de los procesos de negocio que han sido documentados, de igual forma también se encuentra el script de funcionamiento del desarrollo a realizar.
4 H 1 D
Diseño, desarrollo Integración y despliegue
Infraestructura Software
Consola con rutinas e interpretación para creación de programas y piezas de software, este puede contener lógica de negocio e información obtenida desde el repositorio de trazabilidad del producto.
4 H N/A
Diseño, desarrollo Integración y despliegue
Repositorio de Trazabilidad
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
4 H 1 D
Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas.
4 H 1 D
Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código que han sido definidas para integración y despliegue de la solución producto.
4 H 1 D
Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Información
Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
4 H 1 S
63
Proceso Recurso Tipo
Activo Descripción RTO RPO
Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Software
Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información. En desarrollo es usado para realizar ajustes de Stored Procedures y optimización de consulta y actualización de registros.
4 H N/A
Diseño, desarrollo Integración y despliegue
Servidores - Ambiente de Desarrollo
Software
Software encargado de ordenar y controlar los procesos relacionados con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.
4 H N/A
Servicio al cliente Herramienta de Tickets
Sistema de Información
Sistema donde se consignan los tickets solicitados por los clientes del desarrollo y del programa, estos son consultados por desarrollo y servicio al cliente.
4 H 1 D
Servicio al cliente Herramienta de Hallazgos
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
4 H 1 D
Servicio al cliente Línea base producto para despliegue
Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas.
4 H 1 D
Servicio al cliente Base de datos - Ambiente de Demos
Información
Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente usado para presentación de producto a clientes y posibles compradores de la solución conteniendo información cercana a la real
8 H 1 S
Servicio al cliente Servidores - Ambientes de Demos
Software
Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.
8 H 1 S
64
Proceso Recurso Tipo Activo Descripción RTO RPO
Infraestructura Tecnológica
Ofimática Servicio
Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.
24 H N/A
Infraestructura Tecnológica
Infraestructura Hardware
Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos
4 H N/A
Infraestructura Tecnológica
Infraestructura Hardware
Elementos que permiten la conectividad de equipos y software para comunicación interna y funcionamiento de herramientas usadas en los procesos de la casa de software.
4 H N/A
Infraestructura Tecnológica
Infraestructura Servicio
Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet.
4 H N/A
Fuente: Elaboración del autor.
65
5.4.4. Operación alterna en caso de contingencia
En este ítem, se realizó la documentación de la estrategia de operación recomendada según el proceso, el recurso, tipo de activo y la sede corporativa.
Tabla 18. Operación alterna en caso de contingencia
Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?
Herramienta de Tickets
Sistema de Información
Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Herramienta de Tickets
Sistema de Información
Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Herramienta de Hallazgos
Sistema de Información
Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Herramienta de Hallazgos
Sistema de Información
Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Línea base producto para despliegue
Hardware Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Línea base producto para despliegue
Hardware Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Base de datos - Ambiente de Demos
Información Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Base de datos - Ambiente de Demos
Información Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
66
Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?
Servidores - Ambientes de Demos
Software Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Servidores - Ambientes de Demos
Software Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.
Repositorio de Información
Información Sede Medellín
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios.
Repositorio de Información
Información Sede Bogotá
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios.
Repositorio de trazabilidad
Información Sede Medellín
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios.
Repositorio de trazabilidad
Información Sede Bogotá
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios.
Herramienta de Hallazgos
Sistema de Información
Sede Medellín
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios.
Herramienta de Hallazgos
Sistema de Información
Sede Bogotá
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios.
Bases de datos - Ambiente de Pruebas
Información Sede Medellín
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Bases de datos - Ambiente de Pruebas
Información Sede Bogotá
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Servidores - Ambiente de Pruebas
Software Sede Medellín
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
67
Proceso Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?
Control de calidad productos y servicios
Servidores - Ambiente de Pruebas
Software Sede Bogotá Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Diseño, desarrollo Integración y despliegue
Repositorio de Información
Información Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Diseño, desarrollo Integración y despliegue
Repositorio de Información
Información Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Diseño, desarrollo Integración y despliegue
Infraestructura Software Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / conexión VPN
Diseño, desarrollo Integración y despliegue
Infraestructura Software Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / conexión VPN
Diseño, desarrollo Integración y despliegue
Repositorio de Trazabilidad
Sistema de Información
Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Diseño, desarrollo Integración y despliegue
Repositorio de Trazabilidad
Sistema de Información
Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Hardware Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Hardware Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Información Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
68
Proceso Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?
Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Información Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Información Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / conexión VPN
Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Información Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / conexión VPN
Diseño, desarrollo Integración y despliegue
Servidores - Ambiente de Desarrollo
Software Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / conexión VPN
Diseño, desarrollo Integración y despliegue
Servidores - Ambiente de Desarrollo
Software Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / conexión VPN
Infraestructura Tecnológica Ofimática Servicio Sede Medellín
Uso de Office 365 para respaldo de información
Infraestructura Tecnológica Ofimática Servicio Sede Bogotá
Uso de Office 365 para respaldo de información
Infraestructura Tecnológica Infraestructura Hardware Sede Medellín
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Infraestructura Tecnológica Infraestructura Hardware Sede Bogotá
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Infraestructura Tecnológica Infraestructura Servicio Sede Medellín
Conexión VPN bajo múltiples protocolos para dividir la carga de empleados que se encuentran conectando al sistema
Infraestructura Tecnológica Infraestructura Servicio Sede Bogotá
Conexión VPN bajo múltiples protocolos para dividir la carga de empleados que se encuentran conectando al sistema
Fuente: Elaboración del autor.
69
5.4.5. Clientes en operación mínima en caso de contingencia
En este ítem, se realizó la documentación de los elementos o recursos que son necesarios para operar en contingencia, lo anterior teniendo en cuenta cada estrategia definida previamente.
Tabla 19. Clientes en operación mínima en caso de contingencia
Proceso Estrategia
RECURSOS
Software o Servicio de TI Archivos Personas Locaciones Equipo Cómputo
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Servicio VPN, Cliente de Oracle, Cliente de Informix, SQL Workbench, Enterprise Architech, Office 365, configuración del servicio de internet local.
Documento contraseñas, archivos de configuración
Ver capitulo - Personas de operación Critica
HOME OFFICE
Equipo proporcionado por el proveedor
Diseño, desarrollo Integración y despliegue
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Servicio VPN, Visual Studio, Power Builder 126, Cliente de Oracle, Cliente de Informix, SQL Workbench, Enterprise Architect, Configuración del servicio de Internet Local, Office 365.
Documento contraseñas, archivos de configuración
Ver capitulo - Personas de operación Critica
HOME OFFICE
Uso de Portátil como equipo asignado de trabajo
Servicio al cliente
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Servicio VPN, Visual Studio, Power Builder 126, Cliente de Oracle, Cliente de Informix, SQL Workbench, Enterprise Architect, Configuración del servicio de Internet Local, Office 365.
