Propuesta de Un BCP

I
ESCUELA POLITECNICA NACIONAL
FACULTAD DE INGENIERA DE SISTEMAS
PROPUESTA UN PLAN DE CONTINUIDAD DEL NEGOCIO (BCP).

CASO DE APLICACIN.
PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

SISTEMAS INFORMATICOS Y DE COMPUTACION
AUTORES:
BETANCOURT CANCHIGNIA ERIKA FERNANDA
e.f.betancourt@gmail.com
SALGUERO VLIZ JUAN FRANCISCO

franz_salveliz@hotmail.es
DIRECTOR:
INGENIERO BOLIVAR OSWALDO PALN TAMAYO
bolivar.palan@epn.edu.ec
QUITO, AGOSTO 2014

II
DECLARACIN
Nosotros, Erika Fernanda Betancourt Canchignia Y Juan Francisco Salguero

Vliz, declaramos bajo juramento que el trabajo aqu descrito es de nuestra
autora; que no ha sido previamente presentada para ningn grado o calificacin
profesional; y, que hemos consultado las referencias bibliogrficas que se
incluyen en este documento.
A travs de la presente declaracin cedemos nuestros derechos de propiedad

intelectual correspondientes a este trabajo, a la Escuela Politcnica Nacional,
segn lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por
la normatividad institucional vigente.
Betancourt Canchignia Erika Fernanda Salguero Vliz Juan Francisco

III
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Betancourt Canchignia Erika
Fernanda y Salguero Vliz Juan Francisco, bajo mi supervisin.
INGENIERO BOLIVAR OSWALDO PALN TAMAYO

IV
DEDICATORIA
Dedico mi tesis a mi familia, que nunca ha dejado de creer en m y ha sido un pilar

fundamental en mi crecimiento, a mis padres Betty y Fernando por su amor
apoyo, a mi sobrinito Julin que ha venido a llenar de alegra mi vida, a mis
amigas que han soportado mis ausencias, a mi amigo Andrs que me ha dado su
apoyo y me ha ayudado a creer en m.
A las personas que me han tendido la mano, y a las que me han dado la espalda
porque me han ayudado a ser ms fuerte.
Erika
V
DEDICATORIA
Dedico mi tesis a todas las personas que han estado apoyndome a lo largo de
mi carrera y mi vida, las que han aportado para bien con sus consejos, su tiempo
y sus nimos para no dejarme vencer; sobre todo mi madre Rita Emilia que
siempre me ha dado las fuerzas para continuar y no dejarme vencer por los
obstculos de la vida, a mi novia Katherine que en el poco tiempo que estuvo
apoyndome en mi tesis lo ha hecho de corazn, a mi compaera y amiga Erika
que a pesar de todo hemos podido lograr finalizar nuestra tesis, y a todas las
amigas y los amigos que me han dado sus nimos y su apoyo incondicional.
Francisco
VI
AGRADECIMIENTO
Agradezco a Dios, que me dio fortaleza durante toda esta etapa de mi vida, a mis
padres Betty y Fernando por su apoyo amor y comprensin, y por darme las
herramientas necesarias para salir al mundo.
A mis hermanas Dayana y Doris que han sido mi fortaleza cuando se me han
acabado las fuerzas.
A mi compaero Juan Francisco por todos los momentos que hemos compartido
durante nuestra vida estudiantil y profesional, y sobre todo por el trabajo que
hemos realizado para culminar con nuestra tesis.
A mis profesores, que a lo largo de este camino me han dado enseanzas que me
servirn ahora y a futuro.
Erika
VII
AGRADECIMIENTO
Agradezco a Dios por la gua, por iluminar mi camino, mi mente para la realizacin
de la tesis y por la fuerza que me ha dado para seguir adelante con fe.
Agradezco a mi madre infinitamente por no dejarme caer ni vencer por ninguna

dificultad y poder culminar mi carrera.
Agradezco a todas las personas que han estado ah en buenas y malas que me
han impulsado a terminar mis proyectos.
Francisco
VIII
CONTENIDO
CERTIFICACIN .................................................................................................. III
DEDICATORIA ...................................................................................................... IV
AGRADECIMIENTO .............................................................................................. VI
CONTENIDO ....................................................................................................... VIII
INDICE DE TABLAS ........................................................................................... XIV
INDICE DE FIGURAS ......................................................................................... XVI
RESUMEN ........................................................................................................ XVIII
INTRODUCCIN ................................................................................................ XIX
CAPITULO 1. ......................................................................................................... 1
PLANTEAMIENTO DEL PROBLEMA. ................................................................... 1
1.1. RECONOCIMIENTO DEL PROBLEMA. ................................................... 1
1.1.1. MISIN DE LA EMPRESA. 1
1.1.2. VISIN DE LA EMPRESA. 1
1.1.3. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA. 2
1.1.4. CADENA DE VALOR DE LA EMPRESA AUDITORA. 3
1.1.5. IDENTIFICACIN DEL CORE BUSSINESS DE LA EMPRESA. 3
1.1.6. PLANTEAMIENTO DEL PROBLEMA. 3
1.2. DESCRIPCIN DEL DEPARTAMENTEO DE TECNOLOGA. ................. 4

IX
1.2.1. UBICACIN DEL DEPARTAMENTO DE TECNOLOGIA. 4
1.2.2. OBJETIVOS Y FUNCIONES. 5
1.2.3. ORGNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGA.

11
1.2.4. TOPOLOGA DE LA RED DE DATOS DE EKBC & JFSV. 12
1.2.5. EQUIPOS 13
1.2.6. PROGRAMAS 13
1.2.7. SEGURIDAD EN EL DEPARTAMENTO DE TECNOLOGA 14
1.2.7.1. Seguridad fsica. 14
1.2.7.2. Seguridad lgica 16
1.2.7.3. Revisiones de cumplimiento 18
1.2.7.4. Seguridad legal 19
1.2.7.5. Seguridad de informacin y respaldos 19
1.3. LEVANTAMIENTO DE PRODUCTOS Y SERVICIOS DE LA EMPRESA.

21
1.3.1. PROCESO DE ATENCIN AL CLIENTE. 21
1.3.2. PROCESO DE GESTIN DE LAS OPERACIONES DE SERVICIO.

30
1.3.3. PROCESO DE COBRANZAS. 35
1.4. DESCRIPCIN DE LOS PROCESOS DE LA EMPRESA. ..................... 38
1.4.1. DESCRIPCIN DEL PROCESO DE ATENCIN AL CLIENTE. 38
1.4.2. DESCRIPCINDEL PROCESO DE OPERACIONES DE SERVICIO.

39
X
1.4.3. DESCRIPCIN DEL PROCESO DE COBRANZAS 41
1.4.4. DESCRIPCIN DEL PROCESO DE APOYO ADMINISTRATIVO. 42
1.5. DESCRIPCIN DEL PROBLEMA Y NECESIDADES DE CONTINUIDAD.

42
1.5.1. DESCRIPCIN DEL PROBLEMA 42
1.5.2. NECESIDAD DE CONTINUIDAD 43
CAPITULO 2. ....................................................................................................... 44
PROPUESTA DEL PLAN DE CONTINUIDAD ..................................................... 44
2.1. LIDERAZGO ........................................................................................... 44
2.2. POLTICA DE CONTINUIDAD DEL NEGOCIO. ..................................... 45
2.2.1. OBJETIVO 45
2.2.2. RESPALDO DE INFORMACIN 45
2.2.3. ROLES Y RESPONSABILIDADES 46
2.2.4. PRUEBAS 46
2.2.5. CONSIDERACIONES GENERALES 46
2.3. ANLISIS DE RIESGO Y VULNERABILIDADES. .................................. 47
2.3.1. IDENTIFICACIN DE RIESGOS 47
2.3.1.1. Anlisis FODA. 49
2.3.1.2. Anlisis PESTEL. 50
2.3.1.3. Matriz de riesgos 51
2.4. ANALISIS DE IMPACTO DEL NEGOCIO. .............................................. 55

XI
2.4.1. DESCRIPCIN DEL IMPACTO 55
2.4.2. ESTRATEGIAS DE RECUPERACIN. 66
2.5. DESCRIPCIN DEL PLAN DE CONTINUIDAD. .................................... 71
2.5.1. DESCRIPCIN DE LA BASE ISO 22301:2013 71
2.5.2. PLAN DE RECUPERACIN DE DESASTRES (DISASTER

RECOVERY PLAN - DRP) 73
2.5.2.1. Introduccin 73
2.5.2.2. Descripcin del DRP 73
2.5.2.3. Preparacin ante un desastre 76
2.5.2.4. Planes de Recuperacin 77
2.6. GUIA DE PROCEDIMIENTOS DEL PLAN.............................................. 78
2.6.1. DEFINCIN DE LA SITUACION ACTUAL 78
2.7. SOCIALIZACIN DEL PLAN .................................................................. 78
2.7.1. POR QU SOCIALIZAR EL PLAN? 78
2.7.2. PLANEACIN DE RRHH. 79
2.7.3. CAPACITACIN. 79
CAPITULO 3. ....................................................................................................... 80
VALIDACIN DEL PLAN. .................................................................................... 80
3.1. PREPARACION DE CASOS DE CONTINUIDAD. .................................. 80
3.1.1. IDENTIFICACIN DE ESCENARIOS 84
3.2. EJECUCIN DE LOS PROCEDIMIENTOS. ........................................... 95

XII
3.2.1. POLTICA DE CONTINUIDAD DEL NEGOCIO 95
3.2.1.1. Objetivo 95
3.2.1.2. Respaldos de Informacin 95
3.2.1.3. Roles y Responsabilidades 95
3.2.1.4. Pruebas 96
3.2.1.5. Consideraciones Generales 96
3.2.2. DESCRIPCIN DEL DRP 97
3.2.1.1. Preparacin ante un Desastre 103
3.2.1.2. Procedimientos Generales 103
3.2.1.3. Planes de Recuperacin 106
3.3. ANLISIS DE RESULTADOS. .............................................................. 110
3.3.1. GENERALIDADES 110
3.3.2. RESULTADOS 111
CAPITULO 4. ..................................................................................................... 113
CONCLUSIONES Y RECOMENDACIONES ..................................................... 113
4.1. CONCLUSIONES.................................................................................. 113
4.2. RECOMENDACIONES. ........................................................................ 115
BIBLIOGRAFA .................................................................................................. 116
GLOSARIO......................................................................................................... 117
ANEXOS ............................................................................................................ 120

XIII
XIV
INDICE DE TABLAS
Tabla 1. ESCALA DE SEVERIDAD DE RIESGO ................................................. 48
Tabla 2. CALIFICACIN DEL RIESGO ............................................................... 48
Tabla 3. ANLISIS FODA .................................................................................... 49
Tabla 4. MATRIZ DE RIESGOS ........................................................................... 51
Tabla 5. VALORACIN DEL RIESGO ................................................................. 56
Tabla 6. ESCENARIO - INCENDIO ...................................................................... 58
Tabla 7. ESCENARIO - TERREMOTO ................................................................ 59
Tabla 8. ESCENARIO - FALLA DE ENERGA ..................................................... 60
Tabla 9. ESCENARIO - ROBO............................................................................. 61
Tabla 10. ESCENARIO - FALLO DE RED ........................................................... 62
Tabla 11. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIN

COMPUTACIONAL .............................................................................................. 63
Tabla 12. ESCENARIO - RIESGO OPERACIONAL ............................................ 64
Tabla 13. ERUPCIN DE VOLCN ..................................................................... 65
Tabla 14. TIEMPO DE RESTAURACIN DE LAS OPERACIONES ................... 66
Tabla 15. PRIORIZACIN DE LAS ACTIVIDADES ............................................. 80
Tabla 16. PERSONAL NECESARIO PARA ESTABLECER LA CONTINUIDAD DE

LAS OPERACIONES ........................................................................................... 81
Tabla 17. SISTEMAS DE INFORMACIN REQUERIDOS PARA LA

CONTINUIDAD DE OPERACIONES ................................................................... 82
Tabla 18. DESCRIPCIN DE LOS ACTIVOS TECNOLGICOS ........................ 83

XV
Tabla 19. MATERIAL MOBILIARIO ...................................................................... 83
Tabla 20. MATERIAL DE OFICNA ....................................................................... 83
Tabla 21. MATERIAL DE REFERENCIA ............................................................. 84
Tabla 22. ESCENARIO - INCENDIO .................................................................... 85
Tabla 23. ESCENARIO - TERREMOTO .............................................................. 87
Tabla 24. ESCENARIO - FALLA DE ENERGA ................................................... 88
Tabla 25. ESCENARIO - ROBO........................................................................... 90
Tabla 26. ESCENARIO - FALLO DE RED ........................................................... 91
Tabla 27. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIN

COMPUTACIONAL .............................................................................................. 92
Tabla 28. ESCENARIO - RIESGO OPERACIONAL ............................................ 93
Tabla 29. ERUPCIN DE VOLCN ..................................................................... 94
Tabla 30. EQUIPO DE RECUPERACIN .......................................................... 102

XVI
INDICE DE FIGURAS
Figura 1. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA ......................... 2
Figura 2. CADENA DE VALOR DE LA EMPRESA AUDITORA ............................. 3
Figura 3. FUNCIONES DEL REA DE TECNOLOGA .......................................... 5
Figura 4. ORGNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGA 11
Figura 5. TOPOLOGA DE RED EKBC & JFSV ................................................... 12
Figura 6. DESCRIPCIN DE EQUIPOS DEL CENTRO DE DATOS ................... 13
Figura 7. MACROPROCESOS EKBC & JFSV ..................................................... 20
Figura 8. DESCRIPCIN DE SUBPROCESOS ................................................... 21
Figura 9. PROCESO DE ATENCIN AL CLIENTE ............................................. 21
Figura 10. GESTIN DE DESARROLLO DE NEGOCIOS 1/4............................ 22
Figura 13. GESTIN DE DESARROLLO DE NEGOCIOS 4/4............................. 25
Figura 14. ATENCIN A CLIENTE - CLIENTES NUEVOS ................................. 26
Figura 15. ATENCIN AL CLIENTE - CLIENTES COMPRAS PBLICAS .......... 27
Figura 16. ATENCIN AL CLIENTE- CLIENTES RECURRENTES 1/2. ............. 28
Figura 17. ATENCIN AL CLIENTE- CLIENTES RECURRENTES 2/2 .............. 29
Figura 18. PROCESO DE GESTIN DE LAS OPERACIONES DE SERVICIO .. 30

XVII
Figura 19. GESTIND E LAS OPERACIONES DE SERVICIO - GESTIN DE

AUDITORA1/4. .................................................................................................... 31
Figura 20. GESTIND E LAS OPERACIONES DE SERVICIO - GESTIN DE

AUDITORA 2/4 .................................................................................................... 32
Figura 21 GESTIND E LAS OPERACIONES DE SERVICIO - GESTIN DE

AUDITORA 3/4. ................................................................................................... 33
Figura 22. GESTIN DE LAS OPERACIONES DE SERVICIO- GESTIN DE

AUDITORA 4/4 .................................................................................................... 34
Figura 23. PROCESO DE COBRANZAS ............................................................. 35
Figura 24. FACTURACIN DE CLIENTES - COBRANZAS1/2............................ 36
Figura 25. FACTURACIN DE CLIENTES - COBRANZAS 2/2........................... 37
Figura 26. DIAGRAMA DEL DESARROLLO DEL PLAN DE CONTINUIDAD ..... 44
Figura 27. ANLISIS DE RIESGO Y VULNERABILIDADES ............................... 47
Figura 28. DIAGRAMA DE FUENTES DE RIESGO. ............................................ 48
Figura 29. ESCENARIOS DE RECUPERACIN. ................................................ 68
Figura 30. CLICLO PDCA APLICADO AL PROCESO DE LA CONTINUIDAD DEL

NEGOCIO ............................................................................................................ 71
Figura 31. RELACIN ENTRE EL RTO, RPO Y MRPD ...................................... 72
Figura 32. SOCIALIZACIN DEL PLAN .............................................................. 78

XVIII
RESUMEN
Se ha planteado el problema de la continuidad del negocio para una empresa

auditora, se plantea un caso de estudio para realizarlo de manera general y que
aplique no solo al caso de estudio sino a varias empresas El caso de Estudio se
plantea en una empresa utilizando las siglas de los nombres de los elaboradores
de la presente tesis para sigilo de la informacin.
El presente trabajo se enfoca en la problemtica que tienen las empresas para

tener una continuidad en la prestacin de servicios y elaboracin de sus
productos dando una solucin para realizar un plan preventivo de continuidad
para casos emergentes y comunes en el continuo desempeo de funciones.
Se plantea una propuesta como una solucin de desarrollo del plan de

continuidad de negocio, donde se pueda aplicar como modelo a seguir; la
propuesta seala y enuncia los respectivos anlisis a realizar como el de riesgo e
impacto que pueden generar.
Se presentan diferentes escenarios que pueden suscitarse en cualquier empresa

y pueden ser tomados como referencia para tener planes preventivos frente a
ellos, los cuales nos permiten realizar procesos y procedimientos estndares para
ser validados en el caso de estudio.
XIX
INTRODUCCIN
En el captulo uno detallaremos el reconocimiento y describiremos la empresa de

caso de estudio, siendo el objetivo de la descripcin: tener un referente de
eventualidades, procedimientos y perfiles reales donde enfocarnos lo cual nos dio
como resultado el levantamiento de procesos de una empresa real donde
podemos analizar casos eventuales de falencias y mejorar la seguridad de los
mismos. Detallaremos la empresa con el nombre de: EKBC & JFSV.
En el segundo captulo detallamos los anlisis de riesgo e impacto de negocio,

enfocndonos en la ISO 22301 para redactar la gua de los procedimientos a
emplear para realizar el plan y su dicha socializacin.
En el tercer captulo detallamos el plan como tal para la empresa de caso de

estudio, realizando la propuesta modelo con la gua detallada de los sub planes y
procedimientos evaluados en el captulo dos enfocando en la mejora de seguridad
y prevencin contra desastres y discontinuidad de negocio.
El captulo cuarto detalla las conclusiones a las cuales llegamos al realizar el

anlisis para realizacin del plan y las recomendaciones a tratar al elaborar un
plan de continuidad del negocio.
1
CAPITULO 1.
PLANTEAMIENTO DEL PROBLEMA.
1.1. RECONOCIMIENTO DEL PROBLEMA.
DESCRIPCIN DE LA EMPRESA.
Actualmente EKBC & JFSV Ca. Ltda., es una empresa de servicios con 30 aos
de trayectoria. Sirve a sus clientes con ms de 50 profesionales desde las oficinas
en Quito y Guayaquil con recursos innovadores en la provisin de servicios y la
sensibilidad que les caracteriza para entender la cultura particular de cada
organizacin.
Estn orientados a clientes que aprecian un alto valor agregado al trabajo

profesional. Se esfuerzan permanentemente para atender todos los
requerimientos de organizaciones desde pequeos negocios hasta importantes
empresas multinacionales en una gran variedad de actividades econmicas.
Siempre combinan la experiencia, el conocimiento del mercado y condiciones
locales, con la comprensin del contexto internacional.
1.1.1. MISIN DE LA EMPRESA.
Brindar los mejores servicios estndares internacionales EKBC & JFSV1
1.1.2. VISIN DE LA EMPRESA.
Crecer y desarrollarse ampliamente en las ramas de auditora y consultora en el

Ecuador2
1 Informacin elaborada por: Erika Betancourt, Francisco Salguero.

