Post on 04-Jul-2022
Universidad Nueva Esparta Facultad de Ciencias de la Informática
Escuela de Computación Trabajo de Grado
Tema: Seguridad de la Información. Línea de Investigación: Desarrollo de Tecnologías de Información gerencial para instituciones públicas y privadas.
Título: Implementación del Sistema automatizado para la evaluación del riesgo de indisponibilidad de una base de datos bajo el modelo evaluativo Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de
estudio: ENIAC, C.A
Tutor: Ing. Alberto Rodriguez Trabajo de Grado Presentado por: Br. Borrero, Beaneth
Br. Mendoza, Jon
Para optar al Título de:
Licenciado en Computación.
Abril, 2014 Caracas – Venezuela
Implementación del Sistema automatizado para la evaluación del riesgo de indisponibilidad de una base de datos
bajo el modelo evaluativo Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de estudio:
ENIAC, C.A by Borrero, Beaneth; Jon, Mendozais licensed under a Creative Commons Reconocimiento-
NoComercial-CompartirIgual 4.0 Internacional License.
ii
Aprobación del tutor
En mi carácter de Tutor del Trabajo de Grado presentado por los
ciudadanos Beaneth Borrero y Jon Mendoza para optar al grado de
Licenciados en Computación, considero dicho Trabajo de Grado reúne los
requisitos y méritos suficientes para ser sometido a la presentación pública y
evaluación por parte del jurado examinador que se designe.
En la Ciudad de Caracas, a los 28 del mes de Diciembre de 2013.
__________________ Ing. Alberto Rodriguez
C.I: G10035862
iii
Universidad Nueva Esparta
Facultad de Ciencias de la Informática
Escuela de Computación
Trabajo de Grado
Línea de Investigación: Desarrollo de Tecnologías de Información gerencial para instituciones públicas y privadas. Tema: Seguridad de la Información.
Título: Implementar el Sistema automatizado para la evaluación del riesgo de indisponibilidad de una base de datos bajo el modelo evaluativo Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de estudio: ENIAC, C.A
APROBADO
JURADO
JURADO I
JURADO II
Nombre y Apellido
Nombre y Apellido
Cédula de Identidad
Cédula de Identidad
Firma
Firma
Tutor (a)
Nombre y Apellido
Cédula de Identidad
Firma
Abril, 2014 Caracas – Venezuela
iv
Dedicatoria
Quiero dedicar este trabajo a toda mi familia, por acompañarme y apoyarme
en cada momento en mi vida. A mi mama Elizabeth Haycock, por todas las
cosas buenas que me han dado, por toda la ayuda y apoyo que me han
brindado en esta vida.
A mi hermana Angela, que me apoya siempre y está ahí para mí cuando la
necesito.
A mis amigos, por ser una parte muy importante de mi vida y me han hecho
sentir en familia. Por ultimo a mi compañera de tesis Oriana Borrero por ser
excelente amiga y constante en todo momento.
Muchas Gracias.
Jon Mendoza
v
Dedicatoria
Quiero dedicar este trabajo a toda mi familia, por acompañarme y apoyarme
en cada momento en mi vida. A mi mamá Beatriz Villegas, mi papá Tomás
Borrero y mi abuela Reina Iglesias por todas las cosas que me han dado y el
apoyo que me han brindado.
A mis amigos, por ser una parte importante de mi vida y me han hecho sentir
en familia. Por ultimo a mi compañero de tesis Jon Mendoza por ser
excelente amigo y constante en todo momento.
Muchas Gracias.
Beaneth Borrero
vi
Agradecimiento
A nuestro tutor Juan Alberto Rodríguez, quien nos apoyó y nos guio en el
proceso de desarrollo de toda la investigación.
A la Licenciada Daynir Rondón quien nos orientó y nos guio durante el
proceso investigativo.
Al Sr. Jaime Fontecilla director de tecnología por el apoyo brindado y la
oportunidad de realizar este proyecto en la empresa ENIAC C.A.
