CASO DE ESTUDIO & ANALISIS DE

RIESGO
ELECCIONES PRESIDENCIALES EN PARAGUAY

PEDRO ARCE ANAYA

EDGAR JIMENEZ GARCIA
PEDRO MANJARREZ SERRANO
RAFAEL PEDROZA MANGA
CARLOS PEREZ MEZA

CASO DE ESTUDIO & ANALISIS DE RIESGO

ELECCIONES PRESIDENCIALES REPUBLICA DE PARAGUAY
SEGURIDAD Y AUDITORIA DE SISTEMAS

Presentado por:
Pedro Pablo Arce Anaya
Edgar Enrique Jimnez Garca
Pedro David Manjarres Serrano
Carlos Eduardo Prez Meza
Rafael Eduardo Pedroza Manga

Presentado a:
Profesor Humberto Caicedo Blanco

UNIVERSIDAD DE CARTAGENA
FACULTAD DE INGENIERA DE SISTEMAS
CARTAGENA D.T.C.
2014

1. INTRODUCCION
1

El presente desarrollo del caso de estudio y anlisis de riesgo

acerca de las elecciones presidenciales en Paraguay, tiene como
misin mostrar todos los elementos y las propiedades a tener en
cuenta para el desarrollo de una correcta campaa electoral, en
este caso las elecciones presidenciales de la Republica Paraguaya,
todo lo anterior realizado haciendo uso de los conocimientos e
informacin obtenida en seguridad y auditoria en sistemas.
Implementando las herramientas que nos brinda la teora general
de sistema y las NORMAS ISO, en esta caso la NORMA ISO 17799
2005, se pudieron obtener en su totalidad las especificaciones y
controles necesarios para realizar un ptimo desarrollo y
realizacin de los procesos en todos y cada uno de los sistemas.
Se hace de extrema importancia la implementacin de una
auditoria de sistemas, ya que esta permitir el anlisis del
impacto que generara las herramientas tecnolgicas que se
piensan implementar en dichas elecciones, todo esto con el fin de
observar que la nueva propuesta de implementacin de
tecnologas para las votaciones no afecte de manera negativa.

2. OBJETIVOS

Aplicar los conocimientos obtenidos de la norma ISO 17799

2005 y de la Teora General de Sistemas en el caso de
estudio
Detallar todos los componentes que hacen parte de los
procesos que componen el sistema de ELECCIONES
PRESIDENCIALES DE PARAGUAY.
Detallar los protocolos necesarios para la correcta ejecucin
de los procesos.
Describir cada uno de los procesos del sistema.
Realizar un anlisis de riesgo a la ejecucin de los procesos
para evitar y disminuir la probabilidad de ocurrencia.
Realizar un anlisis de costos para verificar si la relacin
entre la implementacin de las nuevas tecnologas y el
desarrollo de los procesos es viable.

3. MISION
Detallar las especificaciones y las normas necesarias que se deben
acatar para que al implementar el software diseado para las
elecciones presidenciales, estas no se
vean afectadas
negativamente y que por consiguiente esta nueva implementacin
genere una mejor actitud de los votantes frente al proceso
electoral, generando mayor confianza a la hora de votar y de
recibir resultados, y de esta manera motivando a que la poblacin
sea ms activa a la hora del voto y que se expanda este mtodo
como un medio de agilizacin y optimizacin de procesos.

4. VISION
Innovar en el rea de los procesos electorales, ganando reputacin
positiva a nivel internacional mediante la muestra de los
resultados obtenidos en los proyectos, de esta manera se podr
incentivar a todas las comunidades a que voten, permitiendo as
que la democracia gane fuerza y sea lo ms transparente posible.

5. ELEMENTOS Y PROPIEDADES DEL SISTEMA

4

5.1

5.2

5.3

EVENTO PROVEEDOR
Los departamentos, municipios, Provincias y Ciudades.
Los jurados de votacin.
Los postulados al cargo de presidente de la repblica.
Los partidos polticos.
Las Organizaciones como la ONU y la OEA.
El consejo nacional electoral del Paraguay.
Las entidades prestadoras de servicio de seguridad.
El Contratista del Software de Sistemas
La infraestructura designada para el lugar de votacin.
Los medios informativos.
La registradora nacional.
ENTRADAS DEL SISTEMA
Diseo del tarjetn electoral.
Logstica designada al conteo de los votos.
Logstica encargada de organizar todo lo que se encuentre
relacionado a la infraestructura designada para la votacin
como podran ser las sedes y las mesas de votacin.
Curules Polticas.
Logstica encargada de designar los jurados de votacin.
Logstica encargada de la diligenciaran del formato de
registro de votantes.
Logstica designada para la realizacin de las inscripciones
de los postulados a la presidencia de la repblica.
Logstica encargada de designar los puestos de votacin.
PROCESOS
Inscripcin de los candidatos: los aspirantes se postulan
para ser elegibles en las elecciones.
Designacin de sitios de votacin: se les de la
informacin a todos los votantes sobre el sitio donde deben
ir a votar.
Recopilacin y anlisis de informacin: se realiza una
comparacin entre los datos obtenidos en el pre-conteo
electoral y los obtenidos durante el escrutinio.
Logstica para la infraestructura: para las votaciones se
dispone de la infraestructura fsica necesaria para que el
proceso electoral se lleve a cabo en la fecha estipulada.
5