1.1.3. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA.
La estructura organizacional de EKBC & JFSV se encuentra claramente identificada, la misma que se encuentra detallada en el
grfico Adjunto (ver Figura 1.).
Figura 1. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA
ELABORADO POR: Erika Betancourt, Francisco Salguero.
2
3
1.1.4. CADENA DE VALOR DE LA EMPRESA AUDITORA.
La cadena de valor de EKBC & JFSV ha sido identificada por los responsables de
los macro procesos y ha sido desarrollada de forma interna, la cadena de valor se
encuentra claramente identificada en la figura adjunta. (Figura 2.)
Figura 2. CADENA DE VALOR DE LA EMPRESA AUDITORA
ELABORADO POR: Erika Betancourt, Francisco Salguero .
1.1.5. IDENTIFICACIN DEL CORE BUSSINESS DE LA EMPRESA.
Si bien cada proceso del cual se conforma la empresa es fundamental por el

mismo hecho de ser un rgano para el correcto funcionamiento de la empresa se
ha escogido el proceso de auditora para a amplios rasgos ser analizado y
detallado para poder minimizar el impacto sobre el mismo.
1.1.6. PLANTEAMIENTO DEL PROBLEMA.
Las oficinas de EKBC & JFSV, tanto en Quito como en Guayaquil, se encuentran
ubicadas en zonas de alto riesgo por lo que es necesario elaborar un plan para
continuar con las actividades del negocio, para de esta forma minimizar el impacto
financiero y mantener imagen que pueda tener la empresa frente catstrofes y su
inmediata recuperacin a la vista de sus clientes.
4
1.2. DESCRIPCIN DEL DEPARTAMENTEO DE TECNOLOGA.
1.2.1. UBICACIN DEL DEPARTAMENTO DE TECNOLOGIA.
El departamento de tecnologa est ubicada en la oficina principal de Quito, desde

donde residen las sub reas de auditora e infraestructura el cual tiene el siguiente
esquema:
AUDITORA TI.
o Gerente de Auditora TI.
o Snior de Auditora TI.
o Asistentes de Auditora TI.
INFRAESTRUCTURA.
o Gerente de Tecnologa.
o Ingeniero de Infraestructura.
o Asistente de Infraestructura.
El personal administrativo de la Empresa se encuentra ubicado en las dos

ubicaciones antes indicadas y debido a la naturaleza del negocio el personal de
Auditora Externa realiza trabajo en campo, es decir se encuentran ubicados
geogrficamente en las instalaciones del cliente asignado.
El rea de Infraestructura es la encargada de proveer los servicios de tecnologa

tanto a los clientes internos (rea administrativa y Auditora Externa) de las dos
ciudades.
El espacio fsico asignado tanto para el centro de Datos como para el rea de
Tecnologa es bastante reducido, adems el personal asignado es insuficiente
para abarcar todos los requerimientos presentados por los clientes y atenderlos
en un corto lapso de tiempo.
5
Entre los servicios que ofrece a la Empresa el rea de Infraestructura tenemos los
siguientes:
Servicio de internet.
Telefona.
Mantenimiento de equipos,
Almacenamiento de informacin.
Soporte a usuarios
Soporte en la herramienta utilizada en el proceso de Auditora. .
Figura 3. FUNCIONES DEL REA DE TECNOLOGA
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO
1.2.2. OBJETIVOS Y FUNCIONES.
El Departamento de Tecnologa como se mencion anteriormente se divide en

dos reas; el rea de Auditora TI que se la puede tomar como una lnea de
negocio o como un soporte al proceso de Auditora Financiera, y el rea de
infraestructura que divide las responsabilidades en tres (3) cargos de suma
importancia: El Gerente Tecnologa, el Ingeniero de Infraestructura y el Asistente
de Infraestructura.
6
Las funciones que desempea el departamento de Tecnologa se encuentran

resumidas en la Figura 3.
1.2.2.1. Gerente de sistemas.
DESCRIPCIN DE PERFIL3
Gerente de
TTULO DE PUESTO: Nivel o Grado: Gerente
Tecnologa
OCUPANTE: # Ocupantes 1
LOCALIZACIN PREPARADO Recursos
Quito Ecuador
GEOGRFICA: POR: Humanos
DEPENDENCIA APROBADO
Gerente General
JERRQUICA: POR:
DEPENDENCIA Abril 23, del
Oficina UIO FECHA:
FUNCIONAL: 2013
1. MISIN (qu, dnde, para qu)

Administrar, monitorear y controlar las actividades relacionadas con Tecnologas
de Informacin y Comunicacin (TICs) de EKBC & JFSV, para contribuir al
crecimiento y posicionamiento de la Organizacin.
2. PRINCIPALES RESULTADOS (Responsabilidades Core de la posicin)

Frecuen
Importancia
cia
ACCIONES
KPI FINAL ESPERADO (D,S,M,B
(Qu hace?)
M,TM,SM
,A)
Planificar la estrategia y planes
Plan Operativo
operativos de TICs EKBC & JFSV, para
1 Estratgico realizado y Anual
alinear el uso de la tecnologa a los
aprobado a Mayo 30.
objetivos de la Organizacin.
Coordinar la ejecucin de proyectos de
100% de la ejecucin de
TICs parl EKBC & JFSV, para
2 la cartera de proyectos Semanal
proporcionar a la Organizacin de las
aprobados.
herramientas adecuadas para su
3 Fuente: Recursos Humanos EKBC & JFSV

7
desarrollo.
90% de casos de
Administrar, monitorear y controlar el soporte atendidos de
servicio de soporte tecnolgico al acuerdo a polticas
3 cliente interno de EKBC & JFSV, para (semanal). Diario
maximizar la continuidad de la 87% de satisfaccin del
operacin. cliente interno
(mensual).
Administrar, monitorear y controlar el
99,00000 % uptime
funcionamiento de la infraestructura
aplicaciones
4 tecnolgica (hardware, software, Diario
99,99999 % uptime
comunicaciones y seguridad de la
redes de comunicacin.
informacin) de EKBC & JFSV.
Administrar, monitorear y controlar los
servicios provistos por terceros, como 100% cumplimiento de
5 son: telecomunicaciones, software, SLAs de proveedores. Diario
aplicaciones, equipos de computacin e
infraestructura de EKBC & JFSV.
Coordinar el soporte tcnico de primer 100% de casos de
nivel de la herramienta de registro de soporte atendidos de
6 auditora, para que la herramienta se acuerdo a polticas Diario
encuentre disponible para la (semanal).
Organizacin.
3. LNEAS DE SUPERVISIN(A quin supervisa)

Ingeniero de Infraestructura Jr.
4. ORGANIZACIN (Puestos que dependen jerrquicamente)
8
5. INTERRELACIONES
Participa en:
Comits estratgicos.
Comits QAR (Quality Assurance Review).
Comit seleccin de soluciones.
Reuniones de rea.
Contactos relevantes
Internos Externos
Socios
Clientes
Gerente General
Proveedores
Socios de auditora
Gerentes de Firmas Relacionadas
Staff de Auditora
Organismos de control (SIBS)
Gerentes
Asociaciones de Estndares (ISACA)
Departamentales
Colaboradores
6. PRINCIPALES CONOCIMIENTOS, EXPERIENCIAS Y HABILIDADES

Formacin Acadmica:
Obligatorio: Ttulo de Tercer Nivel en Ingeniera de Sistemas e Informtica, Ingeniera
de TICs, Bachellor TI.
Deseable: Cuarto Nivel en Administracin de Negocios, Gerencia o gestin de

Tecnologa, Auditora de Tecnologa.
Conocimientos Tcnicos:
Slidos conocimientos de administracin en ambientes Windows Server.
Slidos conocimientos de administracin de redes y telecomunicaciones en ambientes
Windows Server, Linux, Cisco y D-Link.
Slidos conocimientos de Administracin de Seguridad bajo ambientes Linux.
Slidos conocimientos en Gobierno de TI (Cobit)
Slidos conocimientos en Gerencia de Servicios TI (ITIL).
Slidos conocimientos de Administracin de Procesos.
Conocimientos Business Process Management (BPM), ERP, BI.
Conocimientos de Arquitectura Empresarial.
Conocimientos de PETI.
Conocimientos Auditora y Consultora TICs.
Ingls: 75%.
Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps,
Groove, InfoPath.
Experiencia:
Mnimo 3 aos en posiciones similares.
9
1.2.2.2. Ingeniero de infraestructura4
DESCRIPCIN DE PERFIL
Ingeniero de
TTULO DE PUESTO: Nivel o Grado: Asistente
Infraestructura
OCUPANTE: # Ocupantes 1
LOCALIZACIN PREPARADO Recursos
Quito Ecuador
GEOGRFICA: POR: Humanos
DEPENDENCIA APROBADO
Gerente de Tecnologa
JERRQUICA: POR:
DEPENDENCIA Abril 25,
Oficina UIO FECHA:
FUNCIONAL: del 2013
1. MISIN (qu, dnde, para qu)

Administrar y monitorear la infraestructura tecnolgica, los procesos de soporte
primer nivel y la mesa de ayuda de EKBC & JFSV, para brindar servicios de
informacin y tecnologa oportunos.
Administra y monitorea inventario HW y SW, soporte primer nivel equipos,
aplicaciones y sistemas Organizacionales, administracin y monitorean servidores
SW, administracin y monitoreo de redes de voz y datos, respaldos, mesa de
servicios.
Operativa: manejo inventario.
2. PRINCIPALES RESULTADOS (Responsabilidades Core de la posicin)

Frecuen
cia
ACCIONES
Importancia
KPI FINAL ESPERADO (D,S,M,

(Qu hace?)
BM,TM,
SM,A)
Administrar, monitorear y controlar el 100% de la informacin
proceso de respaldos de las aplicaciones respaldada y validada, de
y herramientas informticas de EKBC & acuerdo a polticas. A
1 Diario
JFSV, informacin de clientes y usuarios travs de reporte semanal
para cumplir con normativa interna y y muestreo para validar de
externa de seguridad de la informacin. consistencia.
4 Fuente: Recursos Humanos EKBC & JFSV

10
Administrar, monitorear, controlar Diario

99,00000 % uptime
2 servidores y equipos de centro de
aplicaciones.
cmputo.
Administrar, monitorear y controlar los 100% cumplimiento planes Mensual
planes de mantenimiento preventivo y de mantenimiento
correctivo del hardware y software de la preventivo.
3
Infraestructura Tecnolgica de EKBC & 100% cumplimiento planes
JFSV, para mantener los servicios de mantenimiento
disponibles de forma oportuna. correctivo.
Administrar los contratos de servicios con Mensual
4 terceros, para gestionar su cumplimiento 100% SLAs cumplidos.
y la provisin del servicio.
100% casos de soporte de Mensual
Brindar soporte tcnico informtico de
primer nivel con respuesta.
5 primer nivel, para facilitar el trabajo de los
100% SLAs y OLAs
colaboradores de EKBC & JFSV.
cumplidos
Administrar y monitorear la mesa de
100% casos de soporte
servicios, para gestionar la ayuda
atendidos y con respuesta,
6 oportuna y adecuada a los problemas e
de acuerdo a SLAs y
incidentes tecnolgicos de los
OLAs.
colaboradores en EKBC & JFSV.
3. LNEAS DE SUPERVISIN(A quin supervisa)
Pasantes de TI.
4. ORGANIZACIN (Puestos que dependen jerrquicamente)
5. INTERRELACIONES
Reuniones de rea
Contactos relevantes
Internos Externos
Colaboradores EKBC & JFSV. Proveedores.
Colaboradores Empresas Asociadas.
11
6. PRINCIPALES CONOCIMIENTOS, EXPERIENCIAS Y HABILIDADES

Formacin Acadmica:
Obligatorio: Egresado de Tercer Nivel en Ingeniera de Sistemas e Informtica,
Ingeniera de TICs, Bachellor TI.
Deseable: Ttulo de Tercer Nivel en Ingeniera de Sistemas e Informtica, Ingeniera de

TICs, Bachellor TI.
Conocimientos Tcnicos:
Conocimientos de administracin en ambientes Windows Server.
Conocimientos de administracin de redes y telecomunicaciones en ambientes Windows
Server, Linux, Cisco y D-Link.
Conocimientos de Administracin de Seguridad bajo ambientes Linux.
Conocimientos en Gerencia de Servicios TI (ITIL).
Ingls: 50%.
Manejo de ambiente Office: Word, Excel, Power Point, Project, Visio, Google Apps,
Groove, InfoPath.
Experiencia:
Deseable 6 meses en posiciones similares.
1.2.3. ORGNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGA.
Figura 4. ORGNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGA
ELABORADO POR: Erika Betancourt. Francisco Salguero

12
1.2.4. TOPOLOGA DE LA RED DE DATOS DE EKBC & JFSV.
Figura 5. TOPOLOGA DE RED EKBC & JFSV
12
ELABORADO POR: ERIKA BETANCOURT, FRANCISCO SALGUERO.
13
13
1.2.5. EQUIPOS
Figura 6. DESCRIPCIN DE EQUIPOS DEL CENTRO DE DATOS
FUNCION / AREA MODELO SERIE S.O.
QUITO
Servidores
Servidor Archivos HP PROLIANT ML 350 G5 MXQ81701BW Windows 2003 Server
Servidor Proxy HP DL160 G5 2UX83405KV Linux
Servidor Correo Internet HP DL160 G5 2UX83405JL Linux
Servidor Antivirus HP PROLIANT ML 150 G6 MX29520062 Windows 2008 Server
Impresoras
Contabilidad HP Laserjet P2015 CNB1541823
RRHH HP Laserjet P1600 VNB3D29831
Sec. Ger. Operaciones HP Laserjet P4014N CNDX122353
Desarrollo Negocios HP Laserjet CP3525dn CNCCBDX08R
Staff Auditores HP Laserjet P4015n YPDF277755
Switchs
Data Center 5to piso D-LINK DES-3052P 52 puertos
GUAYAQUIL
Servidores
Servidor Archivos HP PROLIANT ML 150 G5 MXS84309N8 Windows 2003 Server
Switchs
GERENFOQUE
Servidor Archivos HP PROLIANT ML 110 Windows 2008 Server
1.2.6. PROGRAMAS
Dentro de las aplicaciones ms utilizadas se tienen:
Herramienta de registro del proceso de Auditora.

Adm BTS (Aplicacin Financiero Contable).
Paquete de Ofimtica Office. (Word, Excel, Power Point)
Software de Procesamiento de Datos.
GLPI (Sistema de Mesa de Servicios).
14
1.2.7. SEGURIDAD EN EL DEPARTAMENTO DE TECNOLOGA
1.2.7.1. Seguridad fsica.
Para el acceso a las instalaciones de la firma de auditora EKBC & JFSV se debe
ingresar al edificio correspondiente (Quito o Guayaquil), teniendo como control
primario el guardia del edificio pues es quien se encarga de permitir el acceso al
Edificio a las personas que no labora las instalaciones, el acceso a las
instalaciones del personal que labora en el edificio es otorgado por una tarjeta de
aproximacin. En el caso del ingreso de personas ajenas al Edificio el guardia las
anuncia y es l quien puede otorgar o denegar el acceso.
El segundo control que se presenta en cuanto a seguridad fsica se encuentra al

ingreso al quinto piso ya que el acceso es controlado por un biomtrico que
permite o deniega el acceso a las instalaciones. Adicionalmente la persona
encargada de la recepcin es la encargada de permitir el ingreso al personal
ajeno a la firma, una vez que la persona ha ingresado esta es anunciada con la
persona a la que va a visitar.
Seguridades en el centro de cmputo.
El rea del centro de cmputo se encuentra separada del Departamento de

Tecnologa, El acceso al Departamento no es controlado ya que no se restringe el
acceso al personal a esta rea, en el departamento se tienen algunos equipos de
comunicaciones los mismos que se encuentran ubicadas en un rea bajo llave.
El Centro de Cmputo se encuentra ubicado a un costado del STAFF del personal

de auditora. El control de acceso al mismo es monitoreado por una cmara que
apunta directamente a la puerta de ingreso al mismo. Adicional a esto se tiene
acceso al Centro de cmputo con la llave de la chapa manual, la misma que es
manejada por el personal de sistemas.
15
1.2.7.1.1. Seguridades en los equipos de computacin.
Este tipo de seguridad se encuentra basada en las siguientes polticas de

seguridad:
Todo equipo que se entregue al colaborador deber estar soportado bajo

un acta de entrega recepcin donde se detallen las caractersticas,
cdigos y estado de los equipos o elementos tecnolgicos
Los PCS y equipos porttiles que EKBC & JFSVpone a disposicin de sus
colaboradores deben ser utilizados para el desarrollar nica y
exclusivamente las actividades propias a las funciones que encomendadas
a los colaboradores por la Compaa.
Los requerimientos de equipos informticos para personas que ingresan a
la Firma sern comunicados por escrito al Departamento de Recursos
Humanos al Departamento de Tecnologa, y para los casos en los que se
solicite cambios o prstamos equipos, el responsable de enviar el
requerimiento ser el Gerente de la Unidad de Negocio de quien requiera
el respectivo equipo.
Si el usuario que recibe el equipo detectase algn desperfecto, mal
funcionamiento o contenido inadecuado, deber inmediatamente poner en
conocimiento al Departamento de Tecnologa con el fin de solucionar el
incidente y que el usuario quede exonerado de toda responsabilidad.
En caso de Viajar con el equipo:
Para el transporte de equipos porttiles u otros similares desde la oficina,

sea a el domicilio del responsable o a clientes se debe utilizar el servicio de
transporte de las compaas de taxis contratadas por la firma. Para
movilizarse con el equipo se debe tener la autorizacin del inmediato
superior o Gerente del Compromiso, el cual debe aprobar el uso de los
vouchers de taxis.
16
Nunca se debe abandonar la porttil a la vista del pblico, especialmente

en situaciones que puedan aumentar el riesgo de robo.
En los hoteles, la porttil deber guardarse en un espacio cerrado bajo
llave o en un lugar seguro.
La prdida de la porttil debe ser notificada por escrito inmediatamente al
Gerente del Departamento, y ste deber a su vez comunicarlo al
Departamento de Tecnologa.5
1.2.7.2. Seguridad lgica
Este tipo de seguridad se encuentra basada en las siguientes polticas de

seguridad:
Cuentas de Acceso: Cada usuario dispondr de una cuenta personalizada,

con los accesos y aplicaciones necesarias para el correcto desarrollo de
sus labores profesionales
Activacin y desactivacin de Usuarios: El departamento de Recursos
Humanos o Lder de cada rea, informara oportunamente al Departamento
de Tecnologa el ingreso de personal, entregando toda la informacin
necesaria del cargo del usuario con el fin de crear los accesos
correspondientes.
La salida de personal debe ser reportada oportunamente al Departamento
de Tecnologa por parte de Recursos Humanos o lder de cada rea con el
fin de desactivar los accesos que posee el usuario.
Para este efecto se llenar el Acta de Desvinculacin proporcionada por el
Departamento de Recursos Humanos.
Permisos en los equipos: El usuario no deber modificar ni vulnerar los
permisos asignados por EKBC & JFSV, especialmente con intencin.
En caso de que el usuario estime oportuna la extensin de sus permisos o
la instalacin de una instalacin de una aplicacin especfica para llevar a

17
cabo su labor, deber consultarlo por escrito al Gerente de su Unidad de

Negocio, para que son su autorizacin, se traslade dicho requerimiento al
Departamento de Tecnologa.
No se aprobar la instalacin de software que no cuente con su respectiva
licencia.
La instalacin de software no autorizado por el Gerente de la Unidad de
Negocio y supervisado por el Departamento de Tecnologa ser
sancionada segn lo establecido en el cdigo laboral.
Antes de introducir o descargar informacin en los equipos desde cualquier
dispositivo mvil de almacenamiento, este debe ser examinado por las
herramientas antivirus.
Confidencialidad de la Informacin: el usuario deber velar por la seguridad
y confidencialidad de la informacin contenida en sus equipos,
especialmente cuando se encuentre fuera de las dependencias de EKBC &
JFSV
Creacin de Claves de Acceso: Las Claves de Acceso sern creadas de
acuerdo a Estndares de Seguridad que se disponen en EKBC & JFSV.
o Longitud de la contrasea mnima de 8 caracteres.

o No repetir contraseas anteriores.
o Contener caracteres en mayscula y minscula.
o Contener letras, nmeros y caracteres especiales como *%&/+@-
No se debe revelar las contraseas ni hacer uso de cuentas ajenas, ni

siquiera con el permiso expreso del propietario de la cuenta.
Debe saber que su usuario y contraseas son personales e intransferibles.
Bloqueo del Equipo: Es obligacin del colaborador bloquear su equipo
cuando vaya a ausentarse de su puesto de trabajo.
Renovacin peridica de Claves Secretas: Es poltica de la Firma promover
los medios para que se renueve peridicamente la contrasea de cada
Usuario en un periodo de 90 das.
18
Uso Correcto de las Claves Personales: El uso indebido de claves

obtenidas de forma ilegal o no autorizada, ser sancionado de acuerdo a la
gravedad del efecto que dicha utilizacin cause a la Empresa.6
1.2.7.3. Revisiones de cumplimiento
Para verificar el cumplimiento de estas obligaciones, as como el correcto

funcionamiento de los equipos y el buen uso de los mismos, EKBC & JFSV, a
travs de Departamento de Tecnologa realizar inspecciones peridicas con el
objeto de examinar los siguientes aspectos:
Aplicaciones instaladas y registro del sistema operativo.

