AUTORES:
BETANCOURT CANCHIGNIA ERIKA FERNANDA
e.f.betancourt@gmail.com
DIRECTOR:
INGENIERO BOLIVAR OSWALDO PALN TAMAYO
bolivar.palan@epn.edu.ec
DECLARACIN
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Betancourt Canchignia Erika
Fernanda y Salguero Vliz Juan Francisco, bajo mi supervisin.
DEDICATORIA
A las personas que me han tendido la mano, y a las que me han dado la espalda
porque me han ayudado a ser ms fuerte.
Erika
V
DEDICATORIA
Dedico mi tesis a todas las personas que han estado apoyndome a lo largo de
mi carrera y mi vida, las que han aportado para bien con sus consejos, su tiempo
y sus nimos para no dejarme vencer; sobre todo mi madre Rita Emilia que
siempre me ha dado las fuerzas para continuar y no dejarme vencer por los
obstculos de la vida, a mi novia Katherine que en el poco tiempo que estuvo
apoyndome en mi tesis lo ha hecho de corazn, a mi compaera y amiga Erika
que a pesar de todo hemos podido lograr finalizar nuestra tesis, y a todas las
amigas y los amigos que me han dado sus nimos y su apoyo incondicional.
Francisco
VI
AGRADECIMIENTO
Agradezco a Dios, que me dio fortaleza durante toda esta etapa de mi vida, a mis
padres Betty y Fernando por su apoyo amor y comprensin, y por darme las
herramientas necesarias para salir al mundo.
A mis hermanas Dayana y Doris que han sido mi fortaleza cuando se me han
acabado las fuerzas.
A mi compaero Juan Francisco por todos los momentos que hemos compartido
durante nuestra vida estudiantil y profesional, y sobre todo por el trabajo que
hemos realizado para culminar con nuestra tesis.
A mis profesores, que a lo largo de este camino me han dado enseanzas que me
servirn ahora y a futuro.
Erika
VII
AGRADECIMIENTO
Agradezco a Dios por la gua, por iluminar mi camino, mi mente para la realizacin
de la tesis y por la fuerza que me ha dado para seguir adelante con fe.
Agradezco a todas las personas que han estado ah en buenas y malas que me
han impulsado a terminar mis proyectos.
Francisco
VIII
CONTENIDO
DEDICATORIA ...................................................................................................... IV
AGRADECIMIENTO .............................................................................................. VI
CAPITULO 1. ......................................................................................................... 1
1.2.5. EQUIPOS 13
1.2.6. PROGRAMAS 13
CAPITULO 2. ....................................................................................................... 44
2.2.1. OBJETIVO 45
2.2.4. PRUEBAS 46
2.5.2.1. Introduccin 73
2.7.3. CAPACITACIN. 79
CAPITULO 3. ....................................................................................................... 80
3.2.1.1. Objetivo 95
3.2.1.4. Pruebas 96
GLOSARIO......................................................................................................... 117
INDICE DE TABLAS
INDICE DE FIGURAS
RESUMEN
INTRODUCCIN
CAPITULO 1.
PLANTEAMIENTO DEL PROBLEMA.
DESCRIPCIN DE LA EMPRESA.
Actualmente EKBC & JFSV Ca. Ltda., es una empresa de servicios con 30 aos
de trayectoria. Sirve a sus clientes con ms de 50 profesionales desde las oficinas
en Quito y Guayaquil con recursos innovadores en la provisin de servicios y la
sensibilidad que les caracteriza para entender la cultura particular de cada
organizacin.
La estructura organizacional de EKBC & JFSV se encuentra claramente identificada, la misma que se encuentra detallada en el
grfico Adjunto (ver Figura 1.).
2
3
La cadena de valor de EKBC & JFSV ha sido identificada por los responsables de
los macro procesos y ha sido desarrollada de forma interna, la cadena de valor se
encuentra claramente identificada en la figura adjunta. (Figura 2.)
Las oficinas de EKBC & JFSV, tanto en Quito como en Guayaquil, se encuentran
ubicadas en zonas de alto riesgo por lo que es necesario elaborar un plan para
continuar con las actividades del negocio, para de esta forma minimizar el impacto
financiero y mantener imagen que pueda tener la empresa frente catstrofes y su
inmediata recuperacin a la vista de sus clientes.
4
AUDITORA TI.
o Gerente de Auditora TI.
o Snior de Auditora TI.
o Asistentes de Auditora TI.
INFRAESTRUCTURA.
o Gerente de Tecnologa.
o Ingeniero de Infraestructura.
o Asistente de Infraestructura.
El espacio fsico asignado tanto para el centro de Datos como para el rea de
Tecnologa es bastante reducido, adems el personal asignado es insuficiente
para abarcar todos los requerimientos presentados por los clientes y atenderlos
en un corto lapso de tiempo.
5
Entre los servicios que ofrece a la Empresa el rea de Infraestructura tenemos los
siguientes:
Servicio de internet.
Telefona.
Mantenimiento de equipos,
Almacenamiento de informacin.
Soporte a usuarios
Soporte en la herramienta utilizada en el proceso de Auditora. .
DESCRIPCIN DE PERFIL3
Gerente de
TTULO DE PUESTO: Nivel o Grado: Gerente
Tecnologa
OCUPANTE: # Ocupantes 1
LOCALIZACIN PREPARADO Recursos
Quito Ecuador
GEOGRFICA: POR: Humanos
DEPENDENCIA APROBADO
Gerente General
JERRQUICA: POR:
DEPENDENCIA Abril 23, del
Oficina UIO FECHA:
FUNCIONAL: 2013
cia
ACCIONES
KPI FINAL ESPERADO (D,S,M,B
(Qu hace?)