Al profesor Carlos Da Silva, por el apoyo incondicional y la orientación en la
realización del documento.
vii
UNIVERSIDAD NUEVA ESPARTA FACULTAD DE CIENCIAS DE LA INFORMÁTICA
ESCUELA DE COMPUTACIÓN Implementar el Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de estudio:
ENIAC, C.A Autores: Br. Borrero, Beaneth
Br. Mendoza, Jon Tutor: Ing. Alberto Rodriguez Fecha: Enero de 2014
Resumen
El Business Impact Analysis es un componente esencial en la continuación de los planes negocios de las organizaciones, que incluye un componente investigativo que revela cualquier vulnerabilidad y un componente de planificación para desarrollar estrategias para minimizar el riesgo, el resultado de este análisis es un reporte del impacto en el análisis de negocio. La empresa en estudio ENIAC, C.A. es representada como una organización estable y madura en el área de la tecnología, dentro de sus áreas de negocios se encuentra Aplicaciones E-Commerce un departamento encargado del servicio de intercambio electrónico de documentos a través del portal TradePlace, dicha área posee visiones a futuro sobre sus procedimientos, es por esto que se plantea el trabajo investigativo que presenta como objetivo general “Implementar el sistema de automatización para la evaluación de riesgos de indisponibilidad de una base de datos a través de un sistema concebido bajo el modelo evaluativo Business Impact Analysis ”, basado en sus objetivos específicos se define como un Proyecto Factible presentando un diseño de investigación mixto debido a que incluye características de ambas, investigación de campo y una documental, la investigación se enmarca en el marco metodológico Ciclo de Deming. Palabras Clave en la Investigación: Ciclo de Deming, evaluación del riesgo, base de datos, Business Impact Analysis.
viii
NUEVA ESPARTA UNIVERSITY FACULTY OF COMPUER SCIENCE
COMPUTER SCHOOL Implementing an Automated System for Risk Evaluation on the Unavailability
of a Database under the Evaluative Model of Business Impact Analysis (In accordance with regulation ISO 27001:2005)
Authors: Br. Borrero, Beaneth
Br. Mendoza, Jon Tutor: Ing. Alberto Rodriguez Date: Marzo de 2011
Summary
The Business Impact Analysis is an essential component in the continuation of business plans for organizations. It includes an investigative component that reveals any type of vulnerability together with a planning component used to develop strategies for minimal risk.
The company under analysis, ENIAC, C.A., is portrayed as a stable and mature organization in the technological field. Among the businesses belonging to this company is E-Commerce Applications, which manages an electronic exchange service of documents through a portal named TradePlace. This area has future visions towards its procedures and for this reason, an investigative research has been recommended using as its general objective “Implementing the Automated System for Risk Evaluation on the Unavailability of a Database conceived under the Evaluative Model of Business Impact Analysis”.
Based on specific objectives, it is defined as a Realistic Project, portraying a design of combined research including characteristics of both field investigation and a documentary framed within the Deming Cycle methodology.
Key Words in the Investigation: Deming Cycle, Risk Assessment, Data Base, Business Impact Analysis.