5.4

Eleccin de los jurados de votacin: se realiza la

designacin de los jurados que estarn en las mesas y que
participaran en el proceso electoral
Apertura de inscripciones: establecimiento de fechas y
actividades relacionadas al proceso electoral.
Verificacin de los votantes: se hace un chequeo en el
cual se determinar si el votante est en capacidad de
votar.
Votacin: los votantes ejercen su derecho al voto.
Pre-conteo: Realizacin de un conteo preliminar pero no
final.
Conteo de votos: Se inicia el escrutinio de los tarjetones
de votacin ya que se realice el cierre de las mesas de
votacin, de aqu se crean documentos con la informacin
recaudada en cada una de las mesas de votacin.
Divulgacin de los resultados: se otorgan los resultados
finales de la votacin.
Transmisin por medios electrnicos de los datos
electorales: Digitalizacin de todos los datos obtenidos
durante el proceso electoral.
Transmisin voz a voz: por va Radial y telefnica se
transmiten los datos de cada uno de los votos registrados.
Transmisin de informacin a los medios de
comunicacin: se transmite todo lo relacionado al proceso
electoral a travs de los medios de comunicacin usuales.
Consolidacin nacional: Se reciben todos los documentos
del proceso electoral a nivel departamental y regional.
SALIDAS
Resolucin de inicio de la campaa electoral.
Comunicados a los jurados de votacin electos.
Comunicados de los sitios de votacin habilitados.
Documentos E-14.
Certificados electorales.
Estadsticas electorales.
Actas de escrutinios.
Boletn de informacin electoral, en el cual se plasman los
resultados de la votacin.
Digitalizacin de la informacin.
Divulgacin de los datos electorales en los medios de
comunicacin.
6

5.5

5.6

Adaptacin del modelo electoral Colombiano al paraguayo.

Esto define las fechas, recursos y costos del proceso.
Asignacin de la logstica para la infraestructura fsica de las
votaciones.
Asignacin de las Capacidades individuales de un Humano,
para la realizacin de un proceso de votacin de manera
sistemtica.
MEDIO AMBIENTE
La presidencia de la repblica del Paraguay.
Divisin Financiera encargada de la Asignacin de costos.
Locales y construcciones elegidas como puntos de votacin.
Salas de Prensa.
Registraduria.
Puntos de entrada y salida en los lugares de votacin.
Departamento de servicios informticos de Paraguay
encargados de la infraestructura de redes y computacional.
Direccin administrativa de Paraguay encargada de
coordinar la logstica fsica.
La red de Internet.
FRONTERA

Esta se limita a travs de las interacciones entre los votantes que

suceden dentro del sistema, y se definen por las conexiones entre
los diferentes procesos. Este se representar por medio del
modelo E-R (Entidad - Relacin), y el diseo relacional de Base
de Datos.
5.7

CONTROLES
Fechas Inicio fin de proceso.
Fechas Inicio fin de Registro de las inscripciones de los
candidatos.
Designacin de recurso humano para organizar elecciones.
Constitucin Poltica de Paraguay (Ley N 834 del 17 de abril
de 1996)
Desarrollo de la Jornada electoral en la maana y en la
tarde.
Fecha final de cierre de inscripcin para los candidatos.
Fecha de desarrollo de las elecciones.
7

5.8

5.9

Verificacin de que los cdigos de los municipios existan en

la divisin poltico administrativa.
Solo se consolidan las actas que no presenten error.
La suma de los votos, por partido, o por candidato, o por
mesa, no exceda al potencial de la mesa.
Las actas que presenten error, quedan a disposicin de los
delegados departamentales, dndoles a conocer el tipo de
error, para que decidan lo pertinente frente a estas actas.
El cdigo de la mesa debe corresponder al de una mesa
instalada: En caso de que haya necesidad de crear una
mesa, debe actualizarse con anterioridad en la divisin
poltica, tanto a nivel municipal como departamental.
El cdigo del candidato, lista y partido, sea vlido y
corresponde a la corporacin que se est grabando.
El cdigo de transmisin sea vlido y corresponde a la mesa
que se est grabando.
Se cumpla con la estructura de los registros de transmisin
por corporaciones a elegir y con la convencin de nombres
que se establezca.
Existencia de campos para registrar los votos blancos, votos
nulos y votos no marcados.
La mesa no se encuentre ya grabada, de lo contrario se
reporte el correspondiente mensaje de error e informe a los
delegados
departamentales
para
la
investigacin
pertinente.
La suma de los votos de un partido o candidato, no
disminuya de un boletn a otro.
EVENTOS CLIENTE
El Candidato.
El partido al que representa.
Estadsticas del proceso.
Seguimiento en tiempo real.
Actas detalladas.
La prensa.
Organismos internacionales como la ONU y la OEA.
RETROALIMENTACION
Anlisis de estadsticas de procesos anteriores para
organizar logstica de futuros procesos de elecciones.
8