M,TM,SM
,A)
Planificar la estrategia y planes
Plan Operativo
operativos de TICs EKBC & JFSV, para
1 Estratgico realizado y Anual
alinear el uso de la tecnologa a los
aprobado a Mayo 30.
objetivos de la Organizacin.
Coordinar la ejecucin de proyectos de
100% de la ejecucin de
TICs parl EKBC & JFSV, para
2 la cartera de proyectos Semanal
proporcionar a la Organizacin de las
aprobados.
herramientas adecuadas para su
desarrollo.
90% de casos de
Administrar, monitorear y controlar el soporte atendidos de
servicio de soporte tecnolgico al acuerdo a polticas
3 cliente interno de EKBC & JFSV, para (semanal). Diario
maximizar la continuidad de la 87% de satisfaccin del
operacin. cliente interno
(mensual).
Administrar, monitorear y controlar el
99,00000 % uptime
funcionamiento de la infraestructura
aplicaciones
4 tecnolgica (hardware, software, Diario
99,99999 % uptime
comunicaciones y seguridad de la
redes de comunicacin.
informacin) de EKBC & JFSV.
Administrar, monitorear y controlar los
servicios provistos por terceros, como 100% cumplimiento de
5 son: telecomunicaciones, software, SLAs de proveedores. Diario
aplicaciones, equipos de computacin e
infraestructura de EKBC & JFSV.
Coordinar el soporte tcnico de primer 100% de casos de
nivel de la herramienta de registro de soporte atendidos de
6 auditora, para que la herramienta se acuerdo a polticas Diario
encuentre disponible para la (semanal).
Organizacin.
5. INTERRELACIONES
Participa en:
Comits estratgicos.
Comits QAR (Quality Assurance Review).
Comit seleccin de soluciones.
Reuniones de rea.
Contactos relevantes
Internos Externos
Socios
Clientes
Gerente General
Proveedores
Socios de auditora
Gerentes de Firmas Relacionadas
Staff de Auditora
Organismos de control (SIBS)
Gerentes
Asociaciones de Estndares (ISACA)
Departamentales
Colaboradores
Conocimientos Tcnicos:
Slidos conocimientos de administracin en ambientes Windows Server.
Slidos conocimientos de administracin de redes y telecomunicaciones en ambientes
Windows Server, Linux, Cisco y D-Link.
Slidos conocimientos de Administracin de Seguridad bajo ambientes Linux.
Slidos conocimientos en Gobierno de TI (Cobit)
Slidos conocimientos en Gerencia de Servicios TI (ITIL).
Slidos conocimientos de Administracin de Procesos.
Conocimientos Business Process Management (BPM), ERP, BI.
Conocimientos de Arquitectura Empresarial.
Conocimientos de PETI.
Conocimientos Auditora y Consultora TICs.
Ingls: 75%.
Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps,
Groove, InfoPath.
Experiencia:
Mnimo 3 aos en posiciones similares.
9
DESCRIPCIN DE PERFIL
Ingeniero de
TTULO DE PUESTO: Nivel o Grado: Asistente
Infraestructura
OCUPANTE: # Ocupantes 1
LOCALIZACIN PREPARADO Recursos
Quito Ecuador
GEOGRFICA: POR: Humanos
DEPENDENCIA APROBADO
Gerente de Tecnologa
JERRQUICA: POR:
DEPENDENCIA Abril 25,
Oficina UIO FECHA:
FUNCIONAL: del 2013
Pasantes de TI.
5. INTERRELACIONES
Reuniones de rea
Contactos relevantes
Internos Externos
Colaboradores EKBC & JFSV. Proveedores.
Colaboradores Empresas Asociadas.
11
Conocimientos Tcnicos:
Conocimientos de administracin en ambientes Windows Server.
Conocimientos de administracin de redes y telecomunicaciones en ambientes Windows
Server, Linux, Cisco y D-Link.
Conocimientos de Administracin de Seguridad bajo ambientes Linux.
Conocimientos en Gerencia de Servicios TI (ITIL).
Ingls: 50%.
Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps,
Groove, InfoPath.
Experiencia:
Deseable 6 meses en posiciones similares.
12
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
13
13
1.2.5. EQUIPOS
Figura 6. DESCRIPCIN DE EQUIPOS DEL CENTRO DE DATOS
FUNCION / AREA MODELO SERIE S.O.
QUITO
Servidores
Servidor Archivos HP PROLIANT ML 350 G5 MXQ81701BW Windows 2003 Server
Servidor Proxy HP DL160 G5 2UX83405KV Linux
Servidor Correo Internet HP DL160 G5 2UX83405JL Linux
Servidor Antivirus HP PROLIANT ML 150 G6 MX29520062 Windows 2008 Server
Impresoras
Contabilidad HP Laserjet P2015 CNB1541823
RRHH HP Laserjet P1600 VNB3D29831
Sec. Ger. Operaciones HP Laserjet P4014N CNDX122353
Desarrollo Negocios HP Laserjet CP3525dn CNCCBDX08R
Staff Auditores HP Laserjet P4015n YPDF277755
Switchs
Data Center 5to piso D-LINK DES-3052P 52 puertos
Data Center 5to piso D-LINK DES-3052P 52 puertos
Data Center 6to piso D-LINK DES-3028P 28 puertos
GUAYAQUIL
Servidores
Servidor Archivos HP PROLIANT ML 150 G5 MXS84309N8 Windows 2003 Server
Switchs
Data Center 5to piso D-LINK DES-3028P 28 puertos
GERENFOQUE
Servidor Archivos HP PROLIANT ML 110 Windows 2008 Server
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
1.2.6. PROGRAMAS
Para el acceso a las instalaciones de la firma de auditora EKBC & JFSV se debe
ingresar al edificio correspondiente (Quito o Guayaquil), teniendo como control
primario el guardia del edificio pues es quien se encarga de permitir el acceso al
Edificio a las personas que no labora las instalaciones, el acceso a las
instalaciones del personal que labora en el edificio es otorgado por una tarjeta de
aproximacin. En el caso del ingreso de personas ajenas al Edificio el guardia las
anuncia y es l quien puede otorgar o denegar el acceso.