Informacin y archivos contenidos en el disco duro del equipo.
Informacin y archivos contenidos en la cuenta de correo electrnico.
Estado del antivirus.
Una vez examinado en equipos del usuario, el contenido no autorizado
ser eliminado, aplicando en su caso las medidas que correspondan por
no observar las Polticas establecidas por EKBC & JFSV se consideraran
archivos no autorizados todos aquellos que no tengan relacin con las
labores encomendadas a los colaboradores como archivos de msica,
videos fotografas, juegos y otros similares.
Estas revisiones podrn realizarse son notificacin previa y de forma aleatoria
entre todo el personal de la Compaa tantas veces como EKBC & JFSV. Estime
oportuno.7

19
1.2.7.4. Seguridad legal
EKBC & JFSVpor ser una empresa auditora, cuenta con personal que se moviliza
dentro y fuera de la ciudad, es por ello que se cuenta con las seguridades
listadas a continuacin:
Plizas de Seguro: EKBC & JFSV cuenta con una pliza de seguro tanto
para servidores como para equipos porttiles, los equipos nuevos que sean
adquiridos deben ser agregados a la pliza contratada por EKBC & JFSV.
Esta pliza permite reemplazar los equipos en caso de daos o prdidas.
Sanciones a ser ejecutadas en caso a incurrir a faltas a las polticas
establecidas por EKBC & JFSVlas mismas que establecen que:
o El incumplimiento de alguna de las normas generales de conducta

podra propiciar la ejecucin del correspondiente proceso
disciplinario establecido en el Reglamento interno de trabajo.
o EKBC & JFSV, aplicara el procedimiento formal que estime oportuno
para velar por el uso apropiado de sus recursos.
o En caso de identificar a algn usuario que incumpla alguna de las
normas anteriores, se proceder a comunicar esta circunstancia al
departamento de Tecnologa, y si llegase a apreciar mala fe o
reiteracin en sus acciones de incumplimiento, EKBC &
JFSVadoptar las medidas que legalmente la amparen para la
proteccin de sus derechos y las especificadas en el Cdigo Laboral
Ecuatoriano as como el resarcimiento de daos, de caber a lugar.8
1.2.7.5. Seguridad de informacin y respaldos
Este tipo de seguridad se encuentra basado en lo siguiente.

20
Polticas generales de seguridad:

o Diariamente el usuario auditor realizara los respaldos de informacin
conforme a la poltica de Respaldos
o Todos los accesos a los programas principales estarn protegidos
mediante un mecanismo de Usuario y contrasea como permiso de
acceso.
o Las sesiones de Windows personales estarn protegidas con
contrasea.
o Los usuarios debern abstenerse de divulgar o compartir sus datos
de acceso a los programas y sesiones de Windows.
o La contrasea de acceso al Sistema Operativo Windows tendr un
periodo de vigencia por lo que obligar automticamente al Usuario
a cambiar la misma. Esta poltica ser aplicada utilizando conceptos
de dificultad y robustez evitando vulnerabilidad.
o Todos los archivos que sean enviados por correo y que contengan
informacin sensible debern estar comprimidos con contrasea de
uso interno como medida de seguridad de informacin.
o A todos los equipos se les realizara una revisin de virus por lo
menos cada mes, que incluye la actualizacin de la base de firmas,
la bsqueda y eliminacin de virus detectados.
Polticas de respaldo de informacin.
Figura 7. MACROPROCESOS EKBC & JFSV
ELABORADO POR: Erika Betancourt, Francisco Salguero

21
1.3. LEVANTAMIENTO DE PRODUCTOS Y SERVICIOS DE LA

EMPRESA.
Dentro de EKBC & JFSV podemos identificar tres Macro Procesos internos en
base a los cuales Funciona la organizacin. (Figura 7.)Estos tres procesos
incluyen procesos ms pequeos que los vamos a ir detallando a continuacin.
Figura 8. DESCRIPCIN DE SUBPROCESOS
1.3.1. PROCESO DE ATENCIN AL CLIENTE.
El rea encargada del proceso de Atencin al cliente es el rea de Desarrollo de

Negocios, apoyada por el rea de Marketing, Apoyo Administrativo y los Gerentes
de Auditora.
Figura 9. PROCESO DE ATENCIN AL CLIENTE
Dentro de esta rea se Gestiona el manejo de la cartera de clientes y se los

categoriza de acuerdo a clasificaciones establecidas en el rea, estas
categorizaciones se han propuesto en base a montos y procedencia del cliente.
El proceso de negocio se ha diagramado en funcin de los clientes nuevos,

clientes obtenidos a travs de compras pblicas y de clientes recurrentes:
22
Desarrollo de negocios
Figura 10. GESTIN DE DESARROLLO DE NEGOCIOS 1/4.

23
Figura 11. GESTIN DE DESARROLLO DE NEGOCIOS 2/4

24
Figura 12. GESTIN DE DESARROLLO DE NEGOCIOS 3/4.

25
Figura 13. GESTIN DE DESARROLLO DE NEGOCIOS 4/4

26
Figura 14. ATENCIN A CLIENTE - CLIENTES NUEVOS
PROPUESTA Y EJECUCIN DE SERVICIOS Clientes nuevos

Directora de
Gerentes de Personal de Apoyo
Gerente General Marketing y Cliente
Auditora Administrativo
Comunicaciones
Inicio del proceso
Solicita los
servicios de la
Firma
Compila Llamada
informacin telefnica,
obtenida e-mail fax
Elabora cuadro
con informacin
relevante
Base de datos de
clientes (Excel)
Cuadro con
informacin del
potencial cliente
(Excel) (Excel)
Recibe la base de Entrega

datos con informacin a
informacin de Gerencia General
clientes potenciales para aprobacin
Analiza la
posibilidad de
efectuar el trabajo
requerido
Acepta?
si
no
Se asigna un
Proporciona
Gerente de Conocimiento del
informacin a la
Auditora al Cliente
Firma
Proyecto
Formularios F002
y F003
Prepara
presupuesto de
horas y servicios
Presupuesto de
horas y servicios BDO.PR.001-2
Fin del proceso

27
Figura 15. ATENCIN AL CLIENTE - CLIENTES COMPRAS PBLICAS
PROPUESTA Y EJECUCIN DE SERVICIOS Clientes obtenidos mediante portal de Compras Pblicas

Directora de
Asistente de Socio de Gerente de Personal de Apoyo Portal de Compras
Marketing y Gerente General Mensajero Cliente
Gerencia Auditora Auditora Administrativo Pblicas
Comunicaciones
Inicio del proceso
Revisa la
publicacin de Publica las bases
nuevos concursos Bases del del concurso en el
en el Portal de concurso en lnea Porta de Compras
Compras Pblicas Pblicas
Analiza
Comunica a
conjuntamente la
Gerencia sobre la
posibilidad de
oferta
ejecutar el trabajo
Acepta?
no
BDO.PR.001-1
si
Compila la Coordina con

documentacin Marketing y Autoriza la
requerida para ser Comunicaciones preparacin de la
incluida en la la preparacin de Propuesta de
Propuesta de la Propuesta de Serivicios
Servicios Servicios
Reciben la
Documentacin documentacin y
dan formato a la
Propuesta de
Servicios
Envan por e-mail

Recibe Propuesta
al Gerente para su
y revisa
revisin
Cambios? si
no
Entrega Propuesta
Imprimen la
va e-mail a Apoyo
Propuesta
Administrativo
Propuesta de
Servicios
Entregan propuesta
a Asistente de
Gerencia
Recibe Propuesta
Recibe Propuesta
y la entrega al
y la revisa
Socio a cargo
Cambios? si
BDO.PR.001-3
no
Firma Propuesta y Elabora carta de

entrega a Apoyo recepcin y adjunta a
Administrativo Propuesta
La Propuesta es Recibe la
entregada al Propuesta de
Mensajero Servicios
Monitorea el
proceso de Entrega la
adjudicacin de la Propuesta de
Firma carta y
licitacin Servicios y carta
devuelve copia al
de recepcin en
Mensajero
las instalaciones
del cliente
Propuesta
si no
aceptada?
Archiva carta en Entrega carta a
expediente del Apoyo
cliente Administrativo
Notifica a Notifica a
Gerencia Gerencia
Carta de entrega/
recepcin
Se asigna un
BDO.PR.002 Gerente de
Auditora al
Proyecto
Fin del proceso

28
Clientes recurrentes
Figura 16. ATENCIN AL CLIENTE- CLIENTES RECURRENTES 1/2.

29
Figura 17. ATENCIN AL CLIENTE- CLIENTES RECURRENTES 2/2

30
1.3.2. PROCESO DE GESTIN DE LAS OPERACIONES DE SERVICIO.
El Proceso de Gestin de las Operaciones de servicio es la descripcin del

proceso de auditora como tal. Este proceso tiene una relacin estrecha con los
otros dos grandes procesos ya que es alimentado por el proceso de Atencin al
Cliente y alimenta al Proceso de Cobranzas.
Las reas encargadas del proceso de Gestin de las Operaciones de servicio son
las reas de Auditora y el rea de Desarrollo de Negocios, apoyada por el rea
de Marketing, Apoyo Administrativo y los Gerentes de Auditora.
Figura 18. PROCESO DE GESTIN DE LAS OPERACIONES DE SERVICIO
A continuacin se puede observar el flujo de este proceso.

31
Gestin de auditora
Figura 19. GESTIND E LAS OPERACIONES DE SERVICIO - GESTIN DE AUDITORA1/4.

32
Figura 20. GESTIND E LAS OPERACIONES DE SERVICIO - GESTIN DE AUDITORA 2/4

33
Figura 21 GESTIND E LAS OPERACIONES DE SERVICIO - GESTIN DE AUDITORA 3/4.

34
Figura 22. GESTIN DE LAS OPERACIONES DE SERVICIO- GESTIN DE AUDITORA 4/4

35
1.3.3. PROCESO DE COBRANZAS.
Este es un proceso realizado por el rea de Contralora, Apoyo Administrativo y

el Gerente General.
EL rea de Contralora al revisar el contrato y las condiciones del mismo, acorde

al avance de la Auditora se realizan los cobros.
Este proceso se encuentra descrito y explicado posteriormente.
Figura 23. PROCESO DE COBRANZAS

36
COBRANZAS
Figura 24. FACTURACIN DE CLIENTES - COBRANZAS1/2.

37
Figura 25. FACTURACIN DE CLIENTES - COBRANZAS 2/2

38
1.4. DESCRIPCIN DE LOS PROCESOS DE LA EMPRESA.
1.4.1. DESCRIPCIN DEL PROCESO DE ATENCIN AL CLIENTE.
El rea de Desarrollo de Negocios es la encargado de establecer la relacin con

el cliente en la fase previa y posterior a la Auditora y por ende la retencin de la
cartera de clientes, para ello mantiene una estrecha relacin con los mismos
ofrecindoles trato personalizado y mantenindolos al da con informacin
relevante.
El proceso de Desarrollo de negocios inicia con las cotizaciones o la preparacin

de propuestas tanto para empresas pblicas como para empresas privadas. En el
desarrollo de las propuestas interviene el personal del rea, los Gerentes y Socios
ya que ellos son los que conocen las fechas y los tiempos previstos para le
entrega de dichas propuestas.
En esta rea es en donde se inicia el servicio de la firma Auditora. Como se

mencionaba anteriormente el manejo del cliente es responsabilidad tanto del
Gerente y Socio del compromiso, as como del rea de Desarrollo de Negocios ya
que se debe manejar una buena relacin con el Cliente para establecer las
clusulas del contrato de auditora.
En este punto se prepara una estrategia de Auditora en funcin de las horas

pactadas, se establece el alcance y se asigna el nmero de personas que van a
cubrir el proceso de Auditora en la Empresa Cliente, de igual forma se establecen
las condiciones de la cobertura de gastos incurridos en el cumplimiento del trabajo
solicitado.
Es esencial que en la negociacin se establezca un Costo- Beneficio tanto para la

firma como para la Empresa Cliente, enfocndose en los tiempos de la Auditora
como una meta real dependiendo de la naturaleza del negocio, los recursos
39
humanos e informticos que se vayan a emplear para lograr cumplir a cabalidad

el trabajo.
Es importante mencionar que el rea de Desarrollo de Negocios cuenta con una
cartera de clientes definida, para ello la firma ha establecido una categorizacin
de clientes en la que se va ubicando tanto a clientes nuevos como recurrentes en
funcin de las horas necesarias para el cumplimiento de la Auditora.
1.4.2. DESCRIPCINDEL PROCESO DE OPERACIONES DE SERVICIO.
El proceso de operaciones detallado como el servicio principal de EKBC & JFSV

tiene sujetos los procesos de Desarrollo de Negocios y Facturacin los cuales son
indispensables para dar continuidad al negocio. El proceso en si inicia con el
contrato realizado con el Cliente, el cual debe estar respaldado y protegido ante
cualquier amenaza para tener claras las condiciones de cumplimiento
establecidos en los acuerdos para dicho contrato.
Es importante recalcar que toda la informacin que se adquiera del cliente debe
conservar las caractersticas de: integridad, disponibilidad, confiabilidad, y
confidencialidad lo que nos obliga a proteger esta informacin de manera que
conserve las propiedades antes mencionadas. De este modo se puede confiar en
la veracidad de la informacin almacenada y la disponibilidad de la misma.
El proceso para la obtencin de productos finales para el cliente, por el servicio de

auditora, se enfoca en anlisis de informacin y pruebas de los procedimientos
establecidos en la empresa Cliente. Los productos obtenidos as como la
documentacin de respaldo realizada por los auditores deben ser salvaguardados
y preservados de manera que no se presente ningn inconveniente al momento
de generarse una catstrofe, perdiendo la fuente principal de dicho trabajo el cual
sera el computador del auditor o en su defecto los computadores de socios,
apoyo administrativo, etc.
Por ende la informacin almacenada en el computador del Auditor es considerada

como el activo ms relevante para continuar con la continuidad del proceso
40
operativo; mientras se tenga la comunicacin directa con la empresa Cliente y los

datos actualizados de la misma, se proporcionar una gua para tener claro el
trabajo que se realiz o se est realizando en dicha empresa, dando as
cumplimiento con el servicio prestado y se podr culminar las actividades de
auditora independientemente de catstrofes presentadas. Ya que en caso de no
cumplir con el contrato estipulado se tiene el riesgo de daar la imagen con el
Cliente al que se le est dando el servicio y a su vez generar un desprestigio a
nivel global de la empresa, ocasionando la prdida de gran parte de la Cartera de
Clientes.
Para evitar que se produzcan prdidas totales de modo que se pueda seguir con
el negocio y se siga prestando el servicio de auditora es necesario especificar
factores y herramientas que ayuden a implementar una correcta gestin de los
recursos tecnolgicos para otorgar continuidad del servicio y en caso de
producirse alguna catstrofe esta sea totalmente transparente al cliente final.
Teniendo en cuenta que el aspecto principal a cumplir en cuanto al servicio de

auditora es cumplir a cabalidad el contrato ya establecido, teniendo un enfoque
global, utilizando metodologas propias y adicionando parmetros que permiten
diferenciar a EKBC & JFSVde otras firmas auditoras.
Para el cumplimiento de este objetivo se debe cuidar la imagen de la Firma y

sobre todo al Cliente, es decir su informacin y los anlisis que se hacen sobre la
misma; por lo que la prdida de informacin se convierte en un factor crtico el
cual puede ser controlado con la implantacin de un Plan estratgico de
Continuidad del Negocio.
El plan de continuidad del negocio para proteger propiamente al negocio debe

abarcar los procesos que lo alimentan al mismo, es decir, se debe cuidar la
imagen, la manera de vender el servicio, los recursos tanto humano como
tecnolgico y por su puesto el presupuesto asignado por el cliente para cubrir los
gastos de la auditora; todos estos procesos deben ser claros y permitir
41
enriquecer y facilitar la auditora para poder hacer que el negocio contine y en

adicin a eso crezca.
Es importante conocer que hay varios factores que hacen que el proceso de
auditora no pueda cumplirse lo cual se convierte en amenaza para el prestigio de
la empresa y pondra poner en riesgo su posicin en el mercado.
Es primordial determinar los riesgos que tiene la empresa como tal, para seguir
manteniendo su posicin en el mercado, seguir creciendo y ascendiendo en el
Ranking, podemos categorizar los tipos de riesgos o amenazas presentes para
enlistarlas como prioridad; como ya se mencion anteriormente lo ms crtico es
respaldar la informacin.
El negocio depende plenamente del proceso de auditora como servicio, del cual
los entregables finales son el informe detallado donde se presentan los trabajos
realizados: revisin, anlisis de los documentos, anlisis de riesgos existentes
para los estados financieros; las conclusiones y recomendaciones para que la alta
gerencia tome decisiones para mejorar su situacin actual, y la opinin de la
Firma sobre los estados financieros de la Empresa Cliente.
1.4.3. DESCRIPCIN DEL PROCESO DE COBRANZAS
El proceso de contralora est involucrado en la creacin de un cdigo de cliente y

cobro por los servicios de auditora prestados por EKBC & JFSV a sus clientes. A
pesar de ser un proceso bsico en su complejidad es uno de los procesos crticos
para el funcionamiento de la empresa, puesto que son ineludibles los ingresos
netos de acuerdo al trabajo realizado para que la empresa invierta en los insumos
necesarios para la prestacin se los servicios de Auditora a la Cartera de clientes
adquirida para la Temporada de Auditora.
El proceso inicia con el ingreso del Cliente, el registro de horas propuestas en el

contrato, las mismas que estn basadas en el anlisis realizado por el proceso de
Desarrollo de Negocios, las condiciones del contrato, las fechas de ingreso y
42
aceptacin de contrato, as como los dems parmetros de la Auditora. Esta

informacin es ingresada al sistema por el asistente contable. Este procedimiento
se lo realiza para tener un registro en el cual se rigen para la emisin de facturas
de acuerdo a las fechas estipuladas en el contrato.
Los costos incurridos por el personal que realizo la auditora son registrados
sumarizados, en funcin a dichos gastos, el presupuesto estipulado en el contrato
y las condiciones del mismo se procede a realizar la factura correspondiente; Los
gastos y horas son tomadas de los reportes de tiempo emitidos por cada
colaborador acorde a las asignaciones realizadas por los gerentes de Auditora.
Cada reporte de facturas tiene que estar acorde con el presupuesto y debe contar
con las firmas correspondientes de los gerentes o en su defecto el socio a cargo
de la auditora realizada al cliente.
1.4.4. DESCRIPCIN DEL PROCESO DE APOYO ADMINISTRATIVO.
Como su nombre lo indica este proceso es un proceso de apoyo en proceso de

Auditora. Este proceso se basa netamente en la elaboracin de productos finales
que se van presentando la culminar la Auditora, es decir, se encargan de plasmar
la documentacin de la auditora en esquemas y plantillas en las que son
basados los informes presentados a Gerencia General del cliente final o en su
defecto a las entidades reguladoras.
1.5. DESCRIPCIN DEL PROBLEMA Y NECESIDADES DE