ix
INDICE
Aprobación del tutor…………… ....................................................................... ii
Dedicatoria…………………………………………………………………………..iv
Dedicatoria…………………….. ........................................................................ v
Agradecimiento……………………….. ............................................................. vi
Resumen…………………………… ................................................................ vii
Summary………………………… ................................................................... viii
INDICE………………………………… ............................................................. ix
LISTA DE GRÁFICOS…………………. ......................................................... xii
LISTA DE CUADROS………………. ............................................................. xiii
LISTA DE FIGURAS………………….. .......................................................... xiv
INTRODUCCION………………………. ........................................................... 1
CAPÍTULO I
EL PROBLEMA DE INVESTIGACIÓN
Contextualización ............................................................................................ 4
Planteamiento del Problema ........................................................................... 5
Formulación del problema .............................................................................. 7
Interrogantes de la Investigación
Interrogante Principal ................................................................................................. 7
Interrogantes Secundarias ........................................................................................ 7
Objetivos de Investigación
Objetivo General ......................................................................................................... 8
Objetivos Específicos ................................................................................................ 8
Justificación de la Investigación ...................................................................... 9
Delimitaciones
Delimitación Temática ............................................................................................... 9
Delimitación Geográfica .......................................................................................... 10
x
Delimitación Técnica ................................................................................................ 10
Delimitación Temporales ......................................................................................... 10
Limitaciones .................................................................................................. 10
Alcance………………… ................................................................................ 10
CAPÍTULO II
MARCO REFERENCIAL
Consideraciones Generales .......................................................................... 11
Antecedentes de la Investigación ................................................................. 12
Bases conceptuales ...................................................................................... 14
Bases Legales .............................................................................................. 28
Definición de Términos ................................................................................. 29
CAPÍTULO III
MARCO METODOLÓGICO
Tipo de Investigación .................................................................................... 34
Diseño de la Investigación ............................................................................ 35
Metodologías de Análisis y Diseño de Sistemas.......................................... 36
Población y Muestra
Población …………………………………………………………………..………39
Muestra……………………………. ................................................................. 40
Validez y confiabilidad del Instrumento ......................................................... 40
Técnicas e Instrumentos de Recolección de Datos ...................................... 41
Análisis e Interpretación de los Resultados .................................................. 42
CAPÍTULO IV
SISTEMA ACTUAL
Descripción del Sistema Actual .............................................................. 52
CAPÍTULO V
xi
SISTEMA PROPUESTO
Descripción del Sistema Propuesto .............................................................. 57
Aplicación de la Metodologías de Análisis y Diseño de Sistemas
Fase de Planificar ......................................................................................... 58
Fase de Hacer .............................................................................................. 77
Fase Verificar ................................................................................................ 86
Fase Actuar................................................................................................. 114
CONCLUSIONES Y RECOMENDACIONES
Conclusiones .............................................................................................. 120
Recomendaciones ...................................................................................... 123
REFERENCIAS BIBLIOGRÁFICAS ............................................................ 124
ANEXOS
Anexo N° 1 .................................................................................................. 127
Anexo N° 2 .................................................................................................. 128
Anexo N° 3 .................................................................................................. 139
Anexo N° 4 .................................................................................................. 153
Anexo N° 5 .................................................................................................. 156
Anexo N° 6 .................................................................................................. 157
xii
LISTA DE GRÁFICOS
Gráfico 1Caso de Uso del Sistema Actual ................................................... 55
Gráfico 2 Flujo de Procesos Risk Data Base …………………………………. 99
Gráfico 3 Flujo de Procesos - AdN ............................................................ 99
Gráfico 4 Flujo de Procesos - Cuestionario ................................................ 99
Gráfico 5 Flujo de Procesos – Análisis de Riesgo .................................... 100
Gráfico 6 Flujo de Procesos – Base de Conocimientos ............................. 100
xiii
LISTA DE CUADROS
Cuadro 1 Operacionalización de Variables …………………………….. 32
Cuadro 2 Definición de Controles-Metas …………………………….. 74
Cuadro 3 Definición de Criterios de Evaluación ………………………. 80
Cuadro 4 tbl_adn …………………….…………………………………... 102
Cuadro 5 tbl_producto …………………….………………………………. 103
Cuadro 7 tbl_status …………………….………………………………. 103
Cuadro 8 tbl_cuestionario …………………….……………………….. 104
Cuadro 9 tbl_indicador …………………….……………………….. 104
Cuadro 10 tbl_mitigacion …………………….……………………….. 105
Cuadro 11 tbl_control …………………….………………………..…….. 105
Cuadro 12 tbl_calculo …………………….………………………..…….. 106
Cuadro 13 tbl_bd …………………………………………………….. 105
Cuadro 14 tbl_resultado …………………………………………………… 106
xiv
LISTA DE FIGURAS
Ilustración 1 Organigrama ISO 27001 …………………………………... 90
Ilustración 2 Cálculo de Riesgo PSR …………………………………... 91
Ilustración 3 Módulo AdN – Crear AdN ………………………………….. 95
Ilustración 4 Módulo de Cuestionario ………………………………….. 96
Ilustración 5 Reporte de Análisis de Riesgo …………………………… 97
Ilustración 6 Acceso al sistema Risk Data Base ……………………… 107
Ilustración 7 Menú principal Risk Data Base ……………………… 107
Ilustración 8 Instrucciones de uso del sistema Risk Data Base …….. 108
Ilustración 9 Escala de Riesgo del sistema Risk Data Base …….. 108
Ilustración 10 Registro del AdN ………………………………….............. 109
Ilustración 11 Modificar AdN ………………………………….............. 109
Ilustración 12 Status del AdN ………………………………….............. 110
Ilustración 13 Cuestionario ………………………………….............. 110
Ilustración 14 Reporte de análisis de riesgo …………………………. 111
Ilustración 15 Reporte …………………………………........................ 111
Ilustración 16 Base de conocimientos ……………………………….. 112
Ilustración 17 Registro de usuario …………………………………...... 112
Ilustración 18 Modificar contraseña del usuario ………………………. 113
Ilustración 19 Status del usuario …………………………………….. 113
1
INTRODUCCION
La recolección, procesamiento y uso de la información relativa a las
operaciones de un negocio son vitales para su éxito. Incluso algo tan simple
como una lista de correo del cliente debe ser gestionado adecuadamente, si
se que quiere mantener actualizada y precisa. Por lo tanto, las herramientas
o aplicaciones que pueden hacer las tareas involucradas más fácil y más
eficiente que debe tomar serias consideración.