EKBC & JFSVpor ser una empresa auditora, cuenta con personal que se moviliza
dentro y fuera de la ciudad, es por ello que se cuenta con las seguridades
listadas a continuacin:
Plizas de Seguro: EKBC & JFSV cuenta con una pliza de seguro tanto
para servidores como para equipos porttiles, los equipos nuevos que sean
adquiridos deben ser agregados a la pliza contratada por EKBC & JFSV.
Esta pliza permite reemplazar los equipos en caso de daos o prdidas.
Sanciones a ser ejecutadas en caso a incurrir a faltas a las polticas
establecidas por EKBC & JFSVlas mismas que establecen que:
Dentro de EKBC & JFSV podemos identificar tres Macro Procesos internos en
base a los cuales Funciona la organizacin. (Figura 7.)Estos tres procesos
incluyen procesos ms pequeos que los vamos a ir detallando a continuacin.
Desarrollo de negocios
Solicita los
servicios de la
Firma
Compila Llamada
informacin telefnica,
obtenida e-mail fax
Elabora cuadro
con informacin
relevante
Base de datos de
clientes (Excel)
Cuadro con
informacin del
potencial cliente
(Excel) (Excel)
Analiza la
posibilidad de
efectuar el trabajo
requerido
Acepta?
si
no
Se asigna un
Proporciona
Gerente de Conocimiento del
informacin a la
Auditora al Cliente
Firma
Proyecto
Formularios F002
y F003
Prepara
presupuesto de
horas y servicios
Presupuesto de
horas y servicios BDO.PR.001-2
Revisa la
publicacin de Publica las bases
nuevos concursos Bases del del concurso en el
en el Portal de concurso en lnea Porta de Compras
Compras Pblicas Pblicas
Analiza
Comunica a
conjuntamente la
Gerencia sobre la
posibilidad de
oferta
ejecutar el trabajo
Acepta?
no
BDO.PR.001-1
si
Reciben la
Documentacin documentacin y
dan formato a la
Propuesta de
Servicios
Cambios? si
no
Entrega Propuesta
Imprimen la
va e-mail a Apoyo
Propuesta
Administrativo
Propuesta de
Servicios
Entregan propuesta
a Asistente de
Gerencia
Recibe Propuesta
Recibe Propuesta
y la entrega al
y la revisa
Socio a cargo
Cambios? si
BDO.PR.001-3
no
La Propuesta es Recibe la
entregada al Propuesta de
Mensajero Servicios
Monitorea el
proceso de Entrega la
adjudicacin de la Propuesta de
Firma carta y
licitacin Servicios y carta
devuelve copia al
de recepcin en
Mensajero
las instalaciones
del cliente
Propuesta
si no
aceptada?
Archiva carta en Entrega carta a
expediente del Apoyo
cliente Administrativo
Notifica a Notifica a
Gerencia Gerencia
Carta de entrega/
recepcin
Se asigna un
BDO.PR.002 Gerente de
Auditora al
Proyecto
Clientes recurrentes
Las reas encargadas del proceso de Gestin de las Operaciones de servicio son
las reas de Auditora y el rea de Desarrollo de Negocios, apoyada por el rea
de Marketing, Apoyo Administrativo y los Gerentes de Auditora.
Gestin de auditora
COBRANZAS
Es importante recalcar que toda la informacin que se adquiera del cliente debe
conservar las caractersticas de: integridad, disponibilidad, confiabilidad, y
confidencialidad lo que nos obliga a proteger esta informacin de manera que
conserve las propiedades antes mencionadas. De este modo se puede confiar en
la veracidad de la informacin almacenada y la disponibilidad de la misma.
Para evitar que se produzcan prdidas totales de modo que se pueda seguir con
el negocio y se siga prestando el servicio de auditora es necesario especificar
factores y herramientas que ayuden a implementar una correcta gestin de los
recursos tecnolgicos para otorgar continuidad del servicio y en caso de
producirse alguna catstrofe esta sea totalmente transparente al cliente final.
Es importante conocer que hay varios factores que hacen que el proceso de
auditora no pueda cumplirse lo cual se convierte en amenaza para el prestigio de
la empresa y pondra poner en riesgo su posicin en el mercado.
Es primordial determinar los riesgos que tiene la empresa como tal, para seguir
manteniendo su posicin en el mercado, seguir creciendo y ascendiendo en el
Ranking, podemos categorizar los tipos de riesgos o amenazas presentes para
enlistarlas como prioridad; como ya se mencion anteriormente lo ms crtico es
respaldar la informacin.
El negocio depende plenamente del proceso de auditora como servicio, del cual
los entregables finales son el informe detallado donde se presentan los trabajos
realizados: revisin, anlisis de los documentos, anlisis de riesgos existentes
para los estados financieros; las conclusiones y recomendaciones para que la alta
gerencia tome decisiones para mejorar su situacin actual, y la opinin de la
Firma sobre los estados financieros de la Empresa Cliente.