Evaluacin de resultados del proceso, para

confiabilidad.
Evaluar resultados, para reorganizar procesos.

verificar

5.10 SUBSISTEMAS

Tarjeta electoral: Documento en el cual el votante, en

ejercicio del derecho al voto, marca su preferencia electoral.
o Atributos: Candidatos, Partidos polticos, Nmero
representativo.

Mesa de votacin: Sitio habilitado por la Registraduria

donde el ciudadano debe votar.
o Atributos: Cdigo de mesa, jefe encargado,
asistentes

Votante: persona que realiza el acto de cumplir con un

sufragio o voto.
o Atributos: Nmero de identificacin, nombre, sexo,
edad.

Candidato electoral: Persona que se postula a ser elegida

para algn cargo pblico electo en unas elecciones,
normalmente incluido en unas listas electorales.
o Atributos: Cdigo de candidato, Nmero de
identificacin, nombre, edad, sexo, partido poltico,
ttulos profesionales.

Jurados de votacin: Ciudadano seleccionado mediante

sorteo, para atender la mesa de votacin, hacer los
escrutinios correspondientes y entregar los resultados de las
votaciones en los documentos electorales correspondientes.
o Atributos: Nmero de identificacin, nombre, sexo.

Puestos
de
votacin,
Instalaciones:
Lugares
seleccionados para la realizacin de los votos y la ubicacin
de las mesas de votacin.
o Atributos: Nombre del lugar, Direccin, nmero de
mesas.

Centros de procesamientos de datos: Instalaciones de

pre-conteo electorales, ubicados en la capital cabecera

municipal, encargada del recaudo de la votacin de esa

Zona del Pas
o Atributos: Nombre lugar, Direccin, telfono.

Puesto de transmisin: Un puesto de transmisin va

telefnica, ubicado en el mismo lugar de la votacin, donde
se leen los resultados.
o Atributos:
Cdigo
de
mesa,
protocolo
de
reconocimiento, nombre del lector.

Puesto de recepcin telefnica: Sitios de recepcin

encargados de recibir la transmisin voz a Voz y consignar
los datos en un Formato, recaudar los FRT y enviar la
informacin al puesto de digitalizacin.
o Atributos: Nombre lugar, Direccin, telfono.

Puestos o centros de digitalizacin: Sitios de recepcin

de informacin encargados de recibir la los datos del puesto
de recepcin, se procesan, verifican, consignan, almacenan
y transmiten los datos al centro de consolidacin Nacional.
o Atributos: Nombre lugar, Direccin, telfono.

Centro
de
consolidacin
Nacional:
Centro
de
procesamiento de datos, dedicado a recibir la votacin
individual de cada regin.
o Atributos: Nombre lugar, Direccin, telfono.

Salas de prensa: donde lo medios de comunicacin a

travs de periodistas, recaudan datos para
enviar
a
Noticieros de divulgacin Nacional.
o Atributos: Nombre lugar, Direccin, telfono.

Oficina de Divulgacin: Oficina encargada de tomar los

datos y publicar a travs de servicios WEB, la informacin a
Nivel Nacional.
o Atributos: Nombre lugar, Direccin, telfono.

5.11 VARIABLES

Mesas de votacin.
Candidatos.
Votantes.
Funcionarios pblicos.
10

Partidos polticos.
Jurados de votacin.
Terceros involucrados en el proceso de votacin.
Regiones.
La prensa.
Estado
de
las
comunicaciones
(lnea
telefnica,
electricidad).
Resultados de las votaciones.

5.12 PARAMETROS

Fecha y hora de apertura y cierre de las votaciones.

Precisin del votante (informacin proporcionada).
Asistencia de los jurados.
Cantidad de votantes.
Nmero de candidatos.
Nmero de partidos polticos.
Cantidad de equipos electrnicos necesarios.
Estndar de conteo de votos.

5.13 OPERADORES

Funcionarios pblicos y delegados.

Jurados de votacin.
Medios de comunicacin y periodistas.
Seleccin de la infraestructura para el proceso electoral.
Material electoral para las votaciones.
Centro de pre-conteo.
Cumplimiento de la normativa electoral.
Numero de tarjetones.
Numero de urnas.
Listas de registro de los votantes.
Suma de Votos.