La base de datos es una de las piedras angulares de la tecnología de
la información, y su capacidad para organizar, procesar y gestionar
información de manera estructurada y controlada es la clave para muchos
aspectos de la eficiencia de los negocios modernos.
La empresa en estudio es ENIAC, C.A la mayor organización en
soporte, distribución e integración de tecnología de información de América
Latina y el Caribe.
Muchas empresas no tienen el tiempo o los recursos disponibles para
recopilar y procesar grandes cantidades de información. Por lo tanto, pueden
carecer de información acerca de cómo su negocio se está realizando - por
ejemplo, la rentabilidad de sus líneas de productos o si los clientes están
haciendo compras repetidas.
Sin embargo, ya que no siempre es obvio cuál es la información que
puede ser valiosa, es necesario tratar de reunir datos tanto como sea
posible.
Este tipo de información puede ayudar a las empresas a lidiar con
problemas operativos específicos o estrategias de forma en el futuro. La
recolección, almacenamiento y tratamiento de los datos personales de los
clientes deben cumplir con la legislación de protección de datos. Por ejemplo,
los datos históricos puede mostrar las tendencias de negocios, o los registros
2
de ventas puede identificar a los clientes valiosos. Además, las disciplinas
necesarias para reunir, introducir y procesar estos datos pueden ayudar a
asegurar que su negocio se ejecuta de una manera regular y si es manejada
adecuadamente.
Las ventajas de utilizar la tecnología de base de datos en las
empresas incluyen: reducir la cantidad de tiempo gastado en la gestión de
datos, enfoque disciplinado para la gestión de datos lo cual podría generar
que la información irrelevante se convierta en un recurso valioso así como
también mejora la calidad y consistencia de la información.
Se presentan infinidad de bondades en los sistemas de base de datos
pero también existen amenazas a las mismas que puede venir de cualquier
dirección y en cualquier forma, el error humano, los desastres naturales,
fallos de hardware o incluso simples malentendidos por lo que la mitigación
del riesgo debe abarcar todas las posibles amenazas, incluyendo el robo de
información, ya sea por prevención o el tener un plan de reacción lo que
limita la pérdida.
Viviendo en la era de la información significa la supervivencia de un
negocio depende de la información que tienen y la disponibilidad de esa
información.
El propósito de este trabajo especial de grado es la realización de
una medida de prevención basada en la definición e implantación de un
método capaz de evaluar las exposiciones de riesgo, impacto y acciones a
ejecutar en caso de una eventualidad, en el sistema de base de datos del
portal TradePlace sistema desarrollado por el área de negocios E-Commerce
de ENIAC C.A.
Para ello el establecimiento de un instrumento de medición como una
Matriz de Riesgo, basado en las prácticas internacionales de Basilea y la
3
ejecución de un BIA el cual permite definir el impacto de negocio en la que
ENIAC, C.A se encuentra expuesta en el caso de que ocurran eventos que
interfieran con el grado absoluto de continuidad operacional de la base de
datos, permitiendo establecer la calificación de riesgo de la base de datos y
su impacto en la gestión del negocio, teniendo en cuenta las premisas
anteriores.