Los costos incurridos por el personal que realizo la auditora son registrados
sumarizados, en funcin a dichos gastos, el presupuesto estipulado en el contrato
y las condiciones del mismo se procede a realizar la factura correspondiente; Los
gastos y horas son tomadas de los reportes de tiempo emitidos por cada
colaborador acorde a las asignaciones realizadas por los gerentes de Auditora.
Cada reporte de facturas tiene que estar acorde con el presupuesto y debe contar
con las firmas correspondientes de los gerentes o en su defecto el socio a cargo
de la auditora realizada al cliente.
EKBC & JFSVes una firma auditora que prestas sus servicios a entidades
pblicas y privadas que se encuentran sujetas a revisiones de control de sus
estados financieros; por lo que al tratarse de un negocio en el cual la custodia de
la informacin de los clientes obtenida en la Auditora es vital, ya que no puede
43
EKBC & JFSVtiene la necesidad de continuar con sus labores aun presentndose
alguna catstrofe teniendo en cuenta que la imagen que presta como firma
Auditora debe mantenerse y esta se perdera si las actividades se suspenden con
algn evento desafortunado que ocurra a las oficinas considerando que es el
lugar donde radican los servidores donde es almacenada la informacin de los
clientes, y si la informacin se pierde se corre el riesgo de tambin perder no solo
los clientes con los que actualmente se cuenta, sino tambin la oportunidad de
adquirir nuevos clientes en un tiempo razonable.
Como todo negocio EKBC & JFSVaun en medio de una catstrofe debe reanudar
sus actividades lo antes posible y es ah donde entra el Plan de Continuidad del
Negocio, determinando los procedimientos claves para seguir brindando los
servicios a las empresas que depositaron su confianza en la Firma para realizar la
correspondiente Auditora.
44
CAPITULO 2.
PROPUESTA DEL PLAN DE CONTINUIDAD
Se detallar el plan describiendo los planes para salvaguardar el negocio como tal
de dichos riesgos; el plan completo se conformar de todos los proyectos/planes
pequeos que se enfocan en cubrir cada rea relevante del negocio, enunciando
proveedores que pueden facilitar cumplir con los objetivos del plan de continuidad
de negocio. En la Figura 26. Se muestra los procesos a seguir durante el
desarrollo de la propuesta del Plan de Continuidad del Negocio.
Inicio
Anlisis
Anlisis de Riesgo y
Vulnerabilidades Anlisis del Impacto Plan de
continuidad
Fin
2.1. LIDERAZGO
Actualmente EKBC & JFSVcuenta con brigadas en el caso de tener que evacuar
el edificio, estas brigadas se encuentran capacitadas en cmo proceder en caso
45
2.2.1. OBJETIVO
Las tareas por cada accin de recuperacin debern estar segregadas asignando
los roles correspondientes al personal idneo para cumplir con las
responsabilidades del cargo a l/ella impuestos para salvaguardar sea un activo o
el recurso humano.
Cada rol debe tener relacin con su capacidad de respuesta ante el evento y/o
incidente y de acuerdo a los conocimientos que pueda tener respecto a una
respuesta ante las situaciones de emergencia.
2.2.4. PRUEBAS
Se debe probar el plan de manera integral, para poder definir tareas, situaciones,
caractersticas, sub planes que ayuden a mejorar el plan en funcin de los
resultados obtenidos anteriormente y as poder cubrir todas las brechas
correspondientes.
Inicio Fuentes de
Riesgo
Anlisis
Anlisis de
Fuentes y
Planes
acciones
Planes y
Planes de Planes de
mantenimiento contingencia
Fin
tendremos 2 escalas que usaremos para valorar el riesgo las mismas que se
encuentran en la Tabla 1:
Fuentes de Riesgos
Inicio
Anlisis
Anlisis Foda y
Pestel
Acciones
Listado de Determinacin de
Riesgos Determinacin Identificacin de Vulnerabilidades en funcin Fin
Potenciales de Impacto vulnerabilidades de los riesgos
Polticos
Inestabilidad poltica en el pas (Riesgo Pas)
Reformas para el manejo de Empresas de Capital extranjero en el Pas.
Econmicos
Inestabilidad del cambio de polticas de impuestos y aranceles.
El costo del cambio de las NEC a las Normas Internacionales de
Informacin Financiera.
Alta competencia en el mercado.
Sociales
No cumplir con brindar beneficios sociales en la comunidad. (polticas
establecidas en el plan estratgico)
Tecnolgicos
Fallos de Energa.
Fallos de RED.
Ataques a los Sistemas Computacionales.,
Fallas de Energa.
Ecolgicos o Ambientales
Incendios.
Terremotos.
Erupciones Volcnicas
Legales
Dar un Dictamen errneo en una auditora
o Ejecucin de pruebas errneas
o Extorsin
51
o Soborno.
o Prdida de Independencia.
2.3.1.3. Matriz de riesgos
52
de controles o Implementacin de controles que no se encuentran acordes a la sobre la informacin o daos
incumplimiento de los realidad del negocio. seguridad. en los equipos de
mismos Usuario Final.
No se han monitoreado o no se ha evaluado el cumplimiento de
los controles de seguridad.
Configuracin incorrecta de Parmetros Afectacin de los
servicios prestados.