CONTINUIDAD.
1.5.1. DESCRIPCIN DEL PROBLEMA
EKBC & JFSVes una firma auditora que prestas sus servicios a entidades
pblicas y privadas que se encuentran sujetas a revisiones de control de sus
estados financieros; por lo que al tratarse de un negocio en el cual la custodia de
la informacin de los clientes obtenida en la Auditora es vital, ya que no puede
43
ser perdida, o modificada por terceros, es aqu donde radica el problema

considerando la infraestructura que posee la empresa actualmente.
EKBC & JFSVcuenta con un Centro de Datos ubicado en la ciudad de Quito en

donde se encuentran alojados los servidores, actualmente no se cuenta con una
contingencia tecnolgica que permita continuar con la operacin normal de los
servicios y permita obtener la informacin almacenada en los servidores de
archivos en caso de ocurrencia de incidentes o catstrofes que inhabiliten el uso
del actual Centro de Datos.
1.5.2. NECESIDAD DE CONTINUIDAD
EKBC & JFSVtiene la necesidad de continuar con sus labores aun presentndose
alguna catstrofe teniendo en cuenta que la imagen que presta como firma
Auditora debe mantenerse y esta se perdera si las actividades se suspenden con
algn evento desafortunado que ocurra a las oficinas considerando que es el
lugar donde radican los servidores donde es almacenada la informacin de los
clientes, y si la informacin se pierde se corre el riesgo de tambin perder no solo
los clientes con los que actualmente se cuenta, sino tambin la oportunidad de
adquirir nuevos clientes en un tiempo razonable.
Como todo negocio EKBC & JFSVaun en medio de una catstrofe debe reanudar
sus actividades lo antes posible y es ah donde entra el Plan de Continuidad del
Negocio, determinando los procedimientos claves para seguir brindando los
servicios a las empresas que depositaron su confianza en la Firma para realizar la
correspondiente Auditora.
44
CAPITULO 2.
PROPUESTA DEL PLAN DE CONTINUIDAD
En este captulo se describir propiamente la propuesta del plan de continuidad

del negocio, analizando el impacto del dao que pueden causar los puntos
mencionados en la matriz de riesgos que se detallar enfatizando el grado de
afectacin mediante un valor determinado por la multiplicacin de los valores de
severidad y de vulnerabilidad de cada uno de ellos.
Se detallar el plan describiendo los planes para salvaguardar el negocio como tal
de dichos riesgos; el plan completo se conformar de todos los proyectos/planes
pequeos que se enfocan en cubrir cada rea relevante del negocio, enunciando
proveedores que pueden facilitar cumplir con los objetivos del plan de continuidad
de negocio. En la Figura 26. Se muestra los procesos a seguir durante el
desarrollo de la propuesta del Plan de Continuidad del Negocio.
Figura 26. DIAGRAMA DEL DESARROLLO DEL PLAN DE CONTINUIDAD
Plan de Continuidad del Negocio
Inicio
Anlisis
Anlisis de Riesgo y
Vulnerabilidades Anlisis del Impacto Plan de
continuidad
Fin
2.1. LIDERAZGO
El plan de continuidad de negocios se encuentra liderado por el Gerente General

de EKBC & JFSV, ypor el Gerente de Tecnologa.
Actualmente EKBC & JFSVcuenta con brigadas en el caso de tener que evacuar
el edificio, estas brigadas se encuentran capacitadas en cmo proceder en caso
45
de enfrentar algn desastre natural o un conato de incendio. Las brigadas entran

en accin al momento de presentarse alguno de estos incidentes, o al ser
prevenidos por las alarmas sonoras que se encuentran ubicadas en cada uno de
los pisos del Edificio Londres.
Actualmente EKBC & JFSV no ha establecido un Comit de Riesgos ni ha

designado el personal que conformar el mismo. Este comit ser el encargado
de gestionar las acciones a tomarse en caso de enfrentarse a alguno de los
percances o riesgos inminentes a los que se puede enfrentar la empresa.
De igual forma el comit de riesgos ser el encargado de coordinar con el

departamento de Recursos Humanos la forma de comunicacin y difusin del plan
segn lo establece la norma (ver seccin 2.7).
2.2. POLTICA DE CONTINUIDAD DEL NEGOCIO.
El objetivo clave de realizar el plan de continuidad de negocio, es de seguir con

las actividades programadas sin interrupcin de cualquier ndole o en su defecto
que exista un mnimo tiempo de recuperacin de tal manera que no afecte a gran
escala, esto es realizar planes y preparativos para enfrentar el incidente que se
suscite y que atente contra las actividades normales de la empresa.
2.2.1. OBJETIVO
La premisa de crear la poltica de continuidad del negocio tiene como finalidad la

proteccin y seguridad tanto de los activos de la empresa como de los recursos
humanos.
2.2.2. RESPALDO DE INFORMACIN
Los colaboradores de la empresa, deben realizar los respaldos de informacin de

manera ser frecuentes, sea de manera automtica o manual. Esto se definir por
reas, o en su defecto con soporte del personal tecnolgico.
46
2.2.3. ROLES Y RESPONSABILIDADES
Las tareas por cada accin de recuperacin debern estar segregadas asignando
los roles correspondientes al personal idneo para cumplir con las
responsabilidades del cargo a l/ella impuestos para salvaguardar sea un activo o
el recurso humano.
Cada rol debe tener relacin con su capacidad de respuesta ante el evento y/o
incidente y de acuerdo a los conocimientos que pueda tener respecto a una
respuesta ante las situaciones de emergencia.
2.2.4. PRUEBAS
Se debe probar continuamente el plan de continuidad de negocio, dejando

documentado sea en actas o bitcoras con los resultados obtenidos de dichas
pruebas.
Se debe probar el plan de manera integral, para poder definir tareas, situaciones,
caractersticas, sub planes que ayuden a mejorar el plan en funcin de los
resultados obtenidos anteriormente y as poder cubrir todas las brechas
correspondientes.
2.2.5. CONSIDERACIONES GENERALES
La poltica como tal es creada para que los colaboradores se sientan

comprometidos a ser parte del mejoramiento continuo y de la continuidad como tal
del negocio, siendo que los mismos conforman la empresa. La poltica sustenta
principios que deben basarse en el entendimiento de los riesgos que
inherentemente posee un negocio y dar a conocer los lineamientos a seguir para
salvaguardar las vidas y continuar con las operaciones regularmente.
47
a) Cada nuevo colaborador de la empresa debe tener conocimiento

respecto a los planes de desastres y continuidad del negocio.
b) Existir un rea de control para poder tener mejoramientos continuos
(actualizaciones a la poltica)
c) Se consideraran las pruebas frecuentes para medir el nivel de madurez
de conocimiento de los planes en casos de emergencia.
d) Existirn personas elegidas para cumplir ciertas funciones en caso de
una emergencia de nivel geolgico.
e) Se capacitar al personal en funcin de las laboreas a desempear una
vez que se pueda suscitar alguna emergencia.
2.3. ANLISIS DE RIESGO Y VULNERABILIDADES.
En las Figuras 27 y 28 se describen los procesos a seguir para realizar el anlisis

de Riesgos y Vulnerabilidades, y como se van a obtener las fuentes de riesgo.
Figura 27. ANLISIS DE RIESGO Y VULNERABILIDADES
Anlisis de Riesgo y Vulnerabilidades

Determinacin
Inicio Fuentes de
Riesgo
Anlisis
Anlisis de
Fuentes y
Planes
acciones
Planes y
Planes de Planes de
mantenimiento contingencia
Fin
2.3.1. IDENTIFICACIN DE RIESGOS

Al analizar los riesgos es importante cuantificar las medidas de impacto de los
parmetros cualitativos de dichos riesgos por lo que para calcular la incidencia o
gravedad de los riesgos, se puede tener varias escalas dependiendo el tipo de
uso que se le puede dar, por lo general es recomendable usar escalas simples
que permitan a cualquier persona independientemente de su cultura profesional
entender el clculo para determinar la severidad de los riesgos encontrados
48
tendremos 2 escalas que usaremos para valorar el riesgo las mismas que se
encuentran en la Tabla 1:
Figura 28. DIAGRAMA DE FUENTES DE RIESGO.
Fuentes de Riesgos
Inicio
Anlisis
Anlisis Foda y
Pestel
Acciones
Listado de Determinacin de
Riesgos Determinacin Identificacin de Vulnerabilidades en funcin Fin
Potenciales de Impacto vulnerabilidades de los riesgos
En esta escala de severidad de Riesgo en la que se lo califica acorde la

probabilidad de ocurrencia de un incidente y adicionalmente acorde al impacto o
severidad del mismo.
Tabla 1. ESCALA DE SEVERIDAD DE RIESGO
Probabilidad de ocurrencia Valor Impacto (I) Valor

(P) referencial referencial
Improbable 1 Muy bajo 2
Poco probable 2 Bajo 4
Posible 3 Medio 6
Probable 4 Alto 8
Altamente probable 5 Muy Alto 10
Para evaluar el riesgo (R) vamos a utilizar la frmula R = P * I, el valor obtenido en

este clculo comparado con la siguiente tabla (Tabla 2.) nos dar la calificacin
del riesgo Identificado.
Tabla 2. CALIFICACIN DEL RIESGO
Riesgo Valor referencial

Muy Alto 40-50
Alto 30-39
Medio 20-29
Bajo 10-19
Muy bajo 0-9
49
2.3.1.1. Anlisis FODA.
Tabla 3. ANLISIS FODA
Lista de Fortalezas Lista de Oportunidades

- Cumplimiento de contratos en - Nuevos Clientes de gran
los tiempos designados ingreso econmico
- Personal dedicado, responsable - Ingresar al mercado de
y trabajador Auditora Informtica
- Poseer herramientas que
facilitan la documentacin del
trabajo en campo de los
auditores.
- Trabajo orientado a resultados
- Productos finales entregados en
tiempos especificados.
- Precios cmodos
- Personal con conocimientos en
varios mbitos (Core de negocio)
- Capacitaciones del personal
- Revisin tecnolgica de
procesos automticos
Lista de Debilidades Lista de Amenazas
- Rotacin del personal - Firmas competidoras oferten
mejores servicios
- La firma cuenta con recurso - Firmas competidoras contraten
humano que an est personal que sale de EKBC &
estudiando la universidad JFSV
- Ubicacin de las oficinas - Poco tiempo para realizar los
principales no adecuada. papeles de trabajo.
- Ambiente laboral - Clientes con recurso humano
complicado en su forma de
trato con los auditores.
- Dispositivos tecnolgicos - Auditar Clientes de Alto Riesgo
obsoletos
- Poco personal del rea
Informtica
- Polticas de respaldos de
informacin no aplicadas
- Snior repartidos en ms de 1
cliente por falta de personal
50
2.3.1.2. Anlisis PESTEL.
Polticos
Inestabilidad poltica en el pas (Riesgo Pas)
Reformas para el manejo de Empresas de Capital extranjero en el Pas.
Econmicos
Inestabilidad del cambio de polticas de impuestos y aranceles.
El costo del cambio de las NEC a las Normas Internacionales de
Informacin Financiera.
Alta competencia en el mercado.
Sociales
No cumplir con brindar beneficios sociales en la comunidad. (polticas
establecidas en el plan estratgico)
Tecnolgicos
Fallos de Energa.
Fallos de RED.
Ataques a los Sistemas Computacionales.,
Fallas de Energa.
Ecolgicos o Ambientales
Incendios.
Terremotos.
Erupciones Volcnicas
Legales
Dar un Dictamen errneo en una auditora
o Ejecucin de pruebas errneas
o Extorsin
51
o Soborno.
o Prdida de Independencia.
2.3.1.3. Matriz de riesgos
Tabla 4. MATRIZ DE RIESGOS
TIPO DE AMENAZA AMENAZA VULNERABILIDAD RIESGO IMPACTO
Lneas de comunicacin no protegidas

Arquitectura de Red Insegura
Conexiones de Red pblica sin proteccin
Transferencia de contraseas no autorizadas
Informacin
Trfico sensible sin proteccin Difusin de
empresarial poco
Crimen Informtico informacin
No existen controles para asegurar la confidencialidad e y/o nada
confidencial.
Integridad de la Informacin protegida.
No contar con un rea de Seguridad Informtica
Polticas de Seguridad Inadecuadas o no difundidas
Falta de controles de Autenticacin para el acceso a los
AMENZAS Sistemas de Informacin
PROVOCADAS POR
LA MANO DEL Ausencia de cmaras de vigilancia en los diferentes El funcionamiento
Departamentos de la empresa Falta de control
HOMBRE del equipo podra
Terrorismo/Vandalismo de seguridad
Falta de vigilancia permanente por todos los diferentes interna verse gravemente
Departamentos de la empresa comprometido
Procedimientos inadecuados de contratacin
Falta de una continua Capacitacin al personal con respecto a la Personal
Personal y Usuarios Ejecucin de
Seguridad Informtica rotativo.
Internos (Descontento, Operaciones ficticias
Colaboradores
Negligencia, Falta de concientizacin con respecto a la Seguridad o fraudulentas en los
Informtica con falta de
Deshonestidad, Sistemas de
experiencia y/o
Cesados, etc.) Trabajo no supervisado de personal externo o limpieza informacin.
deshonestos
Falta de Mecanismos de monitorizacin.
Alta rotacin del No existen controles para asegurar la confidencialidad e Falta de control Prdida de la
personal Integridad de la Informacin en la continuidad continuidad de las
51
Falta de Gestin de Conocimiento ante la ausencia de un de las actividades operaciones del rea
empleado del cargo del de centro de Datos
Falta de dispositivos de vigilancia como cmaras para detectar personal que
cualquier evento inusual rota.
Falta de capacitacin sobre valores y tica profesional.
Gestin deficiente de Contraseas
Habilitacin de Servicios innecesarios
Registro de
Incorrecta Falta de control eficaz del cambio Personal con
Transacciones no
Administracin del No existe documentados los Servicios que presta la Red a los accesos no
permitidas o
Sistema Informtico y Usuarios autorizados a
fraudulentas en los
de los Derechos de informacin
sistemas de
Acceso Mejoramiento de las polticas que regulen el Uso de los clasificada.
Sistemas Informticos de acuerdo al perfil de Usuario. informacin
Configuracin de Seguridad inadecuada en los Sistemas de
Informacin
Falta de controles de acceso y seguridades implantadas en la Interrupcin en los
edificacin Perdida de servicios internos y
Robo
informacin externos prestados
Ausencia de Control permanente a los activos de informacin por la empresa
No haber establecido polticas de reemplazo de piezas sensibles

en el funcionamiento de los dispositivos electrnicos. Suspensin temporal
No se realiza pruebas peridicas tanto de Hardware como o definitiva de los
Software antes de su uso o puesta en produccin. Poca/Nula equipos de
Falla de Componentes
funcionalidad de computacin o
electrnicos Controles de cambios de configuracin deficientes.
las herramientas. comunicaciones con
No se han identificado componentes crticos de los dispositivos. los que dispone la
AMENAZAS empresa.
TCNICAS No contar con personal calificado para la operacin de los
equipos con los que cuenta la empresa
No se cuenta con un procedimiento en el que se indique la Prdida de los
Falla en el Servicio de forma de proceder en caso de fallos de internet
Baja servicios en lnea y
Proveedores (Internet,
No se cuenta con un enlace de back up para continuar con la productividad las comunicaciones
etc.)
continuidad de operaciones con el exterior.
Mala implementacin Implementacin de controles deficientes. Poco control Prdida de
52
de controles o Implementacin de controles que no se encuentran acordes a la sobre la informacin o daos
incumplimiento de los realidad del negocio. seguridad. en los equipos de
mismos Usuario Final.
No se han monitoreado o no se ha evaluado el cumplimiento de
los controles de seguridad.
Configuracin incorrecta de Parmetros Afectacin de los
servicios prestados.
Cambios de configuracin no documentados. Se podra
Falta de Auditora de Software (Servidores, Equipos, etc.) comprometer la
Falta/Falla de Software Baja disponibilidad,
Empresarial (Antivirus, Deficiencia en los procedimientos de respaldo peridico de funcionalidad de integridad y
Gestor de Base de Informacin. las herramientas confidencialidad de
Datos, etc.) disponibles la informacin
almacenada tanto en
Uso de software desactualizado o ilegal servidores como en
equipos de Usuario
Final.
Supresin de las pistas de Auditora de Hardware (Servidores,
El funcionamiento
Equipos, etc.)
del equipo podra ser
Falta de implementacin de esquemas de reemplazo de Retraso en las gravemente
Falla/Mal equipos. tareas de los afectado, al igual
Funcionamiento de los Sensibilidad a radiacin electromagntica colaboradores que se vera
Equipos con equipos interrumpido el
Susceptibilidad ante variaciones de tensin
defectuosos servicio de respaldos
Susceptibilidad ante variaciones de temperatura diarios que se
ejecuten.
Falta de capacitacin del Uso de los equipos a los usuarios
Gestin inadecuada de la Red (Capacidad de recuperacin de
enrutamiento)
Falta de polticas de uso de recursos de red como el buen uso Fallos en la
de internet. Fallasen la comunicacin tanto
Deficiente diseo de la Red correcta en la red interna
Saturacin de la red funcionalidad de como la salida a
Falta de monitorizacin de trfico de la red la red internet por parte de
Lneas de comunicacin sin proteccin empresarial. los funcionarios de la
empresa
Conexin deficiente de cables
Punto de red con fallas
53
Puntos de acceso a la red sin proteccin y vulnerables a
ataques informticos
No se ha elaborado un Plan de Contingencias

Falta del procedimiento formal para el registro y bloqueo o
eliminacin de Usuarios
Daos en equipos
Inexistencia de Planes Inexistencia de procedimientos de revisin de los derechos de Baja gestin y
de procesamiento de
Polticas y acceso otorgados a los Usuarios. poco control
datos y de
Procedimientos Falta de procedimientos de monitoreo de los recursos de sobre el
informacin as
organizacionales y de cumplimiento de
procesamiento y almacenamiento de informacin como la prdida de
administracin de las polticas
Falta de auditoras regulares la informacin
Usuarios y Proyectos. internas.
almacenada.
Inexistencia de polticas que exijan la documentacin de
cambios de configuracin en los sistemas y recursos existentes.
Inexistencia de Estndares para la Documentacin
AMENAZAS Incumplimiento de las polticas de seguridad informtica
ORGANIZACIONALES Daos en equipos
Falta o Insuficiente Falta de asignacin adecuada de responsabilidades en la de procesamiento de
Gestin de la seguridad de la informacin Bajo control
datos y de
Seguridad de la Falta de registros en las bitcoras tanto de administradores sobre normas
informacin as
Informacin operativas
como de operarios como la prdida de
(Monitorear, empresariales,
Falta de responsabilidades en la seguridad de la informacin la informacin
Procedimientos, etc.)
almacenada.
Falta de mecanismos de Monitoreo
Incurrir en
Falta de licencias de
Baja problemas legales
Software Propietario o Falta de procedimientos para el cumplimiento de las
funcionalidad de con entidades de
violaciones de derecho disposiciones con respecto a los derechos intelectuales
las aplicaciones. control por la falta de
de autor
licenciamiento
ELABORADO POR: Erika Betancourt, Francisco Salguero/ Basada en la norma ISO: IEC 27001
54
55
2.4. ANALISIS DE IMPACTO DEL NEGOCIO.
En funcin de los riesgos identificados se debe analizar el impacto que generar

en el negocio para realizar una propuesta para disminucin de la afectacin a la
continuidad y los servicios que presta la empresa no se vean afectados por largo
tiempo y las actividades de los colaboradores no se interrumpan.
2.4.1. DESCRIPCIN DEL IMPACTO
En funcin de los riesgos identificados se debe analizar el impacto que generar

en el negocio para realizar una propuesta para disminucin de la afectacin a la
continuidad y los servicios que presta la empresa no se vean afectados por largo
tiempo y las actividades de los colaboradores no se interrumpan.
El BIA (Bussiness Impact Analysis) debe definir los riesgos y tiempos de

recuperacin al menos de proceso o procesos principales identificando y
clasificando el nivel de costo y riesgo que representa una recuperacin en funcin
a los desastres.
Es importante tener en cuenta las actividades a las que se remite la empresa y

sus procesos dando valoraciones o cuantificando la prioridad de dichas
actividades para considerar el impacto al ser daadas o en ltima instancia
completamente prdidas.
Una vez que se han identificado todas las amenazas con la frmula de clculo de
Riesgo mostrada en la seccin 2.1.1 vamos a identificar las amenazas con mayor
valoracin como se muestra en la Tabla 5. Las amenazas con riesgo Medio, Alto y
Muy alto van a ser consideradas para nuestro anlisis de riesgos.
Tabla 5. VALORACIN DEL RIESGO
Probabilidad de Valoracin del