5.14 REALIMENTACION

Preparacin de infraestructura de acuerdo a la cantidad de

votantes

11

Anlisis estadstico de error a la hora de votar y cambiar

formas de votacin
Mejoramiento de la infraestructura tecnolgica en base a los
registros y control de tiempos de procesamiento.
Mejoramiento del proceso de escrutinio de votos en base a
la efectividad del proceso.
Simulacro electoral.
Auditoras externas.
Organismos de control como la procuradura.
Organismos internacionales

5.15 FEED BACK

La utilizacin del cdigo de transmisin del formulario en la

recepcin telefnica.
Procesos de interpretacin, verificacin y confirmacin
visuales en la digitalizacin.
Claridad del tarjetn de votacin.
Actualizar la informacin contenida en los archivos de la
divisin poltica administrativa y candidatos, con el fin de
corregir inconsistencias.
La parametrizacin del software
La implementacin de un mdulo de control de procesos
para los delegados departamentales.
Mecanismos de confiabilidad y certeza de los datos
ingresados al sistema.
Verificacin del contenido de los archivos a transmitir se
realice por reemplazo.

5.16 HOMEOSTASIS Y ENTROPIA

La implementacin de varios mecanismos de control y

verificacin para el correcto manejo, digitalizacin y
divulgacin de datos
Dejar rastros o pistas de auditora.
La visualizacin dinmica en la pantalla, del avance del
proceso de consolidacin de mesas, por puesto, zona,
municipio y departamento, facilitando la emisin de un
nuevo boletn.
Se utiliza informacin capturada por modalidad de
reconocimiento inteligente de caracteres (ICR) o el sistema

12

OCR Reconocimiento de Caracteres pticos

sistematiza y agiliza el proceso de digitalizacin.

que

5.17 PERMEABILIDAD
Es un sistema parcialmente abierto, donde los jurados de votacin no
hacen como tal parte del sistema pero trabajan con l, como si fuera un
componente des-conectable y no tan verificable, el sistema se vera ms
afectado por cambios exteriores al momento del proceso de votacin,
despus de la transmisin Voz o Voz de los formatos E14 el sistema se
ve ms aislado del medio y se vera menos afectado por otros sistemas.

5.18 INTEGRACION E INDEPENDENCIA

El Sistema est muy integrado, si alguna de sus partes falla puede
colapsar todo el proceso o se puede perder mucha informacin, la
integracin se va haciendo ms fuerte a medida de que el proceso se
concluye porque los datos se van enviando a una entidad central que se
encarga de la divulgacin.

5.19 CENTRALIZACION Y DESCENTRALIZACION

Sera descentralizado, porque no existe un objeto dominante como tal,
sin embargo si se requiere al objeto anterior para la activacin de cada
parte subsiguiente.

5.20 ADAPTABILIDAD
El sistema es adaptable, al estar separado en mltiples partes, estas
pueden
mejorar
y
hacer
cambios
individuales
sin
afectar
necesariamente a las dems, tambin la utilizacin de herramientas
cada vez ms especializadas, mejora el desempeo de los sistemas para
futuros usos.
5.21 MANTENIBILIDAD

13

Es completamente necesario la supervisin y el control de los procesos,

incluso a aquellos que ya estn sistematizados por medio de
herramientas electrnicas, sobre todo en las partes iniciales y finales del
sistema como lo es el proceso en las mesas de votacin y al final en el
proceso de divulgacin de datos
5.22 ESTABILIDAD
Funcionalidad efectiva, recibe la informacin necesaria del usuario, en
este caso los votantes y responde positivamente con la divulgacin de
datos por los distintos medios.
5.23 ARMONIA
Es armonioso, por la compatibilidad que tiene con el contexto ya que se
modific, adapt y ajustar para responder positivamente a un medio
parecido como el anterior que era Colombia.
5.24 OPTIMIZACION Y SUBOPTIMIZACION
El Sistema puede ser modificado y adaptado para responder cada vez
mejor a las necesidades de los usuarios y hacer las tareas con mayor
rapidez y eficiencia.

5.25 EXITO
Se llega a su cometido, con la divulgacin de la informacin correcta en
los diferentes medios despus de la verificacin, el procesado de los
votos y el almacenamiento de los resultados.

6. MODELO ENTIDAD RELACION

14

Figura 1. Modelo de entidad relacin (E-R), interpretado

como un modelo de base de datos relacional.

7. APLICACIN DE LA NORMA ISO 17799 2005

7.1 POLITICAS DE SEGURIDAD
Objetivos Generales de Seguridad

Proteccin de la informacin electoral es accesible slo para

aquellos autorizados a tener acceso.
Garanta de la exactitud y completitud de la informacin
electoral y de los mtodos de su procesamiento.
15

Los usuarios autorizados tendrn acceso cuando lo requieran a

la informacin electoral y sus activos asociados.

Valores de Seguridad
Habr valores especficos como la responsabilidad, y cumplimiento de
rdenes que jugaron un papel importante dentro de todo el
comportamiento de la organizacin.
Responsabilidades

Generales
o Cumplir normativas expuestas en el manual de Polticas
de seguridad interna.