Cambios de configuracin no documentados. Se podra
Falta de Auditora de Software (Servidores, Equipos, etc.) comprometer la
Falta/Falla de Software Baja disponibilidad,
Empresarial (Antivirus, Deficiencia en los procedimientos de respaldo peridico de funcionalidad de integridad y
Gestor de Base de Informacin. las herramientas confidencialidad de
Datos, etc.) disponibles la informacin
almacenada tanto en
Uso de software desactualizado o ilegal servidores como en
equipos de Usuario
Final.
Supresin de las pistas de Auditora de Hardware (Servidores,
El funcionamiento
Equipos, etc.)
del equipo podra ser
Falta de implementacin de esquemas de reemplazo de Retraso en las gravemente
Falla/Mal equipos. tareas de los afectado, al igual
Funcionamiento de los Sensibilidad a radiacin electromagntica colaboradores que se vera
Equipos con equipos interrumpido el
Susceptibilidad ante variaciones de tensin
defectuosos servicio de respaldos
Susceptibilidad ante variaciones de temperatura diarios que se
ejecuten.
Falta de capacitacin del Uso de los equipos a los usuarios
Gestin inadecuada de la Red (Capacidad de recuperacin de
enrutamiento)
Falta de polticas de uso de recursos de red como el buen uso Fallos en la
de internet. Fallasen la comunicacin tanto
Deficiente diseo de la Red correcta en la red interna
Saturacin de la red funcionalidad de como la salida a
Falta de monitorizacin de trfico de la red la red internet por parte de
Lneas de comunicacin sin proteccin empresarial. los funcionarios de la
empresa
Conexin deficiente de cables
Punto de red con fallas
53
Puntos de acceso a la red sin proteccin y vulnerables a
ataques informticos
Incurrir en
Falta de licencias de
Baja problemas legales
Software Propietario o Falta de procedimientos para el cumplimiento de las
funcionalidad de con entidades de
violaciones de derecho disposiciones con respecto a los derechos intelectuales
las aplicaciones. control por la falta de
de autor
licenciamiento
ELABORADO POR: Erika Betancourt, Francisco Salguero/ Basada en la norma ISO: IEC 27001
54
55
Una vez que se han identificado todas las amenazas con la frmula de clculo de
Riesgo mostrada en la seccin 2.1.1 vamos a identificar las amenazas con mayor
valoracin como se muestra en la Tabla 5. Las amenazas con riesgo Medio, Alto y
Muy alto van a ser consideradas para nuestro anlisis de riesgos.
Tabla 5. VALORACIN DEL RIESGO
56
Falla en el Servicio de Proveedores Poco probable 2 Medio 6 Bajo 12
Inexistencia de Documentacin de control (Planes
polticas y procedimientos de Administracin de Poco probable 2 Medio 6 Bajo 12
Usuarios y proyectos)
Falta de licencias de Software propietario o
Poco probable 2 Medio 6 Bajo 12
violaciones de derecho de autor
Incumplimiento de Beneficios Sociales Poco Probable 2 Bajo 4 Muy bajo 8
Crimen Informtico Improbable 1 Alto 8 Bajo 8
Falta de componentes electrnicos Poco probable 2 Bajo 4 Muy bajo 8
Mala implementacin de controles e
Poco probable 2 Bajo 4 Muy bajo 8
incumplimiento de los mismos
Falla de Software Empresarial Poco probable 2 Bajo 4 Muy bajo 8
Mal funcionamiento de los equipos Poco probable 2 Bajo 4 Muy bajo 8
Costo del cambio de NEC a NIIF Improbable 1 Medio 6 Bajo 6
57
58
Una vez que se han determinado los riesgos es necesario establecer una
descripcin los escenarios, afectacin, etc., categorizando de manera ms amplia
los riesgos y dando caractersticas esenciales para tener una visin ms clara de
lo que se puede enfrentar la empresa.
Riesgo Incendio
Probabilidad Posible
Impacto Alto
Escenario
Un incendio puede provocar la devastacin total de la
oficina perdiendo no solo los equipos computacionales
sino las vidas que en ese momento estn presentes,
considerando que las alfombras son de grado
combustible.
Hay que tener en cuenta que los toma corrientes estn
cerca de la alfombra lo cual hara ms fcil la propagacin
del fuego a las reas por donde las misma cruza.
Afectacin
El grado de afectacin es severo al tener prdidas
humanas que es el recurso ms valioso de la organizacin
y en adicin los equipos que ofrecen el servicio para
cumplir las labores diarias (Data Center).
Accin
Implementar extintores de espuma para inhibir la
combustin de las alfombras y en el Data center al menos
tener un extintor de anhdrido carbnico los cuales
contrarrestan la combustin de las alfombras y protegen
los equipos electrnicos.
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
59
Riesgo Terremoto
Probabilidad Probable
Impacto Muy Alto
Escenario
Un terremoto puede provocar la destruccin total no solo de
la oficina sino del edificio; dependiendo de la magnitud puede
destruir apenas solo parte de la oficina o completamente el
edificio.
Afectacin
Dependiendo el grado de magnitud del terremoto puede
causar que se cuarteen o caigan las paredes con bajo nivel
de destruccin (recuperable sin incidencia catastrfica) o
puede ser una destruccin completa de las oficinas
residentes.
Accin
Independientemente del grado o magnitud del terremoto la
accin por parte del brigadista encargado es de ayudar a
otros a evacuar el edificio evitando primordialmente prdidas
humanas y de ser posible los equipos de computacin
(anteponer la vida antes que los equipos).
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
60
Riesgo Robo
Probabilidad Posible
Impacto Alto
Escenario
Existen 2 escenarios:
Robo interno: robo de equipos que se produzca dentro de las
instalaciones por lo general en horas que la oficina est
prcticamente vaca.