Amenazas Valoracin Impacto Valoracin Riesgo
ocurrencia Riesgo
Riesgo Operacional Altamente probable 5 Muy Alto 10 Muy Alto 50
Terremoto Probable 4 Muy Alto 10 Muy alto 40
Incendio Posible 3 Alto 10 Alto 30
Robo Posible 3 Alto 8 Medio 24
Falla de energa Posible 3 Alto 8 Medio 24
Falla de Red Probable 4 Medio 6 Medio 24
Ataques al sistema de informacin computacional Posible 3 Alto 8 Medio 24
Erupcin de volcn Poco Probable 2 Muy Alto 10 Medio 20
Daos Ocasionados por personal interno Posible 3 Medio 6 Bajo 18
Competencia en el Mercado Probable 4 Bajo 4 Bajo 16
Dictamen errneo en Auditora Poco Probable 2 Alto 8 Bajo 16
Alta rotacin de personal Probable 4 Bajo 4 Bajo 16
Saturacin en red Probable 4 Bajo 4 Bajo 16
Falta o insuficiente Gestin de la Seguridad de la
Poco probable 2 Alto 8 Bajo 16
Informacin
Inestabilidad poltica Posible 3 Bajo 4 Bajo 12
Reformas Empresariales Posible 3 Bajo 4 Bajo 12
Cambios en polticas arancelarias Poco Probable 2 Medio 6 Bajo 12
Terrorismo / Vandalismo Poco probable 2 Medio 6 Bajo 12
Errores en la administracin de derechos de
Poco probable 2 Medio 6 Bajo 12
acceso de los Sistemas Informticos
56
Falla en el Servicio de Proveedores Poco probable 2 Medio 6 Bajo 12
Inexistencia de Documentacin de control (Planes
polticas y procedimientos de Administracin de Poco probable 2 Medio 6 Bajo 12
Usuarios y proyectos)
Falta de licencias de Software propietario o
Poco probable 2 Medio 6 Bajo 12
violaciones de derecho de autor
Incumplimiento de Beneficios Sociales Poco Probable 2 Bajo 4 Muy bajo 8
Crimen Informtico Improbable 1 Alto 8 Bajo 8
Falta de componentes electrnicos Poco probable 2 Bajo 4 Muy bajo 8
Mala implementacin de controles e
Poco probable 2 Bajo 4 Muy bajo 8
incumplimiento de los mismos
Falla de Software Empresarial Poco probable 2 Bajo 4 Muy bajo 8
Mal funcionamiento de los equipos Poco probable 2 Bajo 4 Muy bajo 8
Costo del cambio de NEC a NIIF Improbable 1 Medio 6 Bajo 6
57
58
Una vez que se han determinado los riesgos es necesario establecer una
descripcin los escenarios, afectacin, etc., categorizando de manera ms amplia
los riesgos y dando caractersticas esenciales para tener una visin ms clara de
lo que se puede enfrentar la empresa.
De las Tablas 7 a la 14 se muestran la probabilidad, el impacto, el escenario, la

afectacin, la accin y los responsables.
Tabla 6. ESCENARIO - INCENDIO
Riesgo Incendio
Probabilidad Posible
Impacto Alto
Escenario
Un incendio puede provocar la devastacin total de la
oficina perdiendo no solo los equipos computacionales
sino las vidas que en ese momento estn presentes,
considerando que las alfombras son de grado
combustible.
Hay que tener en cuenta que los toma corrientes estn
cerca de la alfombra lo cual hara ms fcil la propagacin
del fuego a las reas por donde las misma cruza.
Afectacin
El grado de afectacin es severo al tener prdidas
humanas que es el recurso ms valioso de la organizacin
y en adicin los equipos que ofrecen el servicio para
cumplir las labores diarias (Data Center).
Accin
Implementar extintores de espuma para inhibir la
combustin de las alfombras y en el Data center al menos
tener un extintor de anhdrido carbnico los cuales
contrarrestan la combustin de las alfombras y protegen
los equipos electrnicos.
Responsable
Brigadista
59
Tabla 7. ESCENARIO - TERREMOTO
Riesgo Terremoto
Probabilidad Probable
Impacto Muy Alto
Escenario
Un terremoto puede provocar la destruccin total no solo de
la oficina sino del edificio; dependiendo de la magnitud puede
destruir apenas solo parte de la oficina o completamente el
edificio.
Afectacin
Dependiendo el grado de magnitud del terremoto puede
causar que se cuarteen o caigan las paredes con bajo nivel
de destruccin (recuperable sin incidencia catastrfica) o
puede ser una destruccin completa de las oficinas
residentes.
Accin
Independientemente del grado o magnitud del terremoto la
accin por parte del brigadista encargado es de ayudar a
otros a evacuar el edificio evitando primordialmente prdidas
humanas y de ser posible los equipos de computacin
(anteponer la vida antes que los equipos).
Responsable
Brigadista
60
Tabla 8. ESCENARIO - FALLA DE ENERGA
Riesgo Fallas de energa

Impacto Alto
Escenario
El edificio puede presentar fallas elctricas por lo general por
una tormenta elctrica lo cual puede producir un cortocircuito
que origine 2 escenarios:
1.- Apagn total de energa
2.- Incendio.
Afectacin
La afectacin puede ser Leve o Severa dependiendo del
escenario, en el caso del Apagn puede quedar solamente en
la discontinuidad de los servicios, por otro lado tambin
pueden quemarse los equipos no solo los UPS sino los
servidores en s.
En caso de que se produzca in incendio la afectacin se
vuelve ms severa y caeramos en el caso de riesgo por
incendio
Accin
Implementar UPS especiales que soporten grandes cargas
de energa de modo que no se produzca un apagn de los
servidores y estos no resulten afectados; en adicin tener en
cuenta la accin del riesgo de incendio.
Responsable
Departamento de Tecnologa
61
Tabla 9. ESCENARIO - ROBO
Riesgo Robo
Impacto Alto
Escenario
Existen 2 escenarios:
Robo interno: robo de equipos que se produzca dentro de las
instalaciones por lo general en horas que la oficina est
prcticamente vaca.
Robo externo: robo de equipos al personal mientras estn
fuera de las instalaciones de la empresa.
Afectacin
El robo de equipos a los miembros de la empresa, por lo
general los auditores considerando el hecho que son los que
ms movilizan equipos computacionales, en este caso la
afectacin recae severamente por la informacin de el/los
clientes que posee el auditor en el computador a su cargo.
Accin
En el caso de robo interno, se debe tener alarmas a ms de
las cmaras de seguridad y tener cuidado con el ingreso de
personal ajeno a la empresa para estar pendientes que se
trate de un agente de confianza.
En el caso de robo externo, es importante que los auditores
consideren el hecho de ir en taxis con los que tiene convenio
la compaa al movilizarse con equipos computacionales.
Responsable
Todo el personal
62
Tabla 10. ESCENARIO - FALLO DE RED
Riesgo Falla de red

Impacto Medio
Escenario
Existen varios tipos de causas por las cuales puede
suscitarse fallas en la red de comunicaciones, como son:
1.- Cruce entre hilos (mala conexin)
2.- Rupturas de los cables
3.- Exceso de ruido y/o esttica
Afectacin
El efecto que causa las fallas en la red es netamente con
los sistemas de informacin, ya que si los servidores
estn haciendo rutinas automticas de respaldos o incluso
el personal est haciendo sus respaldos propios puede
generar conflicto o fallas al generar la informacin
respaldada, adems de errores en la comunicacin.
Accin
Proteger y resguardar el Data center, cambiando los
cables peridicamente y haciendo mantenimiento de los
equipos para que reducir el impacto al suscitarse dicho
problema.
Responsable
Departamento de tecnologa
63
Tabla 11. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIN COMPUTACIONAL
Riesgo
Ataques al sistema de informacin computacional
Impacto Alto
Escenario
Al contar con informacin crtica de los clientes es necesario
que la resguardemos de manera confidencial, aunque los
piratas informticos contratados por otras empresas atacaran
la red organizacional para obtener dicha informacin.
Afectacin
Al tener plagio de informacin propia de la empresa o
informacin de otras organizaciones a las cuales se les ha
realizado la auditora ponemos en riesgo no solo a dichas
organizaciones sino a la Empresa como tal por el factor de
desconfianza que generara dicho plagio lo que terminara en
prdida de clientes.
Accin
Implementar IDS u otros sistemas para prevenir y detectar
ataques de piratas informticos.
Responsable
64
Tabla 12. ESCENARIO - RIESGO OPERACIONAL
Riesgo Riesgo Operacional

Probabilidad Altamente probable
Impacto Muy Alto
Escenario
El momento de hacer la auditora en s se corre el riesgo de
incumplir tiempos estipulados para entrega de informes
resultantes, de utilizar un lenguaje no adecuado con el cliente
o dar juicios que provoquen inconvenientes dentro de la
organizacin del cliente.
Afectacin
La severidad de impacto es la ms alta considerando que si
se produce el riego, lo posible es que se pierda prestigio de la
imagen propia de la empresa y por ende se perdera clientes
a gran escala por lo cual la afectacin de darse este riesgo es
inminentemente catastrfico.
Accin
Planificar bien la auditora para mejorar tiempos de desarrollo
de la misma teniendo en cuenta que se debe tener un
lenguaje cordial sin emitir juicios porque el auditor no juzga.
Responsable
Socios-Auditores

65
Tabla 13. ERUPCIN DE VOLCN
Riesgo Erupcin de Volcn
Probabilidad Poco Probable

Impacto Muy alto
Escenario
Dependiendo de la magnitud de erupcin en este caso el
guagua pichincha se tendra de una simple cada de ceniza
que afectara los servidores y la salud de las personas hasta
una inminente corriente de lava que puede arrasar con la
ciudad
Afectacin
La ceniza que bota el volcn puede alojarse en los servidores
al ser llevado por el viento entrando por los ductos de
ventilacin.
La lava acabara con gran parte de la ciudad

Accin
Evacuar el edificio lo antes posible siendo los brigadistas
responsables los que ayuden a la gente a salir a un sitio
seguro.
Responsable
Brigadista
El impacto se debe analizar en funcin de los procesos crticos que posee la

empresa;
66
2.4.2. ESTRATEGIAS DE RECUPERACIN.
Al analizar las necesidades de recuperacin de los sistemas desde la vista del

negocio, es necesario establecer el Tiempo de tolerancia (RPO) a
la interrupcin que poseen los procesos de Negocios y los Tiempos
de Recuperacin (RTO) que poseen los sistemas tecnolgicos que soportan al
mismo. Por ello es importante establecer los Objetivos de Tiempo de
Recuperacin y Tiempo de Tolerancia.
En la Tabla 15 se muestra el tiempo en el que se deben reestablecer las

operaciones dependiendo de la organizacin y las polticas establecidas en las
mismas. Para marcar las opciones seleccionadas en las tablas utilizadas en este
captulo se utilizar una X.
Tabla 14. TIEMPO DE RESTAURACIN DE LAS OPERACIONES
30
_ _RTO_____ 0-30 2-6 6-12 12-24 24-48 48<X
Minutos
RPO Minutos Horas Horas Horas Horas horas
-2 Horas
Recuperacin de correo
X
electrnico
Recuperacin de
Informacin digital de X
clientes
Recuperacin de
X
Servidores
Recuperacin de equipos
operativos para Auditores X
encargados
Recuperacin de equipos
operativos para Auditores X
asistentes
Recuperacin de correo electrnico

67
El impacto que genera la perdida de correo electrnico es alto, considerando que

se puede perder la comunicacin con el cliente y perjudica la imagen y de igual
manera la interrelacin con el mismo se ver afectada.
El servicio de correo estar activo en un 99,99% considerando que se maneja

correo externo en Gmail por lo que las comunicaciones e informacin que se
tenga en el correo est prcticamente a salvo en caso de producirse algn
incidente en la empresa, aunque no queda exenta de perdida pero prcticamente
el riesgo es mnimo.
Recuperacin de informacin digital de clientes
La recuperacin de la informacin recopilada del cliente es vital para poder

proseguir con las actividades de auditora al mismo, sin ella se pierde no
solamente el esfuerzo realizado en el tiempo que se llev la auditora sino
tambin la confianza del cliente lo que genera un gran impacto a la imagen de la
empresa.
Recuperacin de servidores
La recuperacin de los servidores debe ser inmediata para poder seguir con las
actividades, teniendo en cuenta esto debemos tener un lugar donde poder
levantar los servidores, de manera que los servicios con los que cuenta la
empresa sean levantados uno por uno de manera correcta y seguir obteniendo los
productos correspondientes.
El impacto es menor al tener servidores de replica que se levanten cuando el

principal se cae y es recomendable tenerlo en otro sitio alejado del principal,
aunque implica un alto costo.
Para tener en cuenta el tipo de recuperacin de medios fsicos es importante

tener en cuenta la magnitud del impacto que se tendr al producirse el incidente,
68
por lo que es necesario considerar los escenarios de recuperacin que se

encuentran establecidos en la Figura 30.
Es importante acorde al cuadro anterior saber elegir el medio de recuperacin

teniendo en cuenta que riesgos mantener, mitigar o transferir, siempre teniendo
en cuenta que est en juego la continuidad del negocio.
Figura 29. ESCENARIOS DE RECUPERACIN.
DESCRIPCIN DE LOS SITIOS:
Sitio en fro (ColdSites)
Este sitio no comprende ni sistemas de comunicacin, ni hardware necesario para

levantar inmediatamente un centro de Datos necesario para que al menos las
labores principales se reanuden; es decir solo tenemos el arrendamiento o
compra de un espacio fsico (No recomendado en empresas Medianas y
Superiores).
Este tipo de sitios pueden ser utilizados por empresas pequeas que en su
mayora tienen equipos portables.
Sitios semi-preparados (WarmSites)

69
En este tipo de sitios tenemos el sistema de comunicaciones y equipos de

servidores y ordenadores parcialmente instalados en el espacio fsico arrendado,
es decir se cubre los procesos ms crticos a levantar para que el negocio retome
sus actividades casi inmediatamente despus del incidente ocurrido.
Sitios preparados (Hot Sites)
El sitio preparado, es en el que tenemos una rplica del Centro de Datos,

principal; es decir que tiene el sistema de comunicaciones en su mayor parte
instalado y arreglo de servidores ya implantado similar al original que al suscitarse
un incidente est listo para que los servicios se levanten en un mximo de 3
horas.
Se debe especificar en el contrato los tiempos inmersos en la recuperacin para

ya que si bien se puede realizar una recuperacin con un sitio similar en un
mximo de 3 horas se debe especificar en el convenio para que dicho plazo
pueda cumplirse a cabalidad y la empresa contratante pueda continuar prestando
los servicios.
Considerando la magnitud del Site y la cobertura este tipo este contingente tiene a
ser de un costo alto.
Sitio espejo (MirrorSite)
Este tipo de contingencia es uno de los ms elevados en costo por su nivel de

cobertura considerando que al igual que el sistema de arreglo de servidores y el
de telecomunicaciones es completo, por lo que el tiempo de recuperacin es
mnimo, tan solo depende del tiempo de movilizacin del personal para el sitio y
completar el levantamiento de servicios de acuerdo a las funciones de los
colaboradores aunque los servicios en lnea estaran funcionales prcticamente al
instante.
70
Al ser un sitio espejo, es esencial que tenga la misma infraestructura del sitio
principal, es decir que tanto los servidores, ordenadores e incluso el software que
tenga sea idntico al principal para que no exista problemas de compatibilidad.
Este tipo de Site alterno es el ms recomendado para mantener la continuidad de

negocio, en especial aquellos que manejan informacin sensible. Es importante
que el sitio alterno est lo suficientemente alejado del sitio principal para que si
hay un desastre de gran magnitud no exista un fallo de ambos, es decir el
desastre afecte tanto al sitio principal como al secundario (espejo).
Recuperacin de equipos operativos para Auditores encargados
La recuperacin de las labores depende del trabajo a realizar por lo que hay que
tener en cuenta que los desastres deben ser totalmente o en gran parte
transparentes al cliente final, por lo que es importante que se adquiera equipos
para que estn disponibles al menos para los Auditores encargados y seguir con
el proceso de auditora y no perder la buena imagen ante el cliente.
Recuperacin de equipos operativos para auditores asistentes
La recuperacin de equipos para asistentes de auditora no tiene mayor incidencia

como recuperar equipos para encargados de auditora pero aun as se tendra
impacto al perder equipos computacionales teniendo en cuenta que tambin
tienen informacin valiosa que sustente la auditora.
71
2.5. DESCRIPCIN DEL PLAN DE CONTINUIDAD.
2.5.1. DESCRIPCIN DE LA BASE ISO 22301:2013
La Norma ISO de continuidad de negocio acorde a nuestro anlisis es la

22301:2012 donde se identifican escenarios y seala la manera de realizar la
gestin correcta frente a incidentes para la continuidad, enfocndose en la
utilizacin de recursos disponibles para continuar brindando el servicio hasta
regularizar la situacin a su estado normal en el menor tiempo posible y el menor
costo.
Se escogi dicha norma ya que engloba los parmetros de gestin como un

sistema lo cual permite enfocarse en la revisin de riesgos para posteriormente
poder estar preparados ante cualquier desastre y el impacto sea mnimo sin que
la interrupcin de las actividades normales sea a largo plazo o en gran medida.
Figura 30. CLICLO PDCA APLICADO AL PROCESO DE LA CONTINUIDAD DEL NEGOCIO
FUENTE: ISO 22301
En el ao 2012, la Organizacin Internacional para la Normalizacin (ISO) public

el estndar Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-
72
Requisitos. Este estndar certificable y auditable capta los principales conceptos

de los dems lineamientos publicados desde 1995.
El estndar ISO 22301:2012 Seguridad de la Sociedad: Sistemas de Continuidad
del Negocio-Requisitos aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas
en ingls) para la planificacin, establecimiento, implementacin, operacin,
monitoreo, revisin, mantenimiento y la mejora continua de su efectividad. El
modelo ha sido creado con consistencia con otros estndares de gestin, tales
como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y
con el ISO 28000:2007.
En la Figura 31. Se puede ver como la norma se enfoca en realizar una mejora
continua para un proceso propio de continuidad de negocio donde se pueda
responder ante cualquier eventualidad negativa que pueda afectar la normalidad
de las actividades.
Figura 31. RELACIN ENTRE EL RTO, RPO Y MRPD
FUENTE: ISO 22301
Como muestra la Figura 32.se puede observar que la norma tambin describe
casos de recuperacin y tiempos del mismo proyectndose en las actividades
crticas a recuperar y el tiempo mnimo que debe demorarse por cada una de ellas
73
para que el impacto sea casi imperceptible y se puede volver a la normalidad lo

antes posible.
2.5.2. PLAN DE RECUPERACIN DE DESASTRES (DISASTER RECOVERY

PLAN - DRP)
2.5.2.1. Introduccin
El plan de recuperacin ante desastres es aquel capaz de responder ante

sucesos improvistos que interrumpen o afectan de alguna manera las actividades
normales de una empresa y los servicios que presta interna o externamente, la
caracterstica principal de un plan de recuperacin ante desastres es la de
restablecer los procesos y funciones crticas de la empresa.
En los procedimientos descritos en el plan de recuperacin ante desastres deben

constar las personas responsables con las funciones que deben cumplir para
poder salvaguardar los recursos correspondientes sean estos: Recurso Humano,
Recursos de Infraestructura, procedimientos y documentacin asociada, etc., para
que el impacto sea mnimo en cuanto a la perdida de los recursos mencionados.
2.5.2.2. Descripcin del DRP
Objetivos del plan
a) El objetivo ms importante de este documento es definir los procedimientos de

recuperacin ante la interrupcin de la operacin de los principales servidores
y la red de comunicaciones.
b) Se ofrece una mayor atencin y nfasis en una recuperacin ordenada y a la
reanudacin de las operaciones de negocio crticas para la empresa, incluido
el apoyo de todos los servicios que dependen de la infraestructura informtica.
74
c) Los elementos que conciernen a las computadoras estn contempladas, sin

embargo las funciones relacionadas con los servicios prestados al cliente final
por parte del equipo de Tecnologa no se abordan.
d) La invocacin de este plan implica que la operacin de recuperacin ha
comenzado y continuar con la mxima prioridad de viabilizar el servicio y
restablecer las operaciones informticas de la empresa.
Servicios crticos a salvaguardar
Para la preservacin de servidores es importante para tener continuidad en

cuanto a los servicios que posee la empresa a nivel interno, en trminos
generales los principales servidores y servicios que deben resguardarse son los
siguientes:
Comunicaciones de red/conectividad, Internet.