Documento contraseñas, archivos de configuración
Ver capitulo - Personas de operación Critica
HOME OFFICE
Uso de Portátil como equipo asignado de trabajo
Fuente: Elaboración del autor.
70
5.4.6. Procedimientos antes del incidente
En este ítem, se realizó la definición de las tareas que se deben realizar y que les permitan estar preparados, para operar con la estrategia definida durante la contingencia.
Tabla 20. Procedimientos antes del incidente
Proceso Estrategia Tarea Documento requerido
Responsable
Servicio al cliente
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Mantener actualizado el documento de contraseñas
Documento contraseñas
Líder del proceso
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Mantener actualizado protocolo de operación en contingencia
Protocolo de Contingencia
Líder de contrato
Servicio al cliente
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Mantener actualizado el documento de contraseñas
Documento contraseñas
Líder del proceso
Fuente: Elaboración del autor.
71
5.4.7. Procedimientos durante el incidente
En este ítem, se realizó la definición de las tareas que se deben realizar, durante la operación en la contingencia.
Tabla 21. Procedimientos durante el incidente
Proceso Estrategia Tarea Responsable
Servicio al cliente
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Notificar el Inicio de la operación en contingencia
Líder del proceso
Servicio al cliente
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Verificar el listado de actividades en proceso y priorizar el desarrollo de las mismas
Líder del proceso
Servicio al cliente
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Verificar el acceso a los recursos necesarios para operar
Equipo de Recuperación Designado
Servicio al cliente
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Inicio del desarrollo de las actividades
Equipo de Recuperación Designado
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Notificar el Inicio de la operación en contingencia
Líder de contrato
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Verificar el listado de actividades en proceso y priorizar el desarrollo de las mismas
Líder de contrato
72
Proceso Estrategia Tarea Responsable
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Inicio del desarrollo de las actividades
Equipo de Recuperación del Proveedor
Diseño, desarrollo Integración y despliegue
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Notificar el Inicio de la operación en contingencia
Líder del proceso
Diseño, desarrollo Integración y despliegue
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Verificar el listado de actividades en proceso y priorizar el desarrollo de las mismas
Líder del proceso
Diseño, desarrollo Integración y despliegue
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Verificar el acceso a los recursos necesarios para operar
Equipo de Recuperación Designado
Diseño, desarrollo Integración y despliegue
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Inicio del desarrollo de las actividades
Equipo de Recuperación Designado
Fuente: Elaboración del autor.
73
5.4.8. Procedimientos después del incidente
En este ítem, se realizó la definición de las tareas que se deben realizar desde la salida de la contingencia hasta la recuperación de las operaciones.
Tabla 22. Procedimientos después del incidente
Proceso Estrategia Tarea Responsable
Servicio al cliente Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Notificar el retorno a la operación norma
Líder del proceso
Servicio al cliente Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Verificar las actividades en proceso
Líder del proceso
Servicio al cliente Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Priorizar inicio de la operación
Líder del proceso
Servicio al cliente Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Inicio del desarrollo de las actividades
Equipo de Recuperación designado
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Notificar el retorno a la operación norma
Líder del contrato
74
Proceso Estrategia Tarea Responsable
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Verificar las actividades en proceso
Líder del contrato
Control de calidad productos y servicios
Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios
Priorizar inicio de la operación
Líder del contrato
Control de calidad productos y servicios
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Inicio del desarrollo de las actividades
Equipo de Recuperación designado
Control de calidad productos y servicios
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Notificar el retorno a la operación norma
Líder del proceso
Control de calidad productos y servicios
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Verificar las actividades en proceso
Líder del proceso
Control de calidad productos y servicios
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Priorizar inicio de la operación
Líder del proceso
Control de calidad productos y servicios
Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN
Inicio del desarrollo de las actividades
Equipo de Recuperación designado
Fuente: Elaboración del autor.
75
5.4.9. Proveedores operación crítica
En este ítem, se realizó la definición de los proveedores que se involucran directamente con la operación de contingencia, donde se debe definir la estrategia de recuperación determinado. Tabla 23. Proveedores operación critica
Proceso Nombre
Proveedor Servicio que presta
Principal Tipo de Contrato
Persona de contacto
Dirección Teléfono fijo
Celular e-mail ESTRATEGIA
Servicio al cliente
IT3 Colocation Principal Servicios Plataforma Sysaid
Sede principal
4570400 3001234567 [email protected]
Estrategia del proveedor
Control de calidad productos y servicios
SQASAS - Calidad del Software
Calidad de Software
Principal Servicios Coordinadora SQASAS
Ubicación cliente
7917155 N/A N/A Ejecutar el proceso con personal interno de la casa de software
Fuente: Elaboración del autor.
76
5.4.10. Personal operación crítica
En este ítem, se realizó la definición de las personas que se involucran directamente con la operación de contingencia, donde se debe definir rol principal y alterno. Tabla 24. Persona operación crítica
Proceso Rol en contingencia
Ubicación en contingencia
Cargo Funciones Principales
Nombre Teléfono Correo Electrónico Estrategia Suplir el Rol
Servicio al cliente
Principal Casa Ingeniero de Soporte
Mesa de Servicio, Analista de aplicaciones clínicas
Funcionario1
Celular 1
[email protected] Capacitación continua del rol principal al rol suplente
Servicio al cliente
Principal Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones administrativas
Funcionario 2 Celular 2 [email protected] Capacitación continua del rol principal al rol suplente
Servicio al cliente
Principal Casa Ingeniero de Soporte
Mesa de Servicio, Analista de aplicaciones administrativas
Funcionario 3 Celular 3 [email protected] Capacitación continua del rol principal al rol suplente
Infraestructura Tecnológica
Principal Casa Ingeniero de Infraestructura
Administrador de plataforma VMWare interna
Funcionario 4 Celular 4 [email protected] Capacitación continua del rol principal al rol suplente
Servicio al cliente
Principal Casa Ingeniero de Soporte
Mesa de Servicio, Analista de aplicaciones administrativas
Funcionario 5 Celular 5 [email protected] Capacitación continua del rol principal al rol suplente
Servicio al cliente
Principal Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones clínicas
Funcionario 6 Celular 6 [email protected] Capacitación continua del rol principal al rol suplente
77
Ubicación en contingencia
Cargo Funciones Principales Nombre Teléfono Correo Electrónico Estrategia Suplir el Rol
Casa Ingeniero de Soporte
Mesa de Servicio, Analista de aplicaciones administrativas
Funcionario 7 Celular 7 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Infraestructura
Administrador de plataforma VMWare interna
Funcionario 8 Celular 8 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Soporte
Mesa de Servicio, Analista de aplicaciones administrativas
Funcionario 9 Celular 9 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Soporte
Mesa de Servicio, Analista de aplicaciones clínicas
Funcionario 10 Celular 10 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones administrativas
Funcionario 11 Celular 11 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones clínicas
Funcionario 12 Celular 12 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Analista Funcional
Diseñar aplicaciones clínicas
Funcionario 13 Celular 13 [email protected] Capacitación continua del rol principal al rol suplente
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones administrativas
Funcionario 14 Celular 14 [email protected] Capacitación continua del rol principal al rol suplente
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones clínicas
Funcionario 15 Celular 15 [email protected] Capacitación continua del rol principal al rol suplente
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones clínicas
Funcionario 16 Celular 16 [email protected] Capacitación continua del rol principal al rol suplente
78
Ubicación en contingencia
Cargo Funciones Principales Nombre Teléfono Correo Electrónico Estrategia Suplir el Rol
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones administrativas
Funcionario 17 Celular 17 [email protected] Capacitación continua del rol principal al rol suplente
Casa Analista Funcional Diseñar aplicaciones administrativas
Funcionario 18 Celular 18 [email protected] Capacitación continua del rol principal al rol suplente
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones clínicas
Funcionario 19 Celular 19 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Analista Funcional Diseñar aplicaciones administrativas
Funcionario 20 Celular 20 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones administrativas
Funcionario 21 Celular 21 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones clínicas
Funcionario 22 Celular 22 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Analista Funcional Diseñar aplicaciones administrativas
Funcionario 23 Celular 23 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Desarrollo
Desarrollador de aplicaciones administrativas
Funcionario 24 Celular 24 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Casa Ingeniero de Soporte
Envío de paquetes de producto
Funcionario 25 Celular 25 [email protected] Capacitación continua del rol principal al rol suplente
Casa Analista Funcional Diseñar aplicaciones administrativas, envío de paquetes
Funcionario 26 Celular 26 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal
Fuente: Elaboración del autor.