Robo externo: robo de equipos al personal mientras estn
fuera de las instalaciones de la empresa.
Afectacin
El robo de equipos a los miembros de la empresa, por lo
general los auditores considerando el hecho que son los que
ms movilizan equipos computacionales, en este caso la
afectacin recae severamente por la informacin de el/los
clientes que posee el auditor en el computador a su cargo.
Accin
En el caso de robo interno, se debe tener alarmas a ms de
las cmaras de seguridad y tener cuidado con el ingreso de
personal ajeno a la empresa para estar pendientes que se
trate de un agente de confianza.
En el caso de robo externo, es importante que los auditores
consideren el hecho de ir en taxis con los que tiene convenio
la compaa al movilizarse con equipos computacionales.
Responsable
Todo el personal
ELABORADO POR: Erika Betancourt, Francisco Salguero
62
Riesgo
Ataques al sistema de informacin computacional
Probabilidad Posible
Impacto Alto
Escenario
Al contar con informacin crtica de los clientes es necesario
que la resguardemos de manera confidencial, aunque los
piratas informticos contratados por otras empresas atacaran
la red organizacional para obtener dicha informacin.
Afectacin
Al tener plagio de informacin propia de la empresa o
informacin de otras organizaciones a las cuales se les ha
realizado la auditora ponemos en riesgo no solo a dichas
organizaciones sino a la Empresa como tal por el factor de
desconfianza que generara dicho plagio lo que terminara en
prdida de clientes.
Accin
Implementar IDS u otros sistemas para prevenir y detectar
ataques de piratas informticos.
Responsable
Departamento de tecnologa
ELABORADO POR: Erika Betancourt, Francisco Salguero
64
30
_ _RTO_____ 0-30 2-6 6-12 12-24 24-48 48<X
Minutos
RPO Minutos Horas Horas Horas Horas horas
-2 Horas
Recuperacin de correo
X
electrnico
Recuperacin de
Informacin digital de X
clientes
Recuperacin de
X
Servidores
Recuperacin de equipos
operativos para Auditores X
encargados
Recuperacin de equipos
operativos para Auditores X
asistentes
ELABORADO POR: Erika Betancourt, Francisco Salguero
Recuperacin de servidores
La recuperacin de los servidores debe ser inmediata para poder seguir con las
actividades, teniendo en cuenta esto debemos tener un lugar donde poder
levantar los servidores, de manera que los servicios con los que cuenta la
empresa sean levantados uno por uno de manera correcta y seguir obteniendo los
productos correspondientes.
Este tipo de sitios pueden ser utilizados por empresas pequeas que en su
mayora tienen equipos portables.
Considerando la magnitud del Site y la cobertura este tipo este contingente tiene a
ser de un costo alto.
Al ser un sitio espejo, es esencial que tenga la misma infraestructura del sitio
principal, es decir que tanto los servidores, ordenadores e incluso el software que
tenga sea idntico al principal para que no exista problemas de compatibilidad.
La recuperacin de las labores depende del trabajo a realizar por lo que hay que
tener en cuenta que los desastres deben ser totalmente o en gran parte
transparentes al cliente final, por lo que es importante que se adquiera equipos
para que estn disponibles al menos para los Auditores encargados y seguir con
el proceso de auditora y no perder la buena imagen ante el cliente.
En la Figura 31. Se puede ver como la norma se enfoca en realizar una mejora
continua para un proceso propio de continuidad de negocio donde se pueda
responder ante cualquier eventualidad negativa que pueda afectar la normalidad
de las actividades.
Como muestra la Figura 32.se puede observar que la norma tambin describe
casos de recuperacin y tiempos del mismo proyectndose en las actividades
crticas a recuperar y el tiempo mnimo que debe demorarse por cada una de ellas
73
2.5.2.1. Introduccin
Incidente y contingencia
Seguridad fsica
los equipos pues pueden sufrir daos como pueden ser generadores dedicados y
auxiliares con conexin a UPSs que resguarden la integridad en carga a los
servidores.
Al considerar los controles ambientales hay que percatarse del a humedad, calor,
y el aire acondicionado no generen aire seco que pueda producir esttica pues
esto puede ocasionar una falla elctrica o cortos energticos.
Procedimientos Generales
Documentacin de
CAPACITACIN
campaas, charlas,
personas involucradas.
2.7.3. CAPACITACIN.
CAPITULO 3.
VALIDACIN DEL PLAN.
El caso de estudio al que se aplicar el plan de continuidad ser EKBC & JFSV
Donde enfocaremos los planes y actividades a realizar para salvaguardar la
integridad del negocio y no se pierda continuidad en las labores de los
colaboradores.
EKBC & JFSV como tal es una empresa de auditora donde su proceso principal
es la Gestin Operativa de auditora. Como se muestra en la Tabla 16 se han
Priorizado las actividades a desarrollarse.
Actividades Prioridad
1 2 3
Desarrollo de X
Negocios
Gestin de Auditora X
Facturacin X
ELABORADO POR: Erika Betancourt, Francisco Salguero
81
Los procesos que tienen relacin directa, es decir que estn ntimamente ligados
solo al proceso principal de auditora son los que se encuentran listados en la
Tabla 16.
Lista el personal operativo con el que se debera contar para reanudar las
operaciones en caso de un incidente o desastre natural se encuentra listada en la
Tabla 17.