Especficas
o El
funcionario
deber
mantener
la
informacin
confidencial y evitar el uso de esta divulgacin indebida.
o El funcionario debe mantener la integridad de la
informacin no es de ninguna manera cambiar sus
rdenes de tratamiento y gurdelo en su estado original.
o El funcionario garantizar la mxima disponibilidad de la
informacin cuando sea necesario y solicitado

7.2 ASPECTOS
INFORMACION

ORGANIZATIVOS

DE

LA

SEGURIDAD

DE

LA

Para que todos los subsistemas trabajen en armona y sin temor a que
se atente contra la confidencialidad o integridad de los principales
activos dentro de la ejecucin del proceso, son necesarias las siguientes
medidas:

La poltica de seguridad establecida debe ser aprobada por el

organismo de control en este caso para el sistema electoral.
Designar encargados que acten como responsables sobre la
totalidad de procesos en la organizacin.
16

Contratar expertos en el tema de la seguridad interna para el

correcto control de esta.
Asignar las autorizaciones a terceras partes para la ejecucin
de tareas, de acuerdo al modelo establecido en las normas de
seguridad.
Tener adecuados controles de pre-conteo para que se presente
la manipulacin de votos.
Tener normas en el escrutinio, divulgacin y consolidacin para
evitar todo tipo de percance.

7.3 GESTION DE ACTIVOS

Acciones

Desde los puestos de votacin solo se manipular el material

dedicado por los encargados predeterminados de cada
instrumento.
El software pre-validacin de los datos por los ingenieros de
sistemas con el fin de asegurarse de que todo est en orden.
Se tomarn medidas informticas mediante softwares de
seguridad que ayuden a la correcta proteccin

7.4 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

Se tendr contacto directo con el recurso humano, las siguientes
medidas sern implementadas y garantizarn la seguridad.

Las responsabilidades definidas de seguridad antes de

contratar con la descripcin del uso y las condiciones
apropiadas.
Todos los usuarios empleados, contratistas y terceros que se
proporcionarn un nivel apropiado de concienciacin,
educacin y formacin sobre los procedimientos de seguridad
y el uso adecuado de los recursos disponibles.
17

La responsabilidad de la proteccin de la informacin no se

detiene cuando un empleado regresa a su casa o sale de la
organizacin. Nos aseguramos de que, como organizacin que
est claramente documentado en la conciencia de los
materiales, los contratos de trabajo, etc.
Asegurar que las partes involucradas en el manejo del
software conozcan de primera mano las funciones que se
deben tener en cuenta para la correcta ejecucin control y
manejo de este.
Realizar capacitaciones peridicas y en materia de polticas y
procedimientos de la informacin.
Proteger los activos (equipos utilizados) contra el acceso,
modificacin, destruccin o interferencia no autorizada.
Asegurar que se asigne a la persona la responsabilidad
inicialmente encomendada (recoleccin de formularios E- 14,
digitalizacin etc.), exigiendo la debida autorizacin o
permisos.
Evitar que los empleados coloquen en riesgo la integridad de
la informacin, haciendo que estos firmen acuerdos de
confidencialidad.
Verificar el buen nombre de las personas que entraran en
contacto con el software a utilizar, de modo que se eviten
posibles riesgos relacionados a informacin sensible.
Se entregar al contratado, toda la documentacin y
materiales necesarios para ejercer sus labores, al dar por
sentada su contratacin.

7.5 SEGURIDAD FISICA

Teniendo en cuenta la descripcin de problema.

Se utilizarn servicios de energa de respaldo para proteger los

equipos de cmputo y la continuidad del proceso.
Se implementarn servicios de emergencias y rutas de
evacuacin en casos de extremo peligro
Se Impedir la salida de equipos informticos de las
instalaciones sin autorizacin escrita.
Se utilizar personal de seguridad alrededor de las
instalaciones que verifiquen que solo el personal autorizado
manipule informacin sensible

18

Los equipos utilizados deben ser protegidos contra fallas o

interrupciones en los servicios auxiliares o de soporte
necesarios para la ejecucin de los diferentes procesos.
Verificar que el cableado empleado en la trasmisin de los
datos o dan soporte a los servicios de informacin este
protegido contra la intercepcin o dao y contar con
mecanismos de soporte en caso de presentarse fallas en el
suministro elctrico (generador de respaldo).
Ubicar los equipos utilizados en lugares donde no se
encuentren amenazados por factores como robo, fuego, agua,
interferencias electromagnticas etc.
Los empleados solo deben acceder y salir de las instalaciones
en el horario establecido, las acciones de entrada y salida
deben ser registradas, exigiendo una identificacin visible.
Los cuartos utilizados para el recaudo, procesamiento y envi
de la informacin, deben ser discretos, mostrando el
sealamiento mnimo de su funcin
Se utilizarn Tarjetas de acceso.

7.6 SEGURIDAD DEL ENTORNO

Teniendo en cuenta los fundamentos de la organizacin de los votos y
teniendo en cuenta la situacin que se produce de vez en cuando, el
entorno de seguridad no es algo que trasciende el lugar fsico donde se
realice la votacin a las 4:00, sobre esta base, las siguientes directrices
son tomadas:

Personal de Seguridad y Sistemas de Monitoreo.