79
6. PRODUCTOS A ENTREGAR
Se entregará los siguientes documentos:
Análisis de cascada de metas elaborado conforme a marco de referencia COBIT v5
Documento con la clasificación de los activos de información
Documento de valoración del riesgo
Documento con recomendaciones para generar el DRP
Documento de proyecto de grado para entrega a la universidad
Artículo en formato IEEE para entrega a la universidad.
7. ENTREGA DE RESULTADOS E IMPACTOS
Como resultado se plantea definir los activos de alto valor para la organización, estableciendo los riesgos a los cuales pueden verse asociados los activos.
7.1. ENTREGA DE RESULTADOS E IMPACTOS FASE 1
Se realizó un análisis de la estructura de la organización de acuerdo a la información compendiada, definiendo la historia de la Casa de Software y analizando los procesos que constituyen los objetivos del negocio encontrando que procesos como Servicio al cliente, Gestión de recursos físicos, Planeación estratégica, Venta consultiva, Transición de la solución e Infraestructura tecnológica no se encuentran documentados, razón por la cual no se definen activos de información desde la documentación del proceso.
7.2. ENTREGA DE RESULTADOS E IMPACTOS FASE 2
Se realiza la familiarización con los funcionarios a través de la entrevista, la cual arroja los siguientes resultados:
80
Figura 10. ¿Conoce usted los procesos que rigen las labores que se realizan en la UEN Salud?
Fuente: Elaboración del autor
En la figura 10, se determina que el 100% de los encuestados conoce los procesos que rigen las labores que se realizan en la Unidad Estratégica de Negocios en Salud (UEN Salud). Figura 11. Dentro de su experiencia ¿Cuáles de estos procesos pueden considerarse como críticos para el funcionamiento de la UEN Salud? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 11, se determina que para los encuestados los 3 procesos críticos más importantes para UEN Salud son: Servicio al cliente, Diseño, desarrollo, integración y despliegue, Arquitectura y el que consideran menos importante es Gestión del portafolio de proyectos.
81
Figura 12. ¿Cuáles de estos procesos apoyan a su Área de Gestión? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 12, se determina que para los encuestados los 3 procesos más importantes que apoyan su área de gestión son: Arquitectura, Diseño, desarrollo, integración y despliegue, y Gestión de la Configuración y los que consideran menos importantes son: entrenamiento organizacional, Gestión de procesos, Gestión de recursos físicos, Gestión del portafolio de proyectos, Medición y análisis, Planeación estratégica, Toma de decisiones formales y Transición de la solución. Figura 13. ¿conoce usted las áreas que deben ejecutar procesos de apoyo a su área de gestión?
Fuente: Elaboración del autor
En la figura 13, se determina que el 90% de los encuestados SI conoce los procesos apoyo a su área de gestión, mientras que el 10% de los encuestados no los conoce.
82
Figura 14. ¿Conoce usted los servicios que se prestan desde su área de gestión?
Fuente: Elaboración del autor
En la figura 14, se determina que el 100% de los encuestados conoce los procesos que los servicios que se prestan desde su área de gestión. Figura 15. ¿Cuáles de estos Servicios se relacionan directamente con su Área de Gestión? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 15, se determina que para los encuestados los 3 servicios más importantes que se relacionan directamente con su Área de Gestión son: Desarrollo, Infraestructura, y Arquitectura y los que consideran menos importantes son: Business Intelligent, Preventa y Administrativa.
83
Figura 16. ¿Cuáles de estos Servicios apoyan a su área de Gestión? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 16, se determina que para los encuestados los 3 servicios más importantes que se apoyan su Área de Gestión son: Infraestructura, Desarrollo y Bases de datos y el que consideran menos importante es: Administrativa. Figura 17. ¿conoce usted las áreas que deben ejecutar los servicios a su Área de gestión?
Fuente: Elaboración del autor
En la figura 17, se determina que el 100% de los encuestados conoce las áreas que deben ejecutar los servicios a su Área de gestión.
84
Figura 18. ¿Cuáles de estos Productos se relacionan directamente con su Área de Gestión? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 18, se determina que para los encuestados los 3 productos más importantes que se relacionan directamente con su Área de Gestión son: Service Clinical Suite Enterprise, Service WEB, y Gestor y el que consideran menos importantes es: One. Figura 19. ¿Conoce que componentes hacen parte de los productos a los cuales su Área realiza gestión?
Fuente: Elaboración del autor
En la figura 19, se determina que el 100% de los encuestados conoce que componentes hacen parte de los productos a los cuales su área realiza gestión.
85
Figura 20. ¿De los componentes aquí listados seleccione los que apliquen al producto 1? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 20, se determina que para los encuestados los 3 componentes que aplican para el producto 1 son: BD, Servidor Aplicaciones y Servidor Componentes y los que consideran menos importantes son: Servidor Micro servicios, Infraestructura de Almacenamiento, Infraestructura de Servidores, Infraestructura de Redes. Figura 21. ¿De los componentes aquí listados selecciones los que apliquen al producto 2? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 21, se determina que para los encuestados los 3 componentes que aplican para el producto 2 son: BD, Servidor Componentes y Servidor Aplicaciones los que consideran menos importantes son: Infraestructura de Almacenamiento y Repositorio de código fuente.
86
Figura 22. ¿De los componentes aquí listados selecciones los que apliquen al producto 3? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 22, se determina que para los encuestados los 3 componentes que aplican para el producto 3 son: BD, Servidor Aplicaciones y Servidor Componentes y el que consideran menos importante es: Repositorio de código fuente. Figura 23. ¿Conoce usted como se protegen los archivos, documentos, diseños o piezas de código que genera su área de gestión para el desarrollo del producto?
Fuente: Elaboración del autor
En la figura 23, se determina que el 70% de los encuestados SI conoce como se protegen los archivos, documentos, diseños o piezas de código que genera su área de gestión para el desarrollo del producto, mientras que el 30% de los encuestados no los conoce.
87
Figura 24. Conoce los ambientes ligados a fabricación y puesta en marcha de productos generados en el área
Fuente: Elaboración del autor
En la figura 24, se determina que el 80% de los encuestados SI conoce los ambientes ligados a fabricación y puesta en marcha de productos generados en el área, mientras que el 20% de los encuestados no los conoce. Figura 25. De los ambientes sugeridos ¿en cuales se ve involucrado en desarrollo de sus funciones? (las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 25, se determina que para los encuestados los 3 ambientes que se ven involucrados en el desarrollo de sus funciones son: Ambiente de desarrollo, Ambiente de calidad y Ambiente de demostración.
88
Figura 26. De los ambientes sugeridos ¿Cuáles son los ambientes que deben ser clasificados y protegidos para el normal funcionamiento del área? (las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 26, se determina que para los encuestados los 3 ambientes que deben ser clasificados y protegidos para el funcionamiento normal del área son: Ambiente de desarrollo, Ambiente de calidad y Ambiente de demostración. Figura 27. ¿Conoce usted como se protegen los ambientes de fabricación en los que trabaja su área de gestión?
Fuente: Elaboración del autor
En la figura 27, se determina que el 70% de los encuestados SI conoce como se protegen los ambientes de fabricación en los que trabaja su área de gestión, mientras que el 23% de los encuestados no los conoce.
89
Figura 28. ¿Conoce usted los controles dispuestos por el área / organización para la protección de los activos de información?
Fuente: Elaboración del autor
En la figura 28, se determina que el 70% de los encuestados SI conoce como se protegen los ambientes de fabricación en los que trabaja su área de gestión, mientras que el 23% de los encuestados no los conoce. Figura 29. Dentro de los controles que usted conoce / desea en la organización ¿Cuáles de las siguientes opciones deben incluirse? (Las 3 opciones más importantes)
Fuente: Elaboración del autor
En la figura 29, se determina que para los encuestados los 3 controles que deben incluir en la organización son: Ambiente de desarrollo, Ambiente de calidad y Ambiente de demostración.
90
Dado lo anterior se procede a comparar los procesos reportados por el plan de Continuidad con los procesos publicados por la entidad, ya que estos fueron usados para el levantamiento de información desarrollo de la entrevista de campo, por tal motivo se procede a levantar el contraste con los procesos definidos como críticos por el plan de continuidad y los procesos similares que se encuentren publicados y definir los procesos a trabajar en el desarrollo del presente documento. Tabla 25. Contraste Procesos publicados y Procesos en Plan de Continuidad
Proceso validado Proceso Publicado
Proceso definido en Plan de continuidad como críticos
Observación
Servicio al cliente Servicio al cliente Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio
Se debe definir el proceso para validar la concordancia con lo definido en el plan de continuidad
Desarrollo Diseño, desarrollo, integración y despliegue
Desarrollo de aplicaciones
Se recomienda definir el desarrollo dentro
Aseguramiento de la calidad
Control de calidad productos y servicios
Aseguramiento de la calidad
Se debe definir si se hace referencia al control de calidad de los productos y servicios o al aseguramiento de la calidad de los procesos
Despliegue Diseño, desarrollo, integración y despliegue
Entrega de desarrollo a clientes
Se recomienda definir la entrega de desarrollo como parte del proceso de ‘Diseño, desarrollo, integración y despliegue’
Fuente: Elaboración del autor
91
7.2.1. Totalización procesos habilitadores relacionados con procesos críticos
Tabla 26. Totalización habilitadores críticos necesarios para la generación de la estrategia
PUNTAJES
CA
SCA
DA
PU
NTO
S D
E
DO
LOR
DIA
GN
OST
ICO
D
E G
ESTI
ÓN
DE
CO
NC
IEN
CIA
Asigne un Peso a cada Criterio de Calificación: 3 2 1
PROCESOS COBIT 5 VALOR 1 VALOR 2 VALOR 3 PUNTAJE TOTAL
Evaluar, Orientar y Supervisar
EDM02 Asegurar la entrega de beneficios 5 3 3 24 5
EDM04 Asegurar la optimización de recursos 4 4 5 25 5
Alinear, Planificar y Organizar
APO01 Gestionar el marco de gestión de TI 5 3 5 26 5
APO02 Gestionar la estrategia 5 5 4 29 5
APO05 Gestionar el portafolio 4 4 5 25 5
Construcción, Adquisición e Implementación
BAI08 Gestionar el conocimiento 3 1 5 16 3
BAI09 Gestionar los activos 2 1 5 13 3
BAI10 Gestionar la configuración 3 1 3 14 3
Entregar, Dar servicio y Soporte
DSS04 Gestionar la continuidad 5 2 5 24 5
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
Al realizar la cascada de metas propuesta por COBIT v5 se logró priorizar los procesos como habilitadores que deben ser tenidos en cuenta en el planteamiento de la estrategia dirigida a la concepción de un plan de recuperación de desastres donde se demuestra que la organización prioriza la gestión de la continuidad dentro de los habilitadores importantes dentro de la estrategia, de igual forma se evidencia la conciencia relacionada con la gestión de los activos involucrados; el instrumento de la cascada de metas permite elaborar una descripción de los procesos que deben ser tenidos en cuenta al momento de plantear una estrategia de protección, razón por la cual y siendo consistentes con la norma GTC-ISO/TS 22317, ya que permite identificar productos y servicios que deben ser gestionados desde la estrategia ofreciendo una herramienta base para determinar las categorías y criterios de impactos.
92
7.3. ENTREGA DE RESULTADOS E IMPACTOS FASE 3
7.3.1. Clasificación de Activos de información con mayor relevancia para la elaboración de la estrategia conforme
a Guía 5 (MinTIC)
Tabla 27. Muestra de Activos con Clasificación Alta
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo
Valor Final Estimado
ACT2 Control de calidad productos y servicios
Repositorio de trazabilidad
Versiones de código
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código.
2 3 3 3 3
ACT10 Diseño, desarrollo Integración y despliegue
Repositorio de Trazabilidad
Versiones de código
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
3 3 3 3 3
ACT12 Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Versiones de código
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código que han sido definidas para integración y despliegue de la solución producto.
3 3 2 3 3
Fuente: Elaboración del autor.
Al realizar la valoración de activos conforme a lo especificado por la guía de clasificación de información #5 de MinTIC se logró presentar una forma estándar para comprender la importancia de la información para la organización, coadyuvando al cumplimiento de la priorización de productos y servicios, principalmente, con el aseguramiento de la continuidad de la misma, siendo consistente con lo especificado por la Norma GTC-ISO/TS 22317, el caso aplicado toma como base la determinación de activos dirigidos a los objetivos del negocio.
93
7.3.2. Resultado de Valoración de Riesgos identificados hacia los activos con nivel de riesgo alto y extremo
Tabla 28. Resultado de valoración de riesgos identificados hacia los activos con nivel de riesgo alto y extremo
Valor probabilidad Nivel probabilidad Valor Impacto Nivel Impacto Valor Riesgo Nivel Riesgo
5 Casi seguro 5 Extremo 5 Extremo
4 Probable 4 Alto 4 Alto
3 Posible 3 Medio 3 Medio
2 Improbable 2 Moderado 2 Moderado
1 Raro 1 Bajo 1 Bajo
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo Inherente
Reputacional Información
Legal
Financiero
ACT1
Información almacenada en plataforma centralizada
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
Daño por agua
Almacenamiento sin protección
Posible daño del hardware de almacenamiento por humedad, debido a la falta de mantenimiento del aire acondicionado, afectando la integralidad, secuencialidad, disponibilidad y oportunidad de la plataforma almacenada
3 3 4 3 4 4 Al Alto
ACT1
Información almacenada en plataforma centralizada
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
Falla del equipo A
Susceptibilidad a las variaciones de voltaje
Posible daño del servidor con misión plataforma por caídas constantes de fluido eléctrico Afectando al integridad de la información y la disponibilidad de los mismos
2 3 4 3 4 4 Al Alto
94
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo Inherente
Reputacional Información
Legal
Financiero
ACT2 Versiones de código
Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
Mal funcionamiento del equipo A
Ausencia de copias de respaldo
Posible daño por mal funcionamiento del equipo afectando la integridad y la disponibilidad de la información por ausencia de copias de respaldo afectando el punto de recuperación objetivo, ocasionando retrasos en el desarrollo de proyectos de desarrollo.
5 3 4 3 4 4 Ex Extremo
ACT8 Arquitectura de la aplicación
Información
Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.
Divulgación Copia no controlada
Posible pérdida de confidencialidad de la información de vida a la emisión de copias no controladas que puede ocasionar presentación de propiedad intelectual y fugas de información.
3 4 3 4 5 4 Al Alto
ACT10 Versiones de código
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
Abuso de derechos
Ausencia de control de cambios eficaz
Posible abuso de derechos por ausencia de control de cambios eficaz en las versiones de código provocando pérdida de la integridad de la pieza desarrollada.
3 4 4 3 4 4 Al Alto
ACT19 Estructura de la base de datos
Información
Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
Corrupción de los datos
Ausencia de copias de respaldo
Posible pérdida de integridad y capacidad de recuperación por ausencia de copias de respaldo de la información y estructura de la base de datos del ambiente de demostración, ocasionando afectación en las funciones comerciales y de preventa con repercusiones financieras y de reputación como producto.
4 5 4 3 4 4 Al Alto
95
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional
Información
Legal
Financiero
ACT21 Ofimática en Nube
Servicio
Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.
Uso no autorizado del equipo
Uso incorrecto de software y hardware
Se afecta la disponibilidad, integridad y confidencialidad del programa Office de los usuarios administrativos, debido a que el office en los equipos de cartera fue descargado de forma fraudulenta, por los bajos controles en tecnología y descarga de la compañía, afectando el uso del hardware y los equipos del área de cartera, deteniendo la recuperación de las cuentas de los servicios domiciliarios.
3 4 3 5 4 4 Al Alto
ACT22 Correo en Nube
Servicio
Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube
Divulgación
Tráfico sensible sin protección
Perdida de la confidencialidad de la información por posible tráfico de información sensible provocado por envío de información sin encriptación desde el servidor de correo de la organización
3 4 4 4 3 4 Al Alto
ACT23 Servidores Hardware
Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos
Destrucción o daño del equipo o los medios
Ausencia de esquemas de reemplazo
Perdida de disponibilidad por destrucción o daño del equipo a falta de un esquema de reemplazo del mismo provocando apagado de recursos de servidor ligados a la afectación de almacenamiento y host de virtualización
5 4 4 2 4 4 Ex Extremo
Fuente: Elaboración del autor. El análisis de Riesgos permitió definir la probabilidad e impacto frente a lo evidenciado en la organización siendo consistente con el planteamiento de una estrategia de protección a los activos involucrados en la prestación de los servicios de la organización , lo anterior considerando que el impacto de los incidentes sobre los activos se encuentra estrechamente relacionados con la velocidad de recuperación de los servicios para cumplir con los objetivos de negocio, conforme a lo estipulado en la GTC-ISO/TS 22317 donde supone que la organización debe preparase para cualquier incidente relacionado con interrupción.
96
7.4. ENTREGA DE RESULTADOS E IMPACTOS FASE 4
Se realiza planteamiento de estrategia de protección proponiendo la generación de un plan de recuperación de desastres (DRP) tomando en cuenta la necesidad de continuidad dentro de la priorización de sus procesos.
Se realiza generación de la propuesta tomando en cuenta los siguientes componentes de la estrategia:
Tabla 29. Componentes de planteamiento de estrategia
Componente Estrategia Descripción Ubicación en el Documento
Escenarios de desastre Escenarios simulados propuesto que iniciaran labores de recuperación de desastres.
5.4.1 Escenarios de desastre
Información de procesos críticos con RTO Y RPO
Información de procesos donde se definen puntos y tiempos objetivos de recuperación (RPO y RTO) para los procesos en estudio.
5.4.2 Información de procesos críticos con RTO Y RPO
Información de recursos necesarios en la estrategia de protección
Información de procesos donde se definen puntos y tiempos objetivos de recuperación (RPO y RTO) para los procesos en estudio
5.4.3 Información de recursos necesarios en la estrategia de protección
Operación Alterna en caso de contingencia
Define la estrategia general de operación alterna
5.4.4.Operación Alterna en caso de contingencia
Clientes en Operación Mínima en caso de contingencia
Define la configuración mínima de los clientes que se encuentran en operación alterna
5.5.5 Clientes en Operación Mínima en caso de contingencia
Procedimientos antes del incidente
Describe las actividades a consideran antes de la ocurrencia de un incidente
5.4.6 Procedimientos antes del incidente
Procedimientos durante el incidente
Describe las actividades a consideran durante la ocurrencia de un incidente y su correspondiente activación de contingencia
5.4.7 Procedimientos durante el incidente
Procedimientos después del incidente
Describe las actividades a consideran después de contingencia y eventos para retornar a la operación
5.4.8 Procedimientos después del incidente
Proveedores Operación Crítica
Describe los proveedores descritos que deben apoyar labores de contingencia y eventos para retornar a la operación
5.4.9 Proveedores Operación Crítica
Personas Operación Crítica
Describe las personas mínimas requeridas que deben apoyar labores de contingencia y eventos para retornar a la operación
5.4.10 Personas Operación Crítica
Fuente: Elaboración del autor.
97
8. NUEVAS ÁREAS DE ESTUDIO
Dentro de las nuevas áreas a explorar, se propone a la organización la implementación del análisis del impacto en el negocio considerando que cuenta con la suficiente complejidad para reforzar la estrategia generada, lo anterior dentro de un marco de mejora continua que permita realizar actualizaciones en la clasificación de activos, reforzar conceptos en el análisis de riesgos y obtener nuevas percepciones en la elaboración del plan de recuperación de desastres
9. CONCLUSIONES
Adaptar la cascada de metas de COBIT v5 sirve como herramienta de contraste y tamizaje para realizar priorización de procesos previamente constituidos, si bien es cierto que no reemplaza la implementación de un análisis de impacto del negocio si sirve para establecer la base de una estrategia de protección de activos de información adecuada para los procesos de negocio.
Con el análisis de riesgos, se logró verificar la importancia del activo teniendo en cuenta las amenazas y vulnerabilidades a las que está expuesto, de igual forma estimar la importancia de lo mínimo con que debe contra la estrategia de protección para proteger los activos contemplados en los procesos.
Con la clasificación de activos de información se logró brindar un nivel de tratamiento a cada tipo de activo, esto con el fin de proteger su integridad, confidencialidad y disponibilidad, además de usar guías propuestas por el gobierno de Colombia que sirvan para constatar la preservación de activos intangibles en organizaciones de diversa naturaleza
La estrategia de protección incorporada al plan de recuperación de desastres (DRP) permite que la organización logre definir componentes que puedan estar involucrados desde una posición holística a la tecnología y encausar la importancia de sus equipos, herramientas e información para dar un tratamiento adecuado y constituirlo como parte integral de un esquema de continuidad del Negocio.
98
10. BIBLIOGRAFÍA
ALARCÓN T, C., CANTILLO M, L. J. & CASTILLO T, W. (2018). Adaptación de los
procesos del marco de referencia COBIT v5 para Pymes del sector salud. Bogotá, Colombia. Facultad de Ingeniería. Programa de Ingeniería de Sistemas. Trabajo de Grado (Especialización Auditoría de Sistemas de Información). Universidad Católica de Colombia. Recuperado el 30 de 04 de 2020. Obtenido de: https://repository.ucatolica.edu.co/handle/10983/22407
BACA, U. G. (2016). Introducción a la seguridad informática. Created from biblioucatolicasp on 2020-04-28 14:46:07 Obtenido de: http://ebookcentral.proquest.com
BARRAGÁN N, L. F. & PUENTES G, Y. (2016). Propuesta para el diseño del plan de recuperación de desastres DRP caso: unidad administrativa especial de catastro distrital UAECD. Trabajo de Grado (Especialización Seguridad de la Información). Universidad Católica de Colombia. Recuperado el 01 de 11 de 2019. Obtenido de: https://repository.ucatolica.edu.co/bitstream/10983/14044/4/Proyecto%20Final.pdf
Centro Nacional de Estimación. Prevención y Reducción del Riesgo de Desastres (CENEPRED). (01 2019). Escenario de riesgos. (pág. 3). Recuperado el 06 de 05 de 2020, Obtenido de: https://www.indeci.gob.pe/wp-content/uploads/2019/01/fil20160516082630.pdf
COBIT v5. Procesos catalizadores. Isaca Framework. Estados unidos. (2012). pág. 13
COBIT v5. Procesos catalizadores. Isaca Framework. Estados unidos. (2012). págs. 15, 16
COBIT v5. Procesos catalizadores. Isaca Framework. Estados unidos. (2012). pág. 15
Congreso de la República de Colombia. (14 de 07 de 2000). Ley 594 de 2000. Recuperado el 31 de 03 de 2020, Obtenido de: https://www.mintic.gov.co/portal/604/articles-15049_documento.pdf
Congreso de la República de Colombia. (31 de 12 de 2008). Ley 1266 de 2008. Recuperado el 31 de 03 de 2020. Obtenido de: https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488
Congreso de la República de Colombia. (30 de 07 de 2009). Ley 1431 de 2009. Recuperado el 31 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/portal/inicio/3707:Ley-1341-de-2009
Congreso de la República de Colombia. (05 de 01 de 2009). Ley 1273 de 2009. Recuperado el 31 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/portal/inicio/3705:Ley-1273-de-2009
99
Congreso de la República de Colombia. (31 de 01 de 2020). Ley 2015 de 2020. Recuperado el 31 de 03 de 2020. Obtenido de: https://dapre.presidencia.gov.co/normativa/normativa/LEY%202015%20DEL%2031%20DE%20ENERO%20DE%202020.pdf
CORTÉS A, A. M., & RIOS G, J. E. (2012). Análisis, diseño, desarrollo e implementación de un plan de recuperación de desastres (DRP) para una entidad financiera. Trabajo de Grado (Especialización Gerencia de Proyectos) Universidad Piloto de Colombia. Recuperado el 01 de 11 de 2019. Obtenido de: http://polux.unipiloto.edu.co:8080/00000753.pdf
Departamento Administrativo de la función pública. (09 2011). Guía para administración del riesgo (pág. 30). Recuperado el 06 de 05 de 2020. Obtenido de: https://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa-8182-eb99e8c4f3ba
Departamento Administrativo de la función pública. (10 2018). Guía para administración del riesgo y el diseño de controles en entidades públicas (pág. 21). Recuperado el 06 de 05 de 2020. Obtenido de: https://www.funcionpublica.gov.co/documents/418548/34150781/Gu%C3%ADa+para+la+administraci%C3%B3n+del+riesgo+y+el+dise%C3%B1o+de+controles+en+entidades+p%C3%BAblicas+-+Riesgos+de+gesti%C3%B3n%2C +corrupci%C3%B3n+y+seguridad+digital+-+Versi%C3%B3n+4+-+Octubre +de+2018.pdf/68d324dd-55c5-11e0-9f37-2e5516b48a87?t=1542226781163 =&download=true
Enciclopedia económica. (2020). ¿Qué es el muestreo no probabilístico? Recuperado el 29 de 05 de 2020. Obtenido de: https://enciclopediaeconomica.com/muestreo-no-probabilistico/
Eset. (06 de 11 de 2014). Business Impact Analysis (BIA) y la importancia de priorizar procesos. Recuperado el 22 de 10 de 2019. Obtenido de: https://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/
Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 2). Bogotá: Icontec
Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directices para el Análisis de Impacto en el Negocio (BIA) (pág. 5). Bogotá: Icontec
Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directices para el Análisis de Impacto en el Negocio (BIA) (pág. 6). Bogotá: Icontec.
100
Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 8). Bogotá: Icontec
Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 10). Bogotá: Icontec
Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 24). Bogotá: Icontec
Icontec. (2012). Norma Técnica Colombiana NIC 5722. En Sistemas de Gestión de Continuidad de Negocio _ Requisitos (págs. 2,6). Bogotá: Icontec.
Icontec. (2012). Norma Técnica Colombiana NIC 5722. En Sistemas de Gestión de Continuidad de Negocio _ Requisitos (pág. 2). Bogotá: Icontec.
Icontec. (2012). Norma Técnica Colombiana NTC 5722. En Sistemas de Gestión de Continuidad de Negocio (pág. 7). Bogotá: Icontec.
Icontec. (2012). Norma Técnica Colombiana NTC 5722. En Sistemas de Gestión de Continuidad de Negocio _ Requisitos (págs. 2,6). Bogotá: Icontec.
ISO 22301 Sistemas de Gestión & Continuidad del Negocio. (22 de 10 de 2015). ISO 22317 una receta fiable para llevar a cabo el análisis de impacto en el negocio (BIA). Recuperado el 11 de 03 de 2020. Obtenido de: http://normaiso22301.com/iso-22317-una-guia-practica-la-elaboracion-del-bia-business-impact-analysis/
ISOTools. (09 de 04 de 2014). ISO 22301 y su relación con el ciclo PHVA. Recuperado el 11 de 03 de 2020. Obtenido de https://www.isotools.com.co/iso-22301-y-su-relacion-con-el-ciclo-phva/
ISOTools . (28 de 05 de 2019). ISO 9001 y el ciclo PHVA. Recuperado el 20 de 10 de 2019. Obtenido de https://www.nueva-iso-9001-2015.com/2019/05/ciclo-phva-en-iso-9001/
Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC). (12 de 05 de 2015). Guía para realizar el Análisis de Impacto de Negocio BIA (pág. 6). Recuperado el 26 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf
MinTIC. (15 de 03 de 2016). Guía para la gestión de activos de información. (pág. 11) Recuperado el 26 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf
101
MinTIC. (15 03 2016) . Guía para la gestión de activos de información. (págs. 16 - 18). Recuperado el 02 de 05 de 2020. Obtenido de: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf
Netquest. (29 05 2015). Muestreo no probabilístico: muestreo por conveniencia.
Recuperado el 29 de 05 de 2020. Obtenido de: https://www.netquest.com/blog/es/blog/es/muestreo-por-conveniencia.
PASCUAL M, S. (10 de 2015). Business Continuity Plan – Conceptos Teóricos y
Simulación Practica. Leganez, España. Trabajo de Grado (Pregrado en Ingenieria Técnica en Informatica de Gestión). Universidad Carlos III Madrid. Recuperado el 01 de 11 de 2019. Obtenido de: https://e-archivo.uc3m.es/bitstream/handle/10016/25756/PFC_Samuel_Pascual_Martin.pdf
Presidencia de la República de Colombia. (27 de 06 de 2013). Decreto 1377 de 2013. Recuperado el 31 de 03 de 2020. Obtenido de: http://www.suin-juriscol.gov.co/viewDocument.asp?ruta=Decretos/1276081
Revista Espacios. (01 de 08 de 2017). Modelo de evaluación de gestión de Modelo de evaluación de gestión de norma ISO 22301:2012. Recuperado el 11 de 03 de 2020. Obtenido de: https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf
Revista Semana. (17 de 10 de 2018). La clave es el "software". Recuperado el 26 de 03 de 2020. Obtenido de: http://www.semana.com/opinion/articulo/industria-del-software-en-colombia-columna-de-esteban-piedrahita/587171
Velneo. (16 de 01 de 2019). El desarrollo de software de gestión en Colombia en 2019. Recuperado el 26 de 03 de 2020. Obtenido de: https://velneo.es/el-desarrollo-de-software-de-gestion-en-colombia-en-2019/.
102
11. ANEXOS
Anexo A. Tabla Matriz entre las Metas Corporativas y las Metas relacionadas con TI
103
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
104
Anexo B. Tabla Matriz entre las metas de TI y los procesos de COBIT v5
105
106
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
107
Anexo C. Tabla Matriz Puntos de dolor
108
109
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
110
Anexo D. Tabla Matriz Diagnostico de la Gestión de Conciencia
111
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
112
Anexo E. Totalización de Totalización procesos habilitadores relacionados con procesos críticos
113
114
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
115
Anexo F. Clasificación de Activos de información conforme a Guía 5 (MinTIC)
Valor Clasificación 3 Alto
2 Medio
1 Bajo
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo
Valor Final Estimado
ACT1 Control de calidad productos y servicios
Repositorio de Información
Información almacenada en plataforma centralizada
Información Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
2 3 2 2 2
ACT2 Control de calidad productos y servicios
Repositorio de trazabilidad
Versiones de código
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código.
2 3 3 3 3
ACT3 Control de calidad productos y servicios
Herramienta de Hallazgos
Información de hallazgo
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
2 2 3 3 3
ACT4 Control de calidad productos y servicios
Bases de datos - Ambiente de Pruebas
Estructura de la base de datos
Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
2 3 2 2 2
ACT5 Control de calidad productos y servicios
Bases de datos - Ambiente de Pruebas
Motor de la base de datos
Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.
1 2 2 2 2
116
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo
Valor Final Estimado
ACT6 Control de calidad productos y servicios
Servidores - Ambiente de Pruebas
Sistema operativo
Software Software encargado de ordenar y controlar los procesos relacionas con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.
1 2 2 1 1
ACT7 Diseño, desarrollo Integración y despliegue
Repositorio de Información
Información almacenada en plataforma centralizada
Información Repositorio de consulta y actualización de documentos donde se almacena la documentación de desarrollo y de los procesos de negocio que han sido documentados, de igual forma también se encuentra el script de funcionamiento del desarrollo a realizar.
3 2 2 3 3
ACT8 Diseño, desarrollo Integración y despliegue
Repositorio de Información
Arquitectura de la aplicación
Información Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.
3 2 2 3 3
ACT9 Diseño, desarrollo Integración y despliegue
Infraestructura Programa desarrollo de aplicaciones
Software Consola con rutinas e interpretación para creación de programas y piezas de software, este puede contener lógica de negocio e información obtenida desde el repositorio de trazabilidad del producto.
2 2 2 2 2
ACT10 Diseño, desarrollo Integración y despliegue
Repositorio de Trazabilidad
Versiones de código
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código. 3 3 3 3 3
ACT11 Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Servidor Archivos
Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas.
2 2 2 2 2
ACT12 Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Versiones de código
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código que han sido definidas para integración y despliegue de la solución producto.
3 3 2 3 3
117
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo
Valor Final Estimado
ACT13 Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Estructura de la base de datos
Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
2 3 2 2 2
ACT14 Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Motor de la base de datos
Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información. En desarrollo es usado para realizar ajustes de Stored Procedures y optimización de consulta y actualización de registros.
2 2 3 2 2
ACT15 Diseño, desarrollo Integración y despliegue
Servidores - Ambiente de Desarrollo
Sistema operativo
Software Software encargado de ordenar y controlar los procesos relacionas con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.
2 2 2 1 2
ACT16 Servicio al cliente
Herramienta de Tickets
Información de Tickets
Sistema de Información
Sistema donde se consignan los tickets solicitados por los clientes del desarrollo y del programa, estos son consultados por desarrollo y servicio al cliente.
2 3 3 2 2
ACT17 Servicio al cliente
Herramienta de Hallazgos
Información de hallazgo
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
3 2 2 3 3
ACT18 Servicio al cliente
Línea base producto para despliegue
Servidor Archivos
Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas. 2 2 3 2 2
ACT19 Servicio al cliente
Base de datos - Ambiente de Demos
Estructura de la base de datos
Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente usado para presentación de producto a clientes y posibles compradores de la solución conteniendo información cercana a la real
2 2 3 3 3
118
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad
Valor Corporativo
Valor Final Estimado
ACT20 Servicio al cliente
Servidores - Ambientes de Demos
Motor de la base de datos
Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.
2 3 3 2 2
ACT21 Infraestructura Tecnológica
Ofimática Ofimática en Nube
Servicio Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.
2 2 3 3 3
ACT22 Infraestructura Tecnológica
Ofimática Correo en Nube
Servicio Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube
3 2 2 3 3
ACT23 Infraestructura Tecnológica
Infraestructura Servidores Hardware Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos
2 2 3 2 2
ACT24 Infraestructura Tecnológica
Infraestructura Redes Hardware Elementos que permiten la conectividad de equipos y software para comunicación interna y funcionamiento de herramientas usadas en los procesos de la casa de software
2 2 2 2 2
ACT25 Infraestructura Tecnológica
Infraestructura VPN Servicio Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet.
3 2 2 2 2
Fuente: Elaboración del autor
119
Anexo G. Valoración de riesgos identificados hacia los activos
Valor probabilidad Nivel probabilidad Valor Impacto Nivel Impacto Valor Riesgo Nivel Riesgo
5 Casi seguro 5 Extremo 5 Extremo
4 Probable 4 Alto 4 Alto
3 Posible 3 Medio 3 Medio
2 Improbable 2 Moderado 2 Moderado
1 Raro 1 Bajo 1 Bajo
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo
Probabilidad de
Ocurrencia
Impacto Impacto Total
Nivel de Riesgo
Inherente Reputacional
Información Legal
Financiero
ACT1 Información almacenada en plataforma centralizada
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
Daño por agua
Almacenamiento sin protección
Posible daño del hardware de almacenamiento por humedad, debido a la falta de mantenimiento del aire acondicionado, afectando la integralidad, secuencialidad, disponibilidad y oportunidad de la plataforma almacenada
3 3 4 3 4 4 Al Alto
120
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo Inherente
Reputacional Información Legal
Financiero
ACT1
Información almacenada en plataforma centralizada
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
Falla del equipo A
Susceptibilidad a las variaciones de voltaje
Posible daño del servidor con misión plataforma por caídas constantes de fluido eléctrico Afectando al integridad de la información y la disponibilidad de los mismos
2 3 4 3 4 4 Al Alto
ACT2 Versiones de código
Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
Corrupción de los datos
Descarga y uso no controlados de software
Posible corrupción de los datos por descarga y uso no controlados de software afectando la integridad y la confidencialidad del código, ocasionando reprocesos en el desarrollo de piezas de código y generación de código basura.
3 3 4 2 3 3 Me
Medio
121
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad de
Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional
Información
Legal
Financiero
ACT3 Información de hallazgo
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
Saturación del sistema de información A, D
Habilitación de servicios innecesarios
Posible saturación del sistema de información por habilitación de servicios innecesarios afectando la integridad y la disponibilidad y oportunidad de respuesta del sistema de información por consulta de información no requerida
2 2 4 3 2 3 Me Medio
ACT8 Arquitectura de la aplicación
Información
Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.
Divulgación Copia no controlada
Posible pérdida de confidencialidad de la información de vida a la emisión de copias no controladas que puede ocasionar presentación dé propiedad intelectual y fugas de información.
3 4 3 4 5 4 Al Alto
122
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad de
Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional Información
Legal
Financiero
ACT10 Versiones de código
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
Abuso de derechos
Ausencia de control de cambios eficaz
Posible abuso de derechos por ausencia de control de cambios eficaz en las versiones de código provocando pérdida de la integridad de la pieza desarrollada.
3 4 4 3 4 4 Al Alto
ACT19 Estructura de la base de datos
Información
Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
Corrupción de los datos
Ausencia de copias de respaldo
Posible pérdida de integridad y capacidad de recuperación por ausencia de copias de respaldo de la información y estructura de la base de datos del ambiente de demostración, ocasionando afectación en las funciones comerciales y de preventa con repercusiones financieras y de reputación como producto.
4 5 4 3 4 4 Al Alto
123
Código Riesgo
Nombre del
Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional
Información Legal
Financiero
ACT21 Ofimática en Nube
Servicio
Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.
Uso no autorizado del equipo
Uso incorrecto de software y hardware
Se afecta la disponibilidad, integridad y confidencialidad del programa Office de los usuarios administrativos, debido a que el office en los equipos de cartera fue descargado de forma fraudulenta, por los bajos controles en tecnología y descarga de la compañía, afectando el uso del hardware y los equipos del área de cartera, deteniendo la recuperación de las cuentas de los servicios domiciliarios.
3 4 3 5 4 4 Al Alto
ACT22 Correo en Nube
Servicio
Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube
Divulgación Tráfico sensible sin protección
Perdida de la confidencialidad de la información por posible tráfico de información sensible provocado por envío de información sin encriptación desde el servidor de correo de la organización
3 4 4 4 3 4 Al Alto
124
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad de
Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo Inherente
Reputacional Información
Legal
Financiero
ACT23 Servidores Hardware
Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos
Destrucción o daño del equipo o los medios
Ausencia de esquemas de reemplazo
Perdida de disponibilidad por destrucción o daño del equipo a falta de un esquema de reemplazo del mismo provocando apagado de recursos de servidor ligados a la afectación de almacenamiento y host de virtualización
5 4 4 2 4 4 Ex Extremo
Fuente: Elaboración del autor