82
Sistemas/Aplicaciones Prioridad
1 2 3
Microsoft Excel y Word X
BTS X
Sistema de nmina X
ATP X
ELABORADO POR: Erika Betancourt, Francisco Salguero
Sistema ADMBTS
Herramienta que registra los ciclos del proceso de autora, requiere como
requisitos previos tener instalado Microsoft Office Groove e InfoPath sp2. Se
cuenta con una licencia por mquina y el Software es administrado por Bruselas.
83
Activos Tecnolgicos
Sistemas/Aplicaciones Prioridad
1 2 3
Computadores X
Porttiles
Telfono X
Fax X
Impresora X
Scanner X
Mobiliario Prioridad
1 2 3
Estacin de X
recepcin
Sillas X
Escritorios/Mesas X
Materiales de Prioridad
Oficina 1 2 3
Hojas de Papel X
Bond
Bolgrafos X
84
Material de Referencia
Prioridad
MATERIAL
1 2 3
Listado de Clientes X
Listado de Proveedores X
Facturas Impresas X
Facturas No Impresas X
Procedimiento de Facturacin X
Dos ltimos roles de pagos X
Procedimiento Pago de Nmina X
Listado de los clientes con pagos pendientes X
ELABORADO POR: Erika Betancourt, Francisco Salguero
Por ende se han tomado los principales escenarios que pueden afectar la
continuidad de los servicios ofrecidos por la sucursal de Quito de EKBC & JFSVy
estableciendo los posibles riesgos asociados a estos escenarios.
85
Casos:
Tabla 22. ESCENARIO - INCENDIO
Riesgo Incendio
Probabilidad Posible
Impacto Alto
Escenario
En el caso de incendio que se suscite sea en el edificio
Londres o en su defecto en las oficinas de EKBC &
JFSV; las prdidas que se generan para la empresa
seran: humanas, informacin, servicios y activos, ya que
existe personal administrativo que se encuentra laborando
de planta en oficinas de la Firma, los cuales seran
afectados en primera instancia.
Probabilidad Probable
Impacto Muy Alto
Escenario
Las instalaciones de EKBC & JFSV Estn ubicadas en el
edificio Londres el mismo que tiene 40 aos de
construccin, por lo cual en caso de producirse un
terremoto, dependiendo de la magnitud podra producir la
prdida parcial o total de las instalaciones. Una vez
determinando el impacto que puede generar en EKBC &
JFSV y al evaluar la magnitud de los daos provocados,
podemos decir que riesgo asociado es alto ya que al
destruirse el edificio y por ende los accesos al piso en el
que se encuentran las oficinas se puede presentar
prdida de bienes materiales as como de vidas humanas,
y la prdida inminente de los servicios ya que el Centro de
Datos se ver afectado a gran escala ya que los equipos
en donde se aloja la informacin y los servicios pueden
presentar daos provocando as la perdida de continuidad
de los mismos.
Afectacin
Dependiendo el grado de magnitud del terremoto puede
causar que se cuarteen o caigan las paredes con bajo
nivel de destruccin (recuperable sin incidencia
catastrfica) o puede ser una destruccin completa de las
oficinas residentes.
Accin
Independientemente del grado o magnitud del terremoto
la accin por parte del brigadista encargado es de ayudar
a otros a evacuar el edificio evitando primordialmente
prdidas humanas y de ser posible los equipos de
computacin (anteponer la vida antes que los equipos).
Responsable
Brigadista
88
Afectacin
La afectacin puede ser Leve o Severa dependiendo
del escenario, en el caso del Apagn puede quedar
solamente en la discontinuidad de los servicios, por
otro lado tambin pueden quemarse los equipos no
solo los UPS sino los servidores en s.
Impacto Alto
Escenario
Para EKBC & JFSV Salvaguardar y mantener integra la
informacin de los clientes visitados, ya que los papeles
de trabajo que generan los colaboradores de su trabajo
en campo son esenciales para visitas futuras.
Afectacin
Al tener plagio de informacin propia de la empresa o
informacin de otras organizaciones a las cuales se les ha
realizado la auditora ponemos en riesgo no solo a dichas
organizaciones sino a la Empresa como tal por el factor
de desconfianza que generara dicho plagio lo que
terminara en prdida de clientes.
Accin
Implementar IDS u otros sistemas para prevenir y detectar
ataques de piratas informticos.
Responsable
Departamento de tecnologa
ELABORADO POR: Erika Betancourt, Francisco Salguero
93
Probabilidad Improbable
Impacto Alto
Escenario
El Data Center de. EKBC & JFSV No tiene una adecuada
medida de expulsin de polvo o ceniza, considerando que
est en un espacio reducido donde solo existe 1 rack con
los servidores expuestos a los residuos como polvo, smog
ms aun con ceniza volcnica la cual se puede filtrar por
el conducto de expulsin de calor y daar los equipos.
Afectacin
La ceniza que bota el volcn puede alojarse en los
servidores al ser llevado por el viento entrando por los
ductos de ventilacin adems de acabar con gran parte
de la ciudad
Accin
Evacuar el edificio lo antes posible siendo los brigadistas
responsables los que ayuden a la gente a salir a un sitio
seguro.
Responsable
Brigadista
ELABORADO POR: Erika Betancourt, Francisco Salguero
95
3.2.1.1. Objetivo
Los colaboradores de EKBC & JFSV, deben realizar los respaldos de informacin
de manera ser frecuentes, los respaldos son de manera manual, por lo que toda
informacin que el senior crea necesario deber ser almacenada en el servidor de
archivos y de manera automtica en google drive (seniors y asistentes).