La investigación presenta una estructurada de cinco capítulos, los
cuales son:
Capítulo I: En este se desarrollan los aspectos sobre el problema, tal como lo
es la contextualización y el planteamiento del problema, formulación del
problema, interrogantes, objetivos general y específicos, justificación,
delimitaciones y limitaciones.
Capítulo II: Antecedentes del estudio, bases teóricas, definición de términos y
el sistema de variables, son los puntos a desarrollar en dicho capítulo.
Capítulo III: Marco Metodológico, en este se presenta el nivel y diseño de
investigación, técnicas e instrumentos de recolección de datos, la población y
la muestra, el plan de procesamiento y análisis de los datos.
Capítulo IV: Sistema Actual capítulo que presenta el sistema existente en el
ámbito a desarrollar.
Capítulo V: Conformado por las secciones de descripción del sistema
propuesto y aplicación de la metodologías de análisis y diseño de sistemas.
Finalmente se presentan conclusiones, recomendaciones, referencias
bibliográficas, anexos y el glosario de términos.
4
CAPÍTULO I
EL PROBLEMA DE INVESTIGACIÓN
Contextualización
Debido al incremento e importancia en los sistemas de base de datos
se han generado técnicas y recomendaciones para el almacén de datos, así
como también se han implementados leyes para su uso adecuado y fidelidad
de los datos.
Los sistemas de base de datos son elementos estratégicos en las
organizaciones, cuyos riesgos se debe medir y gestionar rigurosamente
debido a los siguientes factores: creciente dependencia que tienen las
organizaciones de la información y las aplicaciones que proporcionan
vulnerabilidad, escala de costos considerables de mantenimiento e inversión
en las tecnología de información (TI) en infraestructura, así como, el valor
agregado que debe aportar TI al negocio. Las organizaciones se ven
obligadas a indagar métodos para determinar los procesos críticos dentro de
la base de datos, tiempos estimados para la recuperación en caso de que se
pierda la disponibilidad y determinar estrategias adecuadas de su
recuperación para las respuestas a esta serie de interrogantes existe el
método Business Impact Analysis, el cual generará un informe detallado en
donde se expone cada una de las funciones de alta criticidad de la
compañía, el impacto que representa la indisponibilidad o un tiempo de
inactividad no planificado en el negocio y las estrategias de recuperación
recomendadas.
5
Planteamiento del Problema
En la actualidad se tiene como herramienta tecnológica para el
almacenamiento de data, los sistemas de base de datos que consisten en
guardar y recuperar información, lo cual permite a los usuarios acceder y
actualizar la data, la cantidad de veces necesaria.
Esta herramienta ha permitido a las organizaciones presentar una
óptima gestión de data, en donde se almacena una gran cantidad de
información tanto de la nómina de las organizaciones, como información
confidencial acerca de procedimientos y convenios, si bien este manejo de
información se genera de una forma factible, existen debilidades en este
sistema, ya que, si se pierde la disponibilidad de base de datos, las
organizaciones pueden quedar gravemente perjudicadas, si se refiere a una
compañía de servicios en donde se deben de cumplir las expectativas de los
clientes, el impacto que ocasionaría sobre el negocio una pérdida de
disponibilidad de base de datos afectaría la imagen de la organización, lo
cual generaría una pérdida de clientes.
Si bien existen distintos mecanismos de respaldos de base de datos,
estas varían dependiendo de las organizaciones, de la madurez de la data,
disponibilidad de cartuchos y dimensión de los datos.
Por otra parte, la información es el activo intangible más importante de
una empresa, el responsable de TI debe velar porque los procedimientos,
políticas y estructura organizacional prevean una razonable seguridad y
disponibilidad de los servicios informáticos.
Por esta razón, es necesario desarrollar acciones orientadas a:
Acoplamiento de TI a las diferentes líneas del negocio.
6
Garantizar que la captura, procesamiento, almacenamiento y
transmisión de información se realice de forma segura y