Instalar de sistemas de ventilacin.
Protecciones elctricas.
Sistemas de deteccin en casos de accidentes ambientales,
como fuego por ejemplo.
Proteccin ante Incendios y mtodos eficaces de evacuacin
guiados.

7.7 GESTION DE COMUNICACIONES Y OPERACIONES

19

Para la gestin de la comunicacin y la interoperabilidad entre votacin

e informacin voz a voz y medios viables para informar, por lo que se
tomaron las siguientes directrices.

Documentar todos los procedimientos de operacin realizados

en el proceso de recepcin.
Controlar los cambios en los medios y sistemas de
procesamiento de la informacin mediante protocolos
predefinidos.
Documentar la aprobacin de cambios en los equipos,
registrando toda la informacin relevante a estos.
Los formularios E -14 debern ser recaudados de cada mesa y
conducidos directamente a los puestos de transmisin va
telefnica.
Los documentos FRT deben ser escritos y posteriormente
digitalizados solo por el receptor telefnico.
Documentar
cambios
realizados
en
la
informacin
suministrada por una mesa en caso de error.
Permitir consultar y modificar los datos de la votacin, para
realizar esta accin se requiere autorizacin por los
escrutadores
Actualizar peridicamente la defensa de los equipos para la
deteccin virus que pongan en riesgo la integridad de la
informacin ingresada.
Requerir el uso de software que aporte confianza y plena
seguridad exigiendo la licencia del mismo.
Reportar y vigilar posibles intromisiones a la seguridad de la
informacin
a travs de correos electrnicos y archivos
descargados.
Establecer procedimientos detallados para el mantenimiento
de equipos y la informacin a travs de copias de seguridad,
manejo de correo y seguridad.
Establecer periodos para el resguardo de la informacin, en
caso de presentarse fallas en el sistema o equipos.
El envo de la informacin de los formularios E -14 debe estar
limitada a la verificacin del cdigo del formulario antes de
proceder a transferir la informacin utilizando el medio
criptogrfico de cdigo de barras.
Los boletines enviados al centro de consolidacin nacional
debern contar con la autorizacin de las personas
responsables de ello.

20

7.8 CONTROL DE ACCESO

Como todos sabemos todas las personas de todas las clases tienen
acceso al principal activo de la organizacin electoral sea la
informacin, por lo tanto, se deben tomar para el buen uso de esto y
evitar los problemas por parte de personas no autorizadas, como se
llevaron a cabo siguiendo las directrices:

Evitar accesos no autorizados a los sistemas de informacin.

Evitar el acceso de usuarios no autorizados.
Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin contenida en
los sistemas.
Detectar actividades no autorizadas.
Garantizar la seguridad de la informacin cuando se usan
dispositivos de informtica mvil y teletrabajo.

Cada persona deber someterse a su nivel de acceso, quien no lo haga

repercutir en consecuencias pre-establecidas.

7.9 DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Desde que hacemos uso de un software especializado para el pre-conteo
de votos, que a su vez ser proporcionado por un contratista, en esta
zona slo debe definir dos tipos de componentes para ayudar al
funcionamiento del software a las necesidades de la organizacin.

Requisitos de Seguridad de Sistemas: Aqu se definen los

componentes en cuanto a la seguridad del sistema software.
o Solo los operativos tendrn acceso al sistema
o Se determinarn claves y usuarios de acceso

Seguridad de Sistemas de Aplicacin: Se implement un

sistema de aplicacin que mantenga el dinamismo y a
interaccin con el usuario, claro est, sin dejar de lado la
seguridad de la informacin.

21

7.10 GESTIN
INFORMACIN

DE

INCIDENTES

EN

LA

SEGURIDAD

DE

LA

Este campo slo se establecer para la correccin de errores y optimizar

el sistema debe ser comunicado a los superiores para tomar las medidas
previstas para los eventos.
Todo est en la comunicacin de eventos y debilidades de seguridad de
la informacin, gestin de incidentes y mejorar la seguridad de la
informacin.
Aspectos a tener en cuenta:

Reportar a los delegados departamentales la informacin

errada recolectada, para su posterior modificacin, o
correccin.
Reportar a los delegados departamentales los casos de
mesas ya grabadas que reaparecen o redundan en el
procesamiento de datos.
La mesa que presente inconsistencias en la votacin, podr
ser grabada pero no incluida en el cmputo de la votacin,
hasta ser verificada por los Delegados Departamentales.
Generar consultas detalladas y estadsticas que permitan
conocer el nmero de mesas que presentan error, en
cualquier momento del proceso de pre-conteo.