3.2.1.4. Pruebas
Teniendo las premisas, se debe considerar una poltica y/o procedimiento para
realizar las pruebas del plan de continuidad.
a) QUITO
El centro de cmputo tiene una puerta con una cerradura de una sola llave, slo
personal de Tecnologa tiene esta llave para ingresar a este sitio.
Existe una cmara de seguridad externa que registra el movimiento del personal
en el acceso al centro de cmputo.
b) GUAYAQUIL
El centro de cmputo est cerrado con una cerradura de una sola llave, slo
personal de Tecnologa y de administracin de Guayaquil tiene autorizacin para
ingresar a este sitio.
3.2.2.1.6. Proveedores
En caso de producirse una falla con los equipos mencionados, la lista para
llamadas de emergencia tendr que ser utilizada. Las obligaciones generales del
coordinador de recuperacin de desastres deben ser discutidas. Los encargados
del equipo de recuperacin estn asignados en cada oficina y las obligaciones
generales dadas. El lder del equipo har la asignacin de personal en las oficinas
de Quito y Guayaquil, as como de las tareas especficas durante la etapa de
recuperacin.
Las responsabilidades se han dado para garantizar que cada una de las
siguientes acciones se ejecute y para que su actualizacin sea contina.
Mantenimiento y actualizacin semestral del plan de recuperacin ante desastres.
Garantizar que todo el personal sea consciente de sus responsabilidades en caso
de un desastre.
Garantizar que los dispositivos UPS estn funcionando correctamente y que estn
siendo revisados peridicamente.
EKBC & JFSV tiene establecidos planes auxiliares para la recuperacin ante
desastres realizados por el rea de Tecnologa.
Peridicamente Se almacenan todos los das los archivos de los clientes a nivel
administrativo. Se deben generar y almacenar los archivos de trabajo en la
carpeta del servidor de archivos asignada. Como plan de copia de seguridad de
respaldos, estos archivos sern respaldados en una unidad de almacenamiento
externa y llevada a la caja de seguridad del banco de manera quincenal.
Cada secretaria es responsable de que sus archivos de trabajo estn alojados en
el servidor.
Esta seccin del plan de recuperacin de los servicios ser puesta en marcha
cuando haya ocurrido un incidente que requiera el uso del sitio alternativo, o el
108
dao es tal que las operaciones se pueden restaurar, pero slo en modo parcial
en el sitio central en un tiempo razonable.
En caso de que sea un traslado a un sitio alternativo, o un plan para continuar las
operaciones en el sitio principal, los siguientes pasos generales deben tomarse:
Adems de los pasos generales que figuran al principio de esta seccin, las
siguientes tareas adicionales se deben seguir en el uso del sitio alternativo:
109
3.3.1. GENERALIDADES
Se evalu los distintos casos y el impacto que tendra sobre la empresa que se
utiliz como caso de modelo y se tomaron en cuenta los riesgos ms potenciales
que reflejaran un descenso de continuidad en caso de ocurrencia.
111
3.3.2. RESULTADOS
CAPITULO 4.
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES.
Al iniciar con este plan se propone una Propuesta del Plan de Continuidad del
Negocio a EKBC & JFSV. Al finalizar el proyecto presentamos la propuesta y
validacin como contenido de este trabajo.
Nos hemos basado en el estndar ISO 27005:2008, anlisis FODA y Anlisis
PESTEL para la determinacin de riesgos y vulnerabilidades, adicional a esto
se ha analizado la Estructura Empresarial; los Procesos, Productos y Servicios
que EKBC & JFSVofrece, otra rea importante que se ha considerado es la
Estructura Tecnolgica y las plataformas sobre las que la Empresa Auditora
Trabaja, en base a estas normas, anlisis y estudios se han identificado los
Riesgos, Vulnerabilidades y las respuestas que se puede dar ante estos
escenarios.
Se ha realizado un estudio de la problemtica y se visualiza que la empresa, a
pesar de contar con polticas y procedimientos establecidos se encuentra dbil
en cuanto a la gestin de riesgos, estos riesgos son en su mayora Riesgos de
Operacin y de Recuperacin Tecnolgica en caso de desastres o fallos
debido a la falta de documentacin de los procedimientos que se deben
seguir.
Del trabajo realizado se ha podido identificar que los riesgos que generaran
un mayor impacto en el caso de ocurrencia son los siguientes: incendio, robo,
falla de red y riesgo operacional.
Hemos estudiado la norma ISO 22301:2012, un estndar que nos permite
establecer una propuesta basada en los riegos y vulnerabilidades que se han
identificado en la Empresa, adicionalmente se plantea el aporte que los
miembros de la organizacin proporcionan en el desarrollo de la propuesta.
114
4.2. RECOMENDACIONES.
BIBLIOGRAFA
Pginas Web
WIKIPEDIA, (2014, Marzo 30), Plan de continuidad del negocio, Disponible en:
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio,
GLOSARIO
Incidente: Cualquier evento que no forma parte del desarrollo habitual del
servicio y que causa, o puede causar una interrupcin del mismo o una reduccin
de la calidad de dicho servicio.
UPS: Un UPS es una fuente de suministro elctrico que posee una batera con el
fin de seguir dando energa a un dispositivo en el caso de interrupcin elctrica.
Los UPS son llamados en espaol SAI (Sistema de alimentacin ininterrumpida).
UPS significa en ingls Uninterruptible Power Supply.
VPN: Red Privada Virtual, es una tecnologa de red que permite una extensin
segura de una red local, sobre una red pblica o no controlada.
ANEXOS
121
ANEXO I
ANEXO II