DNS y DHCP.
Servicio de Correo.
Controlador de Dominio.
Servicio de Archivos.
Servicio de Aplicaciones.
PCs individuales.
Servicio de Respaldos de informacin.
Incidente y contingencia
Este plan de recuperacin de desastres se invocar bajo una de estas

circunstancias:
Un incidente que puede parcial o completamente paralizar las operaciones

del centro de cmputo por un perodo de 24 horas.
Un incidente, que ha afectado la utilizacin de las computadoras y redes
administradas por Tecnologa, debido a circunstancias que estn ms all
75
del normal procesamiento de las operaciones del da a da. Esto incluye

todos los procedimientos administrativos del Departamento de Tecnologa.
Situaciones generales que pueden destruir o interrumpir usualmente un
computador ocurren bajo las principales categoras:
Interrupcin de energa/ variacin/ fluctuacin

Fuego
Agua
Fenmenos naturales y climticos
Sabotaje/vandalismo
Robo
Virus
Hay diferentes niveles de severidad las cuales necesitan diferentes estrategias de

contingencia y diferentes tipos y niveles de recuperacin. Este plan cubre
estrategias para:
Recuperacin parcial: operacin en un sitio alterno y/o en reas de clientes

de la compaa.
Seguridad fsica
Por norma y control se debe tener instalados sensores de temperatura, humedad

y humo, adems que los servidores, tienen que estar protegidos por UPSs que
los tengan activos por aproximadamente 15 minutos despus de cortes de
energa o hasta levantar la corriente con otro medio alterno de energa.
Energa elctrica y controles ambientales
Se debe considerar el flujo de corriente elctrica y ambiente en el sitio donde se

aloja la empresa como tal y donde se alojan los servidores de la misma, siendo un
edificio es necesario contar con diferentes medios para no interrumpir la carga en
76
los equipos pues pueden sufrir daos como pueden ser generadores dedicados y
auxiliares con conexin a UPSs que resguarden la integridad en carga a los
servidores.
Al considerar los controles ambientales hay que percatarse del a humedad, calor,
y el aire acondicionado no generen aire seco que pueda producir esttica pues
esto puede ocasionar una falla elctrica o cortos energticos.
Proteccin ante software mal intencionado
La empresa debe tener un software licenciado y especializado de acuerdo a las

necesidades para la proteccin de virus y cualquier tipo de software mal
intencionado que quiera atacar la red y los equipos de la empresa; debe existir
una poltica donde quede por escrito que todos los equipos pertenecientes a la
empresa obligatoriamente deben tener instalado el antivirus empresarial.
2.5.2.3. Preparacin ante un desastre
Se describe a continuacin los pasos mnimos necesarios para estar preparados

ante un desastre y los procedimientos a implementarse para la recuperacin. Una
parte importante es asegurar que el respaldo externo est correcto y actualizado
as como la documentacin de aplicaciones, paquetes de soporte y los
procedimientos operativos.
Procedimientos Generales
Los procedimientos generales de inmediata respuesta ante un incidente deben

contener un cronograma que valide tiempos de recuperacin y fases para
progresivamente retomar la continuidad normal del negocio y en funcin de cmo
est categorizado y le alcance de daos que tenga dicho incidente.
77
2.5.2.4. Planes de Recuperacin
En funcin del plan de continuidad de negocio como tal se formula el plan de

recuperacin con los sub planes auxiliares que aportan a la recuperacin integra
ante el incidente producido.
Plan de Recuperacin de los Servicios del Centro de Cmputo
El plan de recuperacin de servicios como tal debe iniciar inmediatamente de la

ocurrencia del incidente al ser necesario el uso del sitio alternativo y/o cuando el
incidente haya afectado parte del sitio principal y puedan reanudarse las
operaciones en un tiempo razonable.
En cualquiera de los 2 casos se debe determinar lo siguiente:
Determinar el alcance de el/los incidente/s.

Determinar gastos implcitos para recuperacin.
En el caso de necesitar el sitio alternativo se debe considerar ciertos aspectos:
Informar al responsable externo del sitio alternativo para poner en

marcha la utilizacin del mismo.
Organizar el movimiento de los equipos de apoyo al sitio alternativo.
Establecer operaciones de servicios en el sitio alternativo.
Organizarlos planes a largo plazo y apoyo de soporte.
78
2.6. GUIA DE PROCEDIMIENTOS DEL PLAN.
2.6.1. DEFINCIN DE LA SITUACION ACTUAL
Se debe determinar los componentes, facilidades, herramientas y dems

caractersticas actuales de la empresa para en funcin de ella describir los
procesos crticos a levantar y con ellos describir las reas y/o dispositivos
primarios a levantar.
2.6.1.1. Descripcin de procesos levantados
Se debe detallar los procesos enlistados y los dispositivos asociados a poner en

marcha para la continuidad, se debe considerar tanto los servidores como los
equipos para el personal correspondiente que lo utiliza identificando el personal
ms crtico que deba obtener los equipos en primera instancia.
2.7. SOCIALIZACIN DEL PLAN
Figura 32. SOCIALIZACIN DEL PLAN
Detalle de cursos y horas

para la socializacin del
PLANIFICACIN DE plan
POR QU SOCIALIZAR EL PLAN? RECURSOS HUMANOS
Documentacin de
CAPACITACIN
campaas, charlas,
personas involucradas.
2.7.1. POR QU SOCIALIZAR EL PLAN?

79
Un plan de continuidad de negocio no tiene sentido ni valor al solo mantenerlo

documentado si el personal de la empresa no tiene un conocimiento adecuado de
los procedimientos que se detallan en el mismo para estn preparados ante
eventualidades que puedan suscitarse y afecten la continuidad del negocio; es
decir, si el personal no tiene una capacitacin adecuada de lo que es el plan de
continuidad del negocio no existir una gestin adecuada en un caso contingente
lo cual puede afectar potencialmente a la empresa.
2.7.2. PLANEACIN DE RRHH.
Se debe tener un plan para la capacitacin al personal que labora en la empresa

tanto los colabores nuevos como los que ya tienen tiempo trabajando en la
organizacin, describiendo los riesgos potenciales que incurren al no tener
conciencia clara de lo que es un plan de continuidad del negocio y lo importante
que es cada colaborador para la eficiencia y eficacia del mismo y ste pueda
cumplirse a cabalidad minimizando el riesgo potencial en la empresa.
2.7.3. CAPACITACIN.
Se debe implementar campaas continuas donde se detallen aspectos de los

procedimientos del plan de continuidad de negocio de manera que los
colaboradores vayan continuamente familiarizndose y empoderndose del tema
siendo ellos la parte fundamental para que el plan se lleve a cabo.
Se debe dar charlas prcticas donde se enuncien escenarios de contingencia y

dar las respuestas a eventos crticos de tal manera que el personal pueda estar
preparado ante cualquier eventualidad.
Se debe establecer brigadas y capacitar a los miembros para los casos de

contingencia, donde se pueda determinar personas idneas con actitud y aptitud
de poder responsablemente en caso de que se produzca un incidente.
80
CAPITULO 3.
VALIDACIN DEL PLAN.
Una vez realizado el plan de continuidad se procede a validar el plan en un caso

de estudio escogido para realizar las pruebas correspondientes, adaptando el
plan a la empresa para determinar los puntos crticos a proteger y se puedan
continuar con las labores y actividades normales sin interrumpir propiamente a los
colaboradores siguiendo con el Core del negocio.
El caso de estudio al que se aplicar el plan de continuidad ser EKBC & JFSV
Donde enfocaremos los planes y actividades a realizar para salvaguardar la
integridad del negocio y no se pierda continuidad en las labores de los
colaboradores.
3.1. PREPARACION DE CASOS DE CONTINUIDAD.
IDENTIFICACION DE PROCESOS A RESPALDAR
EKBC & JFSV como tal es una empresa de auditora donde su proceso principal
es la Gestin Operativa de auditora. Como se muestra en la Tabla 16 se han
Priorizado las actividades a desarrollarse.
Tabla 15. PRIORIZACIN DE LAS ACTIVIDADES
Actividades Prioridad
1 2 3
Desarrollo de X
Negocios
Gestin de Auditora X
Facturacin X
81
Los procesos que tienen relacin directa, es decir que estn ntimamente ligados
solo al proceso principal de auditora son los que se encuentran listados en la
Tabla 16.
Tabla 16. PERSONAL NECESARIO PARA ESTABLECER LA CONTINUIDAD DE LAS OPERACIONES
Personal Actividades que debe Prioridad

cumplir 1 2 3
Contralor Encargado del rea de X
Contralora y sus procesos
Asistente Contable Encargado de la Nmina. X
Asistente Contable Encargado de la X

Facturacin.
Cobranzas Encargado de gestionar X
las cuentas por cobrar
Auditores Snior Encargado de Dirigir el X
proceso de Auditora
Asistentes de Equipo de apoyo en el X
Auditora proceso de Auditora
El proceso Principal de Auditora (operaciones) es importante porque es el

servicio fundamental que posee la empresa para generar entradas econmicas.
A este proceso lo ayudan y alimentan el proceso de Desarrollo de Negocios que

es el que se encarga de vender el servicio y persuadir al cliente de que se
realizar un buen trabajo; y el Sub-proceso de facturacin que viene a ser parte
de contralora donde se emite la factura en base al presupuesto estipulado para
realizar dicho trabajo.
Lista el personal operativo con el que se debera contar para reanudar las
operaciones en caso de un incidente o desastre natural se encuentra listada en la
Tabla 17.
82
Establece las prioridades de los servicios proporcionados por los sistemas

utilizados dentro de la empresa. A continuacin en la Tabla 18. Se detalla
informacin relevante de dos de los sistemas ms importantes.
Tabla 17. SISTEMAS DE INFORMACIN REQUERIDOS PARA LA CONTINUIDAD DE OPERACIONES
Sistemas/Aplicaciones Prioridad
1 2 3
Microsoft Excel y Word X
BTS X
Sistema de nmina X
ATP X
Sistema ADMBTS
Aplicacin Financiero contable cuenta con los mdulos de contabilidad,

facturacin, Cuentas por pagar (emisin de cheques), Cobranzas y Nmina.
Los motores de BDD son Firebird 2.0 e IB Access con la versin 2.0
Corre bajo el Sistema Operativo XP.
APT (Audit ProcessTool)
Herramienta que registra los ciclos del proceso de autora, requiere como
requisitos previos tener instalado Microsoft Office Groove e InfoPath sp2. Se
cuenta con una licencia por mquina y el Software es administrado por Bruselas.
83
Activos Tecnolgicos
Tabla 18. DESCRIPCIN DE LOS ACTIVOS TECNOLGICOS
Sistemas/Aplicaciones Prioridad
1 2 3
Computadores X
Porttiles
Telfono X
Fax X
Impresora X
Scanner X
La Tabla 19. Contiene un detalle de los activos tecnolgicos necesario para la

puesta en marcha de las operaciones de la empresa.
Mobiliario & Material de oficina
Tabla 19. MATERIAL MOBILIARIO
Mobiliario Prioridad
1 2 3
Estacin de X
recepcin
Sillas X
Escritorios/Mesas X
Tabla 20. MATERIAL DE OFICNA
Materiales de Prioridad
Oficina 1 2 3
Hojas de Papel X
Bond
Bolgrafos X
84
Toners color negro X
En las Tablas 20 y 21 se establece un detalle del mobiliario bsico y los artculos

de oficina con el que se debe contar para reanudar las operaciones.
Material de Referencia
Tabla 21. MATERIAL DE REFERENCIA
Prioridad
MATERIAL
1 2 3
Listado de Clientes X
Listado de Proveedores X
Facturas Impresas X
Facturas No Impresas X
Procedimiento de Facturacin X
Dos ltimos roles de pagos X
Procedimiento Pago de Nmina X
Listado de los clientes con pagos pendientes X
En la tabla 22 se detalla el material de referencia a ser usado en caso de la

ocurrencia de un incidente.
3.1.1. IDENTIFICACIN DE ESCENARIOS
Cabe mencionar que si al provocarse una catstrofe en Quito se pierde tambin

los servicios proporcionados en Guayaquil ya que EKBC & JFSV. Cuenta
nicamente con un enlace de datos entre Quito y Guayaquil, siendo la sucursal de
Quito la encargada de proporcionar los servicios de Internet y conexiones
generales, es decir si Quito pierde continuidad toda la empresa lo hace.
Por ende se han tomado los principales escenarios que pueden afectar la
continuidad de los servicios ofrecidos por la sucursal de Quito de EKBC & JFSVy
estableciendo los posibles riesgos asociados a estos escenarios.
85
Casos:
Tabla 22. ESCENARIO - INCENDIO
Riesgo Incendio
Impacto Alto
Escenario
En el caso de incendio que se suscite sea en el edificio
Londres o en su defecto en las oficinas de EKBC &
JFSV; las prdidas que se generan para la empresa
seran: humanas, informacin, servicios y activos, ya que
existe personal administrativo que se encuentra laborando
de planta en oficinas de la Firma, los cuales seran
afectados en primera instancia.
Adems en caso de presentarse un connato de incendio

este provocara la prdida del Centro de Datos que est
ubicado en el quinto piso del edificio Londres en un cuarto
pequeo el cual se destruira completamente con el
incendio provocando la prdida de informacin y los
servicios prestados pues los servidores centrales se
arruinaran y con ellos todo su contenido dando como
resultado una prdida total de la informacin.
El edificio Londres no cuenta con escaleras de

emergencia para casos de incendio, siendo las escaleras
internas la nica va de evacuacin.
Afectacin
El riesgo de Incendio encontrado dentro de las
instalaciones de EKBC & JFSV es alto ya que las oficinas
estn aprovisionadas con alfombras de material
86
inflamable, las mismas que en caso de suscitarse un

connato de incendio serviran para la propagacin de
fuego de manera ms rpida devastando completamente
el lugar.
Otro factor de riesgo en el caso de incendio son las

divisiones de las reas las mismas que son de madera y
vidrio las cuales no solo ayudan a la propagacin del
fuego si no que representan un peligro para las personas
que se encuentren en el interior de las instalaciones
debido a las explosiones de los vidrios causando lesiones
graves al personal. Adicional a esto se debe considerar el
almacenaje cartones que contienen la informacin
obtenida durante las visitas a los clientes para su
posterior revisin y envo a bodega, estos files son
apilados en el rea del Staff (espacio designado para el
equipo de auditora), debido al giro del negocio.
Accin
Implementar extintores de espuma para inhibir la
combustin de las alfombras y en el Data center al menos
tener un extintor de anhdrido carbnico los cuales
contrarrestan la combustin de las alfombras y protegen
los equipos electrnicos.
Responsable
Brigadista
87
Tabla 23. ESCENARIO - TERREMOTO

Riesgo Terremoto
Impacto Muy Alto
Escenario
Las instalaciones de EKBC & JFSV Estn ubicadas en el
edificio Londres el mismo que tiene 40 aos de
construccin, por lo cual en caso de producirse un
terremoto, dependiendo de la magnitud podra producir la
prdida parcial o total de las instalaciones. Una vez
determinando el impacto que puede generar en EKBC &
JFSV y al evaluar la magnitud de los daos provocados,
podemos decir que riesgo asociado es alto ya que al
destruirse el edificio y por ende los accesos al piso en el
que se encuentran las oficinas se puede presentar
prdida de bienes materiales as como de vidas humanas,
y la prdida inminente de los servicios ya que el Centro de
Datos se ver afectado a gran escala ya que los equipos
en donde se aloja la informacin y los servicios pueden
presentar daos provocando as la perdida de continuidad
de los mismos.
Afectacin
Dependiendo el grado de magnitud del terremoto puede
causar que se cuarteen o caigan las paredes con bajo
nivel de destruccin (recuperable sin incidencia
catastrfica) o puede ser una destruccin completa de las
oficinas residentes.
Accin
Independientemente del grado o magnitud del terremoto
la accin por parte del brigadista encargado es de ayudar
a otros a evacuar el edificio evitando primordialmente
prdidas humanas y de ser posible los equipos de
computacin (anteponer la vida antes que los equipos).
Responsable
Brigadista
88
Tabla 24. ESCENARIO - FALLA DE ENERGA

Riesgo Fallas de energa
Impacto Media
Escenario
En el edificio Londres existe planta de energa que es
utilizada como contingencia en caso de la suspensin
normal del servicio elctrico. Al evaluar el riesgo
relacionado a los eventos de fallas en el servicio
elctrico, encontramos que se pueden presentar
problemas en los equipos alternos como UPSs,
bypass o daos en la planta de energa.
Al fallar los UPSs se puede tener un fallo global de

todos los equipos electrnicos conectados a los
mismos lo cual genera una prdida sustancial en la
parte de activos, adems de la informacin contenida
en los equipos.
La configuracin del bypass en caso de que no se

encuentre bien realizada puede provocar que no
encienda la planta de manera automtica. Esto puede
provocar la suspensin de los servicios y la no
operatividad normal de las empresas por un periodo
considerable de tiempo.
Las fallas de energa afectan directamente a los

equipos electrnicos, pueden ocurrir fallas que
provoquen corto circuito y generar incendios, o en su
defecto afectar directamente a un colaborador
pudiendo ser electrocutado por descarga elctrica.
89
Afectacin
La afectacin puede ser Leve o Severa dependiendo
del escenario, en el caso del Apagn puede quedar
solamente en la discontinuidad de los servicios, por
otro lado tambin pueden quemarse los equipos no
solo los UPS sino los servidores en s.
En caso de que se produzca in incendio la afectacin

se vuelve ms severa y caeramos en el caso de
riesgo por incendio
Accin
Implementar UPS especiales que soporten grandes
cargas de energa de modo que no se produzca un
apagn de los servidores y estos no resulten
afectados; en adicin tener en cuenta la accin del
riesgo de incendio.
Responsable
Departamento de Tecnologa
90
Tabla 25. ESCENARIO - ROBO

Riesgo Robo
Impacto Alto
Escenario
La afectacin que se produce directamente a los activos
empresariales de los insumos que los colaboradores
utilizan para el trabajo diario como las porttiles, mdems
y dems insumos; lo cual perjudica econmicamente a la
empresa y pone en riesgo la seguridad de los datos
almacenados en medios electrnicos: porttiles,
memorias USB, discos duros y cualquier otro medio que
contenga informacin de los clientes visitados por los
colaboradores de EKBC & JFSV.
Afectacin
El robo de equipos a los miembros de la empresa, por lo
general los auditores considerando el hecho que son los
que ms movilizan equipos computacionales, en este
caso la afectacin recae severamente por la informacin
de el/los clientes que posee el auditor en el computador
a su cargo.
Accin
En el caso de robo interno, se debe tener alarmas a ms
de las cmaras de seguridad y tener cuidado con el
ingreso de personal ajeno a la empresa para estar
pendientes que se trate de un agente de confianza.
En el caso de robo externo, es importante que los
auditores consideren el hecho de ir en taxis con los que
tiene convenio la compaa al movilizarse con equipos
computacionales.
Responsable
Todo el personal
91
Tabla 26. ESCENARIO - FALLO DE RED

Riesgo Falla de red
Impacto Media
Escenario
EKBC & JFSV Cuenta con un enlace de Datos de
Quito a Guayaquil, por lo que un fallo de red no
debera ocurrir, en caso de ser lo contrario se pierden
los servicios que la sede en Quito como central provee
a Guayaquil adems de que los colaboradores tienen
sus carpetas en red con la informacin de los clientes
visitados a los cuales acceden va FTP.
Una falla de red, aunque no es crtica se la considera

importante puesto que los colaboradores que acceden
a las carpetas en red para ver su informacin y los
colaboradores que estn en oficina.
Afectacin
El efecto que causa las fallas en la red es netamente
con los sistemas de informacin, ya que si los
servidores estn haciendo rutinas automticas de
respaldos o incluso el personal est haciendo sus
respaldos propios puede generar conflicto o fallas al
generar la informacin respaldada, adems de errores
en la comunicacin.
Accin
Proteger y resguardar el Data center, cambiando los
cables peridicamente y haciendo mantenimiento de
los equipos para que reducir el impacto al suscitarse
dicho problema.
Responsable Departamento de tecnologa
92
Tabla 27. ESCENARIO: ATAQUES AL SISTEMA DE INFORMACIN COMPUTACIONAL

Riesgo
Ataques al sistema de informacin computacional
Probabilidad Poco Probable
Impacto Alto
Escenario
Para EKBC & JFSV Salvaguardar y mantener integra la
informacin de los clientes visitados, ya que los papeles
de trabajo que generan los colaboradores de su trabajo
en campo son esenciales para visitas futuras.
La empresa no se puede dar el lujo de que los datos

almacenados sean alterados o substrados por gente que
quiera ganar los clientes enfocando un mejor resultado y
utilizando dicha informacin a su conveniencia.
Afectacin
Al tener plagio de informacin propia de la empresa o
informacin de otras organizaciones a las cuales se les ha
realizado la auditora ponemos en riesgo no solo a dichas
organizaciones sino a la Empresa como tal por el factor
de desconfianza que generara dicho plagio lo que
terminara en prdida de clientes.
Accin
Implementar IDS u otros sistemas para prevenir y detectar
ataques de piratas informticos.
Responsable
93
Tabla 28. ESCENARIO - RIESGO OPERACIONAL