7.11 ADMINISTRACIN DE LA CONTINUIDAD DE NEGOCIOS

En esta rea, tenemos en cuenta el anlisis de todos los procesos y
recursos crticos de negocio, y las acciones y procedimientos a seguir en
caso de fallo o interrupcin de estos se definen, evitando la prdida de
datos y cancelacin de los procesos de produccin de las empresas.
El uso de los controles de seguridad contra desastres naturales, averas
y posibles brechas de seguridad promueven la continuidad de las
funciones de la organizacin.
Las fases que se estipulan para cuando sucede un evento fueron:
22

1)
2)
3)
4)
5)
6)

Anlisis y separacin de los distintos escenarios de desastres

Anlisis de impacto en la organizacin.
Desarrollo y eleccin de una estrategia de recuperacin.
Implementacin de la estrategia ms apropiada.
Documentacin del plan de recuperacin usado.
Mantenimiento del plan usado.

7.12 CUMPLIMIENTO
Objetivos

Evitar la violacin de la ley, estatuto, reglamento u obligaciones

y requisitos de seguridad contractuales.
Asegurar la alineacin de los sistemas con la poltica de
seguridad de la organizacin y las normas de los mismos.
Maximizar la eficacia y minimizar la interferencia o del proceso
de auditora del sistema.
Publicar la poltica formal de cumplimiento sobre el uso legal del
software utilizado y la informacin recibida por medio de este,
mediante la verificacin del convenio realizado con la republica
colombiana.
Dejar rastros o pistas de auditora, en aquellas transacciones que
afecten el archivo de votacin (inclusiones, correcciones,
eliminaciones), indicando nombre del usuario, fecha, hora y
transaccin.

Despus de ver los objetivos establecidos para esta rea, se decidi

adoptar las siguientes directrices a aplicar apropiadamente a la
organizacin.

Identificacin de la legislacin aplicable a los sistemas de

informacin empresarial (en nuestro caso, todo el software
dedicado a la obra del conteo de votos) estn debidamente
identificados e integrados en el sistema de informacin de la
organizacin y asegurar el cumplimiento de la seguridad.
Revisar peridicamente la seguridad de los medios de
comunicacin empleados, mediante mecanismos como pruebas
de penetracin realizadas por expertos contratados para este fin.
Garantizar que se lleven a cabo los procedimientos de seguridad
establecidos para todos los parmetros que involucra cada
23

proceso, mediante la revisin de cambios, adquisiciones y dems

factores que se puedan presentar en los procesos.
El plan de auditora interna se estableci en el primer dominio y
cuando se ejecuta correctamente, la deteccin de desviaciones
de la poltica de seguridad de la informacin est garantizada.

8. ANALISIS DE RIESGOS
8.1 Escenario de Riegos
Los siguientes son los escenarios en los cuales se investigar para
indagar acerca de los posibles riesgos o vulnerabilidades de las redes
durante la operacin:
Elecciones Presidenciales
Escenarios de Riesgos:

Proceso de digitalizacin y envi de los Documentos E-14.

Proceso de digitalizacin y envi de los Documentos FRT.

8.2 Procesos del Sistema

El sistema el cual se est analizando est conformado por los
siguientes subsistemas:

Documento E-14: Consignacin de los datos obtenidos en el

proceso electoral en los documentos E-14.
Documento FRT: gestin de los documentos FRT.
Equipos electrnicos: instalacin y gestin del equipamiento
usados en el sistema.
Suministros: documentos E-14, FRT, bolgrafos, etc.
Infraestructura: instalaciones fsicas usadas por el sistema.

8.3 Priorizacin de procesos del Sistema

Documento E-14:
24

Impresin de suficientes formatos E-14 para ejecucin

completa del sistema.
- Consignacin de los datos obtenidos de cada mesa en los
documentos E-14.
- Recoleccin y transmisin voz a voz de los documentos E14.
- Reseccin de transmisin voz a voz, verificacin y
digitalizacin de documento E-14.
Documento FRT:
- Impresin de suficientes formatos FRT para ejecucin
completa del sistema.
- Consignacin de los datos de los documentos E-14 en los
documentos FRT.
- Digitalizacin de los documentos FRT.
Equipos electrnicos:
- Establecer la forma de instalacin de los equipos
electrnicos.
- Designar personal para el uso de los equipos electrnicos.
- Tener un inventario de todo el equipamiento electrnico
(servidores, routers, switches, etc.).
- Reglas para el mantenimiento y reparacin del
equipamiento electrnico.

Suministros:
- Tener inventarios de suministros usados en las diferentes
partes del sistema.
- Establecer las cantidades necesarias de suministros que
el sistema usara para su completa ejecucin.
- Establecer el personal designado para gestin de los
suministros.
Infraestructura:
- Designar las instalaciones que sern usadas durante la
ejecucin del sistema.
- Establecer normas para el correcto uso de las
instalaciones.

8.4 Conceptuar Cada Proceso en cada subsistema

8.5 Descripcin de los escenarios de riesgo

25

Escenarios de Riesgos:

Proceso de digitalizacin y envi de los Documentos E-14.