Riesgo Riesgo Operacional
Probabilidad Altamente probable
Impacto Muy Alto
Escenario
Este tipo de riesgo se relaciona directamente con el giro
del negocio, el riesgo operacional se encuentra ligado a
los eventos fortuitos que pueden presentarse en el lapso
de tiempo que se realiza la auditora, estos problemas
pueden presentarse por:
Incumplimientos de contratos y por ende litigios legales,
emisin de opiniones errneas que pueden provocar el
cierre de las operaciones de la Empresa auditora.
El riesgo Operacional es alto, ya que en el caso que se
emita una opinin errnea se puede dar por terminado el
funcionamiento de la Firma
Afectacin
La severidad de impacto es la ms alta considerando que
si se produce el riego, lo posible es que se pierda
prestigio de la imagen propia de la empresa y por ende se
perdera clientes a gran escala por lo cual la afectacin de
darse este riesgo es inminentemente catastrfico.
Accin
Planificar bien la auditora para mejorar tiempos de
desarrollo de la misma teniendo en cuenta que se debe
tener un lenguaje cordial sin emitir juicios porque el
auditor no juzga.
Responsable
Socios-Auditores
94
Tabla 29. ERUPCIN DE VOLCN

Riesgo Erupcin de Volcn
Probabilidad Improbable
Impacto Alto
Escenario
El Data Center de. EKBC & JFSV No tiene una adecuada
medida de expulsin de polvo o ceniza, considerando que
est en un espacio reducido donde solo existe 1 rack con
los servidores expuestos a los residuos como polvo, smog
ms aun con ceniza volcnica la cual se puede filtrar por
el conducto de expulsin de calor y daar los equipos.
Afectacin
La ceniza que bota el volcn puede alojarse en los
servidores al ser llevado por el viento entrando por los
ductos de ventilacin adems de acabar con gran parte
de la ciudad
Accin
Evacuar el edificio lo antes posible siendo los brigadistas
responsables los que ayuden a la gente a salir a un sitio
seguro.
Responsable
Brigadista
95
3.2. EJECUCIN DE LOS PROCEDIMIENTOS.
3.2.1. POLTICA DE CONTINUIDAD DEL NEGOCIO
3.2.1.1. Objetivo
La premisa de crear la poltica de continuidad del negocio tiene como finalidad la

proteccin y seguridad tanto de los activos de la empresa como de los recursos
humanos.
3.2.1.2. Respaldos de Informacin
Los colaboradores de EKBC & JFSV, deben realizar los respaldos de informacin
de manera ser frecuentes, los respaldos son de manera manual, por lo que toda
informacin que el senior crea necesario deber ser almacenada en el servidor de
archivos y de manera automtica en google drive (seniors y asistentes).
3.2.1.3. Roles y Responsabilidades
Las tareas que se realizarn de recuperacin cuentan con el detalle de seguir

ciertas normas y pasos de acuerdo a la definicin de recuperacin, esto es seguir
el plan de recuperacin ante desastres (DRP) de acuerdo a las brigadas
establecidas en cuanto a responsabilidades de salvaguardar el recurso humano y
recurso tecnolgico.
Los roles estarn designados en los planes de recuperacin y cada colaborador

debe tener presente la manera de actuar ante los incidentes y las tareas a
realizas segn las responsabilidades designadas a l/ella.
96
3.2.1.4. Pruebas
Se debe probar continuamente el plan de continuidad de negocio, dejando

documentado sea en actas o bitcoras con los resultados obtenidos de dichas
pruebas.
El plan deber ser probado de manera integral, es decir en su completitud y cada

tpico para cubrir las reas mencionadas y re-estructurar el mismo si es
necesario. Es necesario probar el plan para poder definir tareas, situaciones,
caractersticas, sub planes que ayuden a mejorar el plan en funcin de los
resultados obtenidos anteriormente y as poder cubrir todas las brechas
correspondientes.
Teniendo las premisas, se debe considerar una poltica y/o procedimiento para
realizar las pruebas del plan de continuidad.
3.2.1.5. Consideraciones Generales
La poltica como tal es creada para que los colaboradores se sientan

comprometidos a ser parte del mejoramiento continuo y de la continuidad como tal
del negocio, siendo que los mismos conforman la empresa. La poltica sustenta
principios que deben basarse en el entendimiento de los riesgos que
inherentemente posee un negocio y dar a conocer los lineamientos a seguir para
salvaguardar las vidas y continuar con las operaciones regularmente.
a) Cada nuevo colaborador de la empresa debe tener conocimiento

respecto a los planes de desastres y continuidad del negocio.
b) Existir un rea de control para poder tener mejoramientos continuos
(actualizaciones a la poltica)
c) Se consideraran las pruebas frecuentes para medir el nivel de madurez
de conocimiento de los planes en casos de emergencia.
97
d) Existirn personas elegidas para cumplir ciertas funciones en caso de

una emergencia de nivel geolgico.
e) Se capacitar al personal en funcin de las laboreas a desempear una
vez que se pueda suscitar alguna emergencia.
3.2.2. DESCRIPCIN DEL DRP
3.2.2.1. Objetivos del Plan
a) El objetivo ms importante de este documento es definir los procedimientos de

recuperacin ante la interrupcin de la operacin de los principales servidores
y la red de comunicaciones. Esta interrupcin podra ser por daos severos al
centro de cmputo principal de EKBC & JFSV (Quito) o por incidentes
menores que provoquen interrupcin a su normal operacin.
b) Se ofrece una mayor atencin y nfasis en una recuperacin ordenada y a la
reanudacin de las operaciones de negocio crticas para la empresa, incluido
el apoyo de todos los servicios que dependen de la infraestructura informtica.
Se tiene en cuenta la recuperacin en un plazo razonable y dentro de las
limitaciones del costo.
c) Los elementos que conciernen a las computadoras estn contempladas, sin
embargo las funciones relacionadas con los servicios prestados al cliente final
por parte del equipo de Tecnologa no se abordan.
d) La invocacin de este plan implica que la operacin de recuperacin ha
comenzado y continuar con la mxima prioridad de viabilizar el servicio y
restablecer las operaciones informticas de la empresa.
3.2.2.1.1. Servicios Crticos A Salvaguardar
Es esencial definir los servicios que se debe preservar para la continuidad, lo

siguientes son los servicios de tecnologa crticos de EKBC & JFSVy estn
dispuestos en orden de prioridad de recuperacin:
98
Comunicaciones de red/conectividad, Internet.

DNS y DHCP.
Servicio de Correo (Servicio actualmente externalizado para alta
disponibilidad y continuidad, infraestructura fuera de oficinas).
Controlador de Dominio.
Servicio de Archivos.
Servicio de Aplicaciones.
PCs individuales.
Servicio de Respaldos de informacin.
3.2.2.1.2. Incidente y Contingencia
Este plan de recuperacin de desastres se invocar bajo una de estas

circunstancias:
Un incidente que puede parcial o completamente paralizar las operaciones

del centro de cmputo de EKBC & JFSVpor un perodo de 24 horas.
Un incidente, que ha afectado la utilizacin de las computadoras y redes
administradas por Tecnologa, debido a circunstancias que estn ms all
del normal procesamiento de las operaciones del da a da. Esto incluye
todos los procedimientos administrativos del Departamento de Tecnologa.
Situaciones generales que pueden destruir o interrumpir usualmente un

computador ocurren bajo las principales categoras:
Interrupcin de energa/ variacin/ fluctuacin

Fuego
Agua
Fenmenos naturales y climticos
Sabotaje/vandalismo
Robo
Virus
99
Hay diferentes niveles de severidad las cuales necesitan diferentes estrategias de

contingencia y diferentes tipos y niveles de recuperacin. Este plan cubre
estrategias para:
Recuperacin parcial: operacin en un sitio alterno y/o en reas de clientes

de la compaa.
3.2.2.1.3. Seguridad Fsica
a) QUITO
El centro de cmputo tiene una puerta con una cerradura de una sola llave, slo
personal de Tecnologa tiene esta llave para ingresar a este sitio.
Se ha colocado un sistema de deteccin remota de apertura de puertas en el rack

de servidores con el fin de que enve alertas va email.
Existe una cmara de seguridad externa que registra el movimiento del personal
en el acceso al centro de cmputo.
b) GUAYAQUIL
El centro de cmputo est cerrado con una cerradura de una sola llave, slo
personal de Tecnologa y de administracin de Guayaquil tiene autorizacin para
ingresar a este sitio.
Ambos centros de cmputo albergan racks, servidores y equipos de

comunicaciones. Estos llegan a ser los centros de las redes de datos de las
oficinas de EKBC & JFSV tanto en Quito como en Guayaquil.
100
Tienen instalados sensores de temperatura, humedad y humo en Quito, dichos

sensores estn colocados extintores de incendio para equipos electrnicos en la
parte externa del centro de cmputo.
Los cuartos de servidores, tanto en Quito como en Guayaquil, tienen equipos

UPS; ambos protegen los servidores y principales computadores por
aproximadamente 15 minutos despus de cortes de energa.
Tanto en Quito como en Guayaquil los servicios de aire acondicionado y la
iluminacin en los cuartos de servidores no estn conectados al UPS.
3.2.2.1.4. Energa Elctrica y Controles Ambientales
Tanto el edificio Londres en Quito, como el edificio La Previsora en Guayaquil

cuentan con centrales generadoras de energa elctrica autnomas en caso de
ocurrir un prolongado corte de energa del sistema elctrico pblico. Esta fuente
de energa alterna alimenta a todo el sistema elctrico de las oficinas incluyendo a
las unidades de Aire Acondicionado, pero en caso de que las centrales sufran
algn desperfecto y se interrumpa el flujo elctrico a continuacin se contemplan
las siguientes acciones:
Los mtodos alternativos de refrigeracin seran mediante la apertura del rack y la

puerta del cuarto, as como la puesta en marcha de los ventiladores alternos
existentes en el rack de Quito, mientras que en Guayaquil se debe abrir la puerta
y colocar los ventiladores mviles de confort. De esto se encargara el personal
del Departamento de Tecnologa en Quito y en Guayaquil el personal
administrativo encargado.
Los procedimientos anteriores ayudaran a mantener la temperatura ambiente de

los cuartos en un clima relativamente fro (Quito), pero en el caso de Guayaquil el
ambiente del cuarto de cmputo podra alcanzar un estado muy caliente y se
debera apagar los servidores para precautelar su integridad como ltimo recurso.
101
Los Tecnologa de aire acondicionado de Quito y Guayaquil han sido probados

para su normal funcionamiento. Los UPS no ofrecen servicio de energa elctrica
a las unidades de aire acondicionado en caso de interrupcin de energa.
La empresa proveedora de las unidades de aire acondicionado es la encargada

de ofrecer soporte y mantenimiento en caso de darse un desperfecto, la misma
situacin es para las unidades UPS. Se tiene un contrato de mantenimiento anual
con cada proveedor para recibir asistencia preventiva y asistencia de emergencia
si es del caso.
3.2.2.1.5. Proteccin Ante Software Mal Intencionado
El software utilizado para proteccin contra virus es Symantec EndPoint

Protection el cual provee seguridad virtual del equipo de computacin optimizando
el tiempo y rendimiento del ordenador, siendo que se actualiza constantemente
para cubrir la proteccin en contra de amenazas nuevas y/o desconocidas
adems de las ya presentes.
El antivirus se encuentra localizado/alojado actualmente en un servidor que

provee la seguridad a toda la red empresarial de tal manera que un equipo
perteneciente al dominio y que tengan instalado el producto tendr actualizado su
antivirus contra las amenazas locales o externas (por poltica todo el personal de
EKBC & JFSV debe tener instalado el antivirus).
3.2.2.1.6. Proveedores
La empresa debe contar con un listado de los nmeros de telfono y extensiones

de los administradores de cuenta o las personas encargadas de los
mantenimientos de las instalaciones y los equipos. Dentro del listado deben
constar.
Proveedores de mantenimiento de aire acondicionado.

102
Proveedores de mantenimiento de los equipos UPS.

Administradores de las edificios en las locaciones quito y Guayaquil.
Proveedores de internet (principal y backup).
Proveedores de los enlaces de comunicacin.
Servicios de correo.
Soporte de los Sistemas especializados.
3.2.2.1.7. Personal del Equipo de Recuperacin
En caso de producirse una falla con los equipos mencionados, la lista para
llamadas de emergencia tendr que ser utilizada. Las obligaciones generales del
coordinador de recuperacin de desastres deben ser discutidas. Los encargados
del equipo de recuperacin estn asignados en cada oficina y las obligaciones
generales dadas. El lder del equipo har la asignacin de personal en las oficinas
de Quito y Guayaquil, as como de las tareas especficas durante la etapa de
recuperacin.
Tabla 30. EQUIPO DE RECUPERACIN
NOMBRE CARGO UBICACIN Ext. Mvil.
Xxxx Xxxx Gerente de Tecnologa Quito 09xxxxxxx
Xxxx Xxxx Ingeniero de Infraestructura Quito 09xxxxxxx
Xxxx Xxxx Controller Quito 09xxxxxxx
Xxxx Xxxx Administracin Guayaquil Guayaquil 09xxxxxxx
Las nicas personas autorizadas a declarar el estado de desastre y por ende a

inicializar el plan de recuperacin son el Gerente de Tecnologa o el Ingeniero de
Infraestructura. Un ejemplo de la referencia con las personas a ser llamadas en
caso de daos se encuentra detallada en la Tabla 31.
103
3.2.1.1. Preparacin ante un Desastre
Se describe a continuacin los pasos mnimos necesarios para estar preparados

ante un desastre y los procedimientos a implementarse para la recuperacin. Una
parte importante es asegurar que el respaldo externo est correcto y actualizado
as como la documentacin de aplicaciones, paquetes de soporte y los
procedimientos operativos.
3.2.1.2. Procedimientos Generales
Las responsabilidades se han dado para garantizar que cada una de las
siguientes acciones se ejecute y para que su actualizacin sea contina.
Mantenimiento y actualizacin semestral del plan de recuperacin ante desastres.
Garantizar que todo el personal sea consciente de sus responsabilidades en caso
de un desastre.
Asegurar que las rotaciones programadas de las copias de seguridad peridicas

se estn ejecutando, sobre todo para las unidades de almacenamiento
localizadas en sitios externos.
El mantenimiento y la actualizacin peridica de los materiales de recuperacin

de desastres, especficamente la documentacin de informacin almacenada en
sitios de seguridad externos a las oficinas.
El mantenimiento del estado actual de los equipos en los cuartos principales de

servidores.
Informar a todo el personal de tecnologa sobre una emergencia y los

procedimientos adecuados de evacuacin del centro de cmputo y del
Departamento de Tecnologa.
104
Garantizar que los dispositivos de proteccin contra incendios estn funcionando

correctamente y que estn siendo revisados peridicamente.
Garantizar que los dispositivos UPS estn funcionando correctamente y que estn
siendo revisados peridicamente.
Velar por que se mantenga la temperatura adecuada en los centros de cmputo.
3.2.1.2.1. Cronograma General
Sobre la base de la notificacin de que un incidente se ha producido en cualquiera

de los servicios informticos de la compaa, el Coordinador de Recuperacin
ante Desastres o el encargado deben notificar a todos los dems funcionarios del
Departamento de Tecnologa. La comunicacin entre estos miembros es
fundamental para el xito de la recuperacin y restauracin ante un desastre.
Si los procedimientos de emergencia no se han invocado, con el indicador de

cuatro horas despus de la notificacin inicial de un incidente, en cualquiera de
los servicios informticos, el Plan de Recuperacin ante Desastres entrar en
vigor y debe seguir el siguiente cronograma:
Fase 1 - Dentro de 6 horas de la notificacin inicial:

Asegurarse de que todos los funcionarios han sido evacuados del lugar y
que sean tomados lista.
Asegurarse de que el sitio principal (centro de cmputo UIO) ha sido
asegurado.
Asegurarse de que las autoridades de seguridad y anti-incendios han sido
notificadas.
Decidir si se va a reabrir las oficinas principales o se trasladarn a un sitio
alternativo.
Notificar a todo el personal de Tecnologa de un desastre.
105
El personal de Tecnologa ya debe conocer de sus responsabilidades de

recuperacin primaria y el envo de un informe.
Fase 2 - Dentro de las 12 horas de la notificacin inicial

Confirmar el financiamiento disponible para los requisitos del plan de
recuperacin.
Notificar a los proveedores de apoyo para recuperacin de la catstrofe y el
orden de sustitucin del hardware preliminar.
Iniciar el transporte de suministros y equipos al sitio de recuperacin.
Iniciar el transporte de los medios/Tecnologa de recuperacin y el
hardware para el nuevo sitio.

Restauracin de las copias de seguridad del sistema y pruebas de
integridad.
Garantizar la existencia de suficientes suministros en el sitio de
recuperacin.
Llevar todos los dispositivos de recuperacin.
Establecer planes de copia de seguridad de todos los dispositivos
recuperados.
Notificar a todo el personal de Tecnologa y de administracin del sitio de
recuperacin.
Inventariar los materiales recuperados del sitio primario.
Volver a evaluar los daos y las prdidas en el sitio primario.

Discutir entre los miembros del Departamento de Tecnologa sobre las
causas y resultados.
Decidir sobre permanecer o trasladarse al sitio de recuperacin.
Preparacin para desastres en el sitio de recuperacin.
Fase 5 Dentro de los 7 das de la notificacin inicial

106
Limpieza del sitio primario

Re - establecimiento del sitio primario
3.2.1.3. Planes de Recuperacin
EKBC & JFSV tiene establecidos planes auxiliares para la recuperacin ante
desastres realizados por el rea de Tecnologa.
3.2.1.3.1. Plan de recuperacin de ordenadores fijos
Las secretarias de esta unidad deben respaldar su informacin de la siguiente

manera:
Peridicamente Se almacenan todos los das los archivos de los clientes a nivel
administrativo. Se deben generar y almacenar los archivos de trabajo en la
carpeta del servidor de archivos asignada. Como plan de copia de seguridad de
respaldos, estos archivos sern respaldados en una unidad de almacenamiento
externa y llevada a la caja de seguridad del banco de manera quincenal.
Cada secretaria es responsable de que sus archivos de trabajo estn alojados en
el servidor.
3.2.1.3.2. Plan Recuperacin Y Control Adm BTS
Copia de seguridad completa de los datos de todos los servidores; se realizan

semanalmente copias de seguridad, se transportan electrnicamente los datos
almacenados del sistema ADMBTS a Guayaquil cada semana y en Quito se
graban en medios de almacenamiento para colocarlos en un lugar externo.
Para mayor referencia EKBC & JFSV posee un PROCEDIMIENTO DE

RESPALDOS Y RECUPERACION DE INFORMACION SISTEMA ADMBTS).
107
La informacin de respaldo de todas las reas de la firma se encuentra alojada en

una caja de seguridad del Banco Produbanco de la Av. Amazonas y Japn. Ana
Cristina Meneses, Banca Empresarial Produbanco, Telf. 2999-000 ext. 2343.
3.2.1.3.3. Back Up de Informacin de Auditores
Actualmente EKBC & JFSV cuenta con un procedimiento de respaldo en cliente

mediante servicio FTP, de tal manera que los auditores tengan su informacin
respaldada y segura ante algn desastre (dao del computador por medio fsico o
virtual) o siniestro.
Los auditores estn obligados a respaldar su informacin diariamente en su
respectiva carpeta FTP ubicada en un servidor. El cumplimiento de esta poltica
ayuda en la recuperacin inmediata de la informacin por algn desastre que se
produzca con el equipo computacional.
Para mayor referencia EKBC & JFSV posee un PROCEDIMIENTO DE
RESPALDOS FTP EN CLIENTE.
3.2.1.3.4. Plan de Recuperacin de los Servicios Principales
Un incidente en la infraestructura de computacin y redes del cuarto de servidores

puede poner en marcha este plan en accin. Un incidente puede ser de tal
magnitud que inutilizara las instalaciones y los planes de un sitio suplente son
obligatorios. En este caso, las secciones del sitio alternativo de este plan deben
estar implementadas. Es evidente que todas las secciones de apoyo importantes
tendrn que funcionar juntas en un desastre, aunque un plan de accin especfico
est escrito para cada seccin.
3.2.1.3.5. Plan de Recuperacin de los Servicios del Centro de Cmputo
Esta seccin del plan de recuperacin de los servicios ser puesta en marcha
cuando haya ocurrido un incidente que requiera el uso del sitio alternativo, o el
108
dao es tal que las operaciones se pueden restaurar, pero slo en modo parcial
en el sitio central en un tiempo razonable.
Se parte del supuesto de que un desastre se ha producido y el plan de

recuperacin administrativa se debe poner en efecto. El jefe del departamento de
Tecnologa tendr que tomar esta decisin.
En caso de que sea un traslado a un sitio alternativo, o un plan para continuar las
operaciones en el sitio principal, los siguientes pasos generales deben tomarse:
Determinar el alcance de los daos y si se necesita equipo y suministros

adicionales.
Obtener la aprobacin de los gastos de los fondos para traer todo el
equipo necesario y los suministros.
Iniciar los procedimientos de compra, si hay una necesidad de la entrega
inmediata de los componentes para los Tecnologa informticos a nivel
operacional, incluso en un modo degradado.
Si se considera conveniente, consultar con los proveedores de terceros
para ver si se puede obtener un programa de entrega ms rpida.
Notificar a los proveedores de soporte de hardware que se debe dar
prioridad a la asistencia para aadir y / o reemplazar los componentes
adicionales.
Notificar a los proveedores de soporte de software que se necesita
ayuda de inmediato para iniciar los procedimientos para restablecer los
Tecnologa de software.
Ordenar un adicional de cables elctricos o de computadores a los
proveedores.
Pedido urgente de los suministros, formas o medios que puedan
necesitarse.
Adems de los pasos generales que figuran al principio de esta seccin, las
siguientes tareas adicionales se deben seguir en el uso del sitio alternativo:
109
Notificar oficialmente de que un sitio alternativo ser necesario para una

facilitar los Servicios a los Clientes.
Coordinar movimiento de equipos y personal de apoyo en el sitio
alternativo con el personal adecuado.
Colocar los medios de recuperacin de los servicios de almacenamiento
externo fuera del sitio alternativo.
Tan pronto como el hardware est levantado para ejecutar el sistema
operativo, instalar el software y ejecutar las pruebas necesarias.
Determinar las prioridades de los programas que deben estar
disponibles y la instalacin ordenada de estos paquetes. Estas
prioridades dependen a menudo de la poca del mes y del semestre,
cuando el desastre ocurre.
Preparar los medios de copia de seguridad y el retorno de estos a la
zona externa del lugar de almacenamiento.
Establecer operaciones de servicios en el sitio alternativo.
Coordinar las actividades del cliente para garantizar el apoyo a los
puestos de trabajo ms crticos cuando sea necesario.
Dado que la produccin se inicia, asegrese de que los procedimientos
de copias de seguridad peridicas se estn siguiendo y los materiales
estn siendo objeto de almacenamiento fuera de sitio peridicamente.
Elaborar planes para asegurar que todos los servicios de apoyo crtico
se estn introduciendo progresivamente
Mantener a la administracin y a los clientes informados de la situacin,
los avances y problemas.
Coordinar los planes de largo alcance con la administracin, los
funcionarios del sitio alternativo, y el personal del Servicio al Cliente para
coordinar el tiempo de soporte por parte del personal de apoyo continuo.
3.2.1.3.6. Operaciones Degradadas

110
En este caso, se supone que ha ocurrido un incidente, pero las operaciones de

los servicios degradados se pueden configurar en el cuarto de servidores.
Adems de generar los pasos que se siguen en cualquier caso, las medidas
especiales deben ser tomadas.
Evaluar la magnitud de los daos, y si slo los servicios degradados

puede ser levantados, determinar cunto tiempo pasar antes de que se
pueda ofrecer un servicio restaurado.
Reemplazar el hardware que sea necesario para restaurar el servicio a
por lo menos un servicio degradado.
Realizar la instalacin del sistema, segn sea necesario para restablecer
el servicio. Si los archivos de copia de seguridad son necesarias y no
estn disponibles el sitio principal, se debe recurrir a los respaldos
externos.
Trabajar con diversos proveedores, segn sea necesario, para
garantizar el apoyo en la restauracin de servicio completo.
Mantenga la administracin y los empleados informados de la situacin,
los avances y problemas.
3.3. ANLISIS DE RESULTADOS.
3.3.1. GENERALIDADES
Se realiz un anlisis de escenarios posibles de ocurrencia que pueden afectar la

continuidad de negocio como son: incendio, falla de energa, robo, falla de red,
ataques al sistema de informacin computacional, riesgo operacional y erupcin
de volcn.
Se evalu los distintos casos y el impacto que tendra sobre la empresa que se
utiliz como caso de modelo y se tomaron en cuenta los riesgos ms potenciales
que reflejaran un descenso de continuidad en caso de ocurrencia.
111
3.3.2. RESULTADOS
Una vez realizado el anlisis en la realidad de la Empresa Auditora EKBC &

JFSV, se ha podido identificar que los escenarios de riesgo con mayor ocurrencia
y ocasionar mayor impacto en el negocio son incendio, robo, falla de red y riesgo
operacional.
Estos escenarios que pueden ocasionar la prdida de continuidad o

interrupciones en los servicios prestados por EKBC & JFSV. A continuacin se
detallan en orden de importancia:
Riesgo Operacional: En el caso de EKBC & JFSVse tiene un riesgo

operacional considerando que el trabajo propiamente es realizar la
auditora a diferentes empresas, esto implica que los auditores estn en
gran medida en contacto con los clientes lo que conlleva a tener un trato
apropiado con lenguaje correcto y comunicacin acertada caso contrario
pone en riesgo la auditora como tal.
Robo: En Ecuador, el ndice de delincuencia como tal ha ido creciendo y
nadie est libre de que en cualquier momento pueda ser vctima de un robo
o asalto ms an cuando en su mayora los auditores tienen que
movilizarse a los clientes con el computador que aun cuando genera un
riesgo de prdida de informacin tambin genera un peligro para la vida de
los auditores.
Incendio: Teniendo en cuenta que EKBC & JFSV cuenta con instalaciones
de ya varios aos y que sus pisos son alfombrados (alfombra inflamable)
est propenso a tener incendios lo que generara perdida no solo de
informacin sino de lo ms importante que es el recurso humano.
Falla de Red: Al tener una falla de red puede suscitarse una mala
realizacin de respaldos de informacin lo cual genera datos errneos
almacenados que cuando deban ser utilizados no estarn disponibles o
estarn equivocados.
112
En cuanto a la mitigacin de estos escenarios se ha desarrollado el Plan de

Recuperacin de Desastres que permite la recuperacin de los servicios
tecnolgicos que da una pauta para la elaboracin de los planes y polticas de
acuerdo a la realidad de la Empresa.
Se ha podido identificar que a nivel Organizacional es necesaria la

implementacin de mejoras en cuanto a la seguridad del personal ya que se ha
podido identificar que no se cuenta con un rea de Seguridad organizacional y
Salud Ocupacional.
El contar con un rea de Seguridad organizacional y Salud Ocupacional ayudar
a que en caso de emergencias ocurridas en los escenarios de riesgo como
incendios o terremotos se pueda actuar de manera eficiente y se eviten as las
prdidas Humanas. El personal que pertenezca a estas reas debe contar con
preparacin en Primeros auxilios.
En cuanto a la continuidad del negocio, es importante establecer un Comit de

Riesgos, integrado por los responsables de cada rea. Es importante la creacin
de este comit ya que permite establecer los posibles daos ante un incidente,
establecer las prioridades y valorar si los planes con los que se cuenta son
eficientes. Adicionalmente este comit es el encargado de la actualizacin,
revisin del plan y establecer pruebas de funcionalidad del mismo.
113
CAPITULO 4.
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES.
Al iniciar con este plan se propone una Propuesta del Plan de Continuidad del
Negocio a EKBC & JFSV. Al finalizar el proyecto presentamos la propuesta y
validacin como contenido de este trabajo.
Nos hemos basado en el estndar ISO 27005:2008, anlisis FODA y Anlisis
PESTEL para la determinacin de riesgos y vulnerabilidades, adicional a esto
se ha analizado la Estructura Empresarial; los Procesos, Productos y Servicios
que EKBC & JFSVofrece, otra rea importante que se ha considerado es la
Estructura Tecnolgica y las plataformas sobre las que la Empresa Auditora
Trabaja, en base a estas normas, anlisis y estudios se han identificado los
Riesgos, Vulnerabilidades y las respuestas que se puede dar ante estos
escenarios.
Se ha realizado un estudio de la problemtica y se visualiza que la empresa, a
pesar de contar con polticas y procedimientos establecidos se encuentra dbil
en cuanto a la gestin de riesgos, estos riesgos son en su mayora Riesgos de
Operacin y de Recuperacin Tecnolgica en caso de desastres o fallos
debido a la falta de documentacin de los procedimientos que se deben
seguir.
Del trabajo realizado se ha podido identificar que los riesgos que generaran
un mayor impacto en el caso de ocurrencia son los siguientes: incendio, robo,
falla de red y riesgo operacional.
Hemos estudiado la norma ISO 22301:2012, un estndar que nos permite
establecer una propuesta basada en los riegos y vulnerabilidades que se han
identificado en la Empresa, adicionalmente se plantea el aporte que los
miembros de la organizacin proporcionan en el desarrollo de la propuesta.
114
En base a esta norma se ha establecido un Plan de recuperacin de

Desastres (DRP) que contienen planes parciales para la recuperacin de los
servicios y equipos en caso de daos o fallas.
Se ha desarrollado una gua que permite aplicar los procedimientos y
proporciona los pasos necesarios para aplicar los casos de contingencia.
Esta gua permite la identificacin de riesgos a los que se enfrenta una
empresa que ha implementado diferentes plataformas tecnolgicas, permite
identificar cual es la situacin actual de la Empresa y en base a ella la
elaboracin de planes que permitan mitigar el riesgo. Adicionalmente cuenta
con una gua para la socializacin del Plan de Continuidad.
Se ha validado la gua de procedimientos aplicndolos en la realidad de la
Empresa Auditora EKBC & JFSV; primero se realiz el anlisis de riesgos el
impacto que estos riesgos generaran dentro de la Empresa, a continuacin se
elabor el diseo de los procedimientos a seguir los mismos que se enfocan
en la mitigacin de riesgos y vulnerabilidades ya identificadas.
115
4.2. RECOMENDACIONES.
En base a los resultados obtenidos en el desarrollo del plan se recomienda:

Se recomienda elaborar un Plan de Continuidad en base a la norma ISO
22301:2012 ya que proporciona una visin global que puede ser aplicada en
cualquier tipo de empresa como se ha mostrado en el desarrollo de este plan.
Coordinar con el personal de Recursos Humanos capacitaciones sobre la
ejecucin de los planes de contingencia vigentes y los que se desarrollen a
futuro.
Se recomienda al personal encargado de la Administracin del BCP
establecer, definir y socializar las personas que conformarn el comit de
crisis, as como las responsabilidades. Adicionalmente se recomienda la
implementacin de una poltica de actualizacin del plan y de ejecucin de
pruebas del mismo.
Fortalecer las polticas implementadas en cuanto a respaldos y seguridades en
los equipos de computacin que son movilizados. As mismo documentar los
procedimientos de encendido y apagado de los equipos tecnolgicos como las
configuraciones que se encuentran vigentes.
116
BIBLIOGRAFA
J Gaspar Martnez, Planes de contingencia, La continuidad del negocio en las

organizaciones, Madrid, Espaa, 2004
J Gaspar Martnez, El plan de Continuidad de Negocio: Gua prctica para su

elaboracin Madrid, Espaa, 2008
J Chapman, Plan de recuperacin de negocios en una semana, Barcelona,

Espaa 2006.
J Martnez Ponce de Len, Introduccin al anlisis de riesgos, Mxico, Mxico,

2002
ISO/IEC 27001:2005 (antes BS 7799-2:2002): Sistema de gestin de la seguridad

de la informacin.
ISO 22301:2012 Sistemas de gestin & continuidad del negocio
Pginas Web
WIKIPEDIA, (2014, Marzo 30), Plan de continuidad del negocio, Disponible en:
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio,
F Ramrez. L Daza de Montoya, (2014, Junio 20), GESTIN DE CONTINUIDAD

DEL NEGOCIO, Plan de Continuidad del Negocio By BIL, Disponible en
http://bilait.co/continuidad/
117
GLOSARIO
Active Directory: Denominado en espaol como Directorio Activo, se define

como el servicio de directorio de una red de Windows que se convierte en un
medio de organizar, controlar y administrar centralizadamente el acceso a los
recursos de la red. El Active Directory adems separa la estructura lgica de una
organizacin de la estructura fsica de la misma.
BCP: Acrnimo de Bussines Continuity Plan o tambin conocido en espaol como

el Plan de Continuidad del Negocio. Es entendido como las actividades para
recuperar y poder continuar con todas las operaciones de negocio adems de las
operaciones de TI luego de la existencia de alguna eventualidad.
BIA: Acrnimo de Bussiness Impact Analysis su propsito es determinar y

entender qu procesos son esenciales para la continuidad de las operaciones y
calcular su posible impacto. Este proceso es parte fundamental dentro de la
elaboracin de un Plan de Continuidad del Negocio.
De acuerdo al Business Continuity Institute se tienen cuatro objetivos principales
al realizar un anlisis de impacto:
Entender los procesos crticos que soportan el servicio, la prioridad de cada uno
de estos servicios y los tiempos estimados de recuperacin (RTO).
Determinar los tiempos mximos tolerables de interrupcin (MTD).
Apoyar el proceso de determinar las estrategias adecuadas de recuperacin.
Contingencia: Serie de procedimientos alternativos al funcionamiento normal de

una organizacin, cuando alguna de sus funciones usuales se ve perjudicada ante
la ocurrencia de cualquier eventualidad y minimizar al mximo los impactos que
esta pueda ocasionar.
Disponibilidad: Continuidad de acceso a los elementos de informacin

almacenados y procesados en un sistema informtico.
118
DRP: Acrnimo de Disaster Recovery Plan o tambin conocido en espaol como

el Plan de Recuperacin de Desastres. Es entendido como las actividades para
recuperar las operaciones de TI, incluyendo las telecomunicaciones, luego de la
existencia de un desastre que se haya dado en una empresa o institucin.
Firewall: Es un dispositivo de seguridad, que es parte de un sistema o una red

diseada para controlar accesos no autorizados, de comunicaciones malignas,
entre sus principales funciones tenemos: filtrado de paquetes y navegacin,
traslacin de direcciones de privadas a pblicas y viceversa, encriptacin (VPNs),
Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados.
Incidente: Cualquier evento que no forma parte del desarrollo habitual del
servicio y que causa, o puede causar una interrupcin del mismo o una reduccin
de la calidad de dicho servicio.
Integridad: Se entiende por integridad el servicio de seguridad que garantiza que

la informacin es modificada, incluyendo su creacin y borrado, solo por el
personal autorizado. Por lo tanto los Sistemas de Informacin no debe modificar
o corromper la informacin que almacene, o permitir que alguien no autorizado lo
haga.
Polticas: Es un conjunto de reglas, normas, orientadas a regular cierta actividad,

con el objetivo de cumplir ciertos objetivos que fueron planteados. En informtica
uno de los principales objetivos de las polticas es normar o regular la
administracin de los recursos tecnolgicos y de informacin.
Proceso: Conjunto de actividades o eventos, coordinados u organizados que se

realizan o suceden (alternativa o simultneamente) bajo ciertas circunstancias
con el fin de cumplir con un objetivo en especfico.
119
Riesgo: Se define como riesgo a la probabilidad de que cualquier eventualidad se

aproveche de las vulnerabilidades de un sistema, de forma que imposibilite el
cumplimento de un objetivo o ponga en peligro a los bienes de la organizacin,
ocasionndole prdidas o daos.
UPS: Un UPS es una fuente de suministro elctrico que posee una batera con el
fin de seguir dando energa a un dispositivo en el caso de interrupcin elctrica.
Los UPS son llamados en espaol SAI (Sistema de alimentacin ininterrumpida).
UPS significa en ingls Uninterruptible Power Supply.
VPN: Red Privada Virtual, es una tecnologa de red que permite una extensin
segura de una red local, sobre una red pblica o no controlada.
Vulnerabilidad: Punto o aspecto del sistema que es susceptible de ser atacado o

de daar la seguridad del mismo. Representa las debilidades o aspectos viables o
atacables en el Sistema Informtico.
120
ANEXOS
121
ANEXO I
Orgnico Funcional EKBC & JFSV

122
123
124
ANEXO II
Topologa de la Red de EKBC & JFSV .

125

Propuesta de Un BCP

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Propuesta de Un BCP

Diunggah oleh

Hak Cipta:

Format Tersedia

I

ESCUELA POLITECNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

PROPUESTA UN PLAN DE CONTINUIDAD DEL NEGOCIO (BCP).

PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

SALGUERO VLIZ JUAN FRANCISCO

QUITO, AGOSTO 2014

Nosotros, Erika Fernanda Betancourt Canchignia Y Juan Francisco Salguero

A travs de la presente declaracin cedemos nuestros derechos de propiedad

Betancourt Canchignia Erika Fernanda Salguero Vliz Juan Francisco

INGENIERO BOLIVAR OSWALDO PALN TAMAYO

Dedico mi tesis a mi familia, que nunca ha dejado de creer en m y ha sido un pilar

Agradezco a mi madre infinitamente por no dejarme caer ni vencer por ninguna

CERTIFICACIN .................................................................................................. III

CONTENIDO ....................................................................................................... VIII

INDICE DE TABLAS ........................................................................................... XIV

INDICE DE FIGURAS ......................................................................................... XVI

RESUMEN ........................................................................................................ XVIII

INTRODUCCIN ................................................................................................ XIX

PLANTEAMIENTO DEL PROBLEMA. ................................................................... 1

1.1. RECONOCIMIENTO DEL PROBLEMA. ................................................... 1

1.1.1. MISIN DE LA EMPRESA. 1

1.1.2. VISIN DE LA EMPRESA. 1

1.1.3. ESTRUCTURA ORGANIZACIONAL DE LA EMPRESA. 2

1.1.4. CADENA DE VALOR DE LA EMPRESA AUDITORA. 3

1.1.5. IDENTIFICACIN DEL CORE BUSSINESS DE LA EMPRESA. 3

1.1.6. PLANTEAMIENTO DEL PROBLEMA. 3

1.2. DESCRIPCIN DEL DEPARTAMENTEO DE TECNOLOGA. ................. 4

1.2.1. UBICACIN DEL DEPARTAMENTO DE TECNOLOGIA. 4

1.2.2. OBJETIVOS Y FUNCIONES. 5

1.2.3. ORGNICO FUNCIONAL DEL DEPARTAMENTO DE TECNOLOGA.

1.2.4. TOPOLOGA DE LA RED DE DATOS DE EKBC & JFSV. 12

1.2.7. SEGURIDAD EN EL DEPARTAMENTO DE TECNOLOGA 14

1.2.7.1. Seguridad fsica. 14

1.2.7.2. Seguridad lgica 16

1.2.7.3. Revisiones de cumplimiento 18

1.2.7.4. Seguridad legal 19

1.2.7.5. Seguridad de informacin y respaldos 19

1.3. LEVANTAMIENTO DE PRODUCTOS Y SERVICIOS DE LA EMPRESA.

1.3.1. PROCESO DE ATENCIN AL CLIENTE. 21

1.3.2. PROCESO DE GESTIN DE LAS OPERACIONES DE SERVICIO.

1.3.3. PROCESO DE COBRANZAS. 35

1.4. DESCRIPCIN DE LOS PROCESOS DE LA EMPRESA. ..................... 38

1.4.1. DESCRIPCIN DEL PROCESO DE ATENCIN AL CLIENTE. 38

1.4.2. DESCRIPCINDEL PROCESO DE OPERACIONES DE SERVICIO.

1.4.3. DESCRIPCIN DEL PROCESO DE COBRANZAS 41

1.4.4. DESCRIPCIN DEL PROCESO DE APOYO ADMINISTRATIVO. 42

1.5. DESCRIPCIN DEL PROBLEMA Y NECESIDADES DE CONTINUIDAD.

1.5.1. DESCRIPCIN DEL PROBLEMA 42

1.5.2. NECESIDAD DE CONTINUIDAD 43

PROPUESTA DEL PLAN DE CONTINUIDAD ..................................................... 44

2.1. LIDERAZGO ........................................................................................... 44

2.2. POLTICA DE CONTINUIDAD DEL NEGOCIO. ..................................... 45

2.2.2. RESPALDO DE INFORMACIN 45

2.2.3. ROLES Y RESPONSABILIDADES 46

2.2.5. CONSIDERACIONES GENERALES 46

2.3. ANLISIS DE RIESGO Y VULNERABILIDADES. .................................. 47

2.3.1. IDENTIFICACIN DE RIESGOS 47

2.3.1.1. Anlisis FODA. 49

2.3.1.2. Anlisis PESTEL. 50

2.3.1.3. Matriz de riesgos 51

2.4. ANALISIS DE IMPACTO DEL NEGOCIO. .............................................. 55

2.4.1. DESCRIPCIN DEL IMPACTO 55

2.4.2. ESTRATEGIAS DE RECUPERACIN. 66