- Digitalizacin de los documentos E-14.
- Envo de los documentos E-14.
Proceso de digitalizacin y envi de los Documentos FRT.
- Recepcin de la informacin.
- Digitalizacin de los documentos FRT.
- Envi de la informacin a servidores.

8.6 Riesgos inherentes al escenario

Transmisin errnea de la informacin.

Interrupciones en el flujo de energa de servidores.
Perdida de equipos por robo.
Dao de equipos.
Costo alto en la instalacin de las redes.

8.7 Diagramas de flujo

8.8 Causas de riesgo

Proceso: Documento E-14, Transmitir los documentos

- Fallas en el manejo del tamao de ancho de banda
interno necesario para la transmisin de documentos

Proceso: Documento FRT, gestin de los documentos FRT.

- No envo adecuado de los documentos
- Prdida de datos
- Red pobremente configurada y/o adecuada

Proceso: Equipos electrnicos, instalacin y gestin del

equipamiento usados en el sistema.
- Equipos defectuosos
- Daos por mal manejo
- Robo de equipos

Suministros: documentos E-14, FRT, bolgrafos, etc.

- Uso inadecuado de suministros
- Distribucin mal administrada de los suministros o
consumibles
26

Infraestructura, instalaciones fsicas usadas por el sistema.

- Fallas en el sistema elctrico
- Daos por mal manejo
- No seguimiento de los protocolos pertinentes para el
manejo de equipo
- Problemas en el cableado elctrico de las instalaciones
- Fallas en la instalacin de los equipos de red(mala
configuracin)
- Lugar Inadecuado o inseguro

8.9 Amenazas

Documentos E-14:
-

Extravo de documentos E -14.

Destruccin de documentos E -14.

No uso de los protocolos establecidos para transmisin de

los documentos E-14.
- No uso de los protocolos establecidos para digitalizacin
de los documentos E-14.
- Perdida de informacin en la transmisin de los
documentos E-14.
- Perdida de informacin en la digitalizacin de los
documentos E-14.
Documentos FRT:
-

Extravo de documentos FRT.

Destruccin de documentos FRT.

No uso de los protocolos establecidos para transmisin de

los documentos FRT.
- No uso de los protocolos establecidos para digitalizacin
de los documentos FRT.
- Perdida de informacin en la transmisin de los
documentos FRT.
- Perdida de informacin en la digitalizacin de los
documentos FRT.
Infraestructura:
- Energa elctrica con un fluido diferente.
- Robo del cableado de las redes.
- Interceptacin de los paquetes que transitan por la red
hacia los servidores.
Equipos electrnicos:
- Daos en el fluido que afectaran los servidores.
- Sobrecarga de trabajo en los diferentes dispositivos de
red (servidores, switches, routers y etc.).
-

27

Lag en las redes (retraso).

8.10 Riesgos Reales y Potenciales

Documentos E-14:
- Perdida de informacin.
- Errores y omisiones
- Problemas en la transmisin de los documentos E-14.
- Problemas con las redes.
Documentos FRT:
- Perdida de informacin
- Problemas con los servidores.
- Errores y omisiones.
- Problemas con la digitalizacin.
- Problemas con las redes.
Equipos Electrnicos:
- Perdida de los dispositivos (equipos pertenecientes a la
red).
- Interrupcin en la comunicacin de los servidores y los
puntos de acceso al sistema (pcs).
- Baja credibilidad.

8.11 Controles Existentes Asociados

Back-up de los servidores.

Utilizacin de plantas elctricas y UPS.
Validacin del funcionamiento de canales de comunicaciones.
Pruebas de los canales y procesos de transmisin.
Control de acceso a los servidores con Usuario y contraseas
robustas.
Protocolos de identificacin y autenticacin entre transmisores y
receptores.
Implementacin de protocolos de seguridad.
Contratacin de proveedores de servicios confiables (internet,
telefona).
Utilizacin de hardware ptimo para el sistema.
Utilizacin de hardware actualizado en el sistema.

8.12 Controles propuestos

8.13 Costos
28

Costos Fsicos

Conexin a internet 31 Mbs (Proveedor Claro o Une) = 300.000

pesos
2000 metros de clave RJ45 = 2.000.000 pesos
8 Cisco Router 1.325.988 cada uno = 10.607.908 pesos
28 Cisco Switches 331.262 cada uno = 9.275.362 pesos
12 Cabinas para equipos de red pequea = 3.478.260 pesos
4 Cabinas Grandes = 4.886.128 pesos
Estimados 675 Computadores de 1.500.000 = 1.012.500.000
pesos
4 Cerraduras Biomtricas de Huella para proteccin de cabinas
= 1.325.051 pesos

Costos Lgicos

Antivirus ESET Smart Security 2014 Edition - 3 Users =

21.849.173 pesos
Sistemas operativos Windows para 675 Computadores
145.041.322 pesos
Bases de datos Oracle 82.644.628 pesos
Sistemas operativos de servidores 1.859.504 pesos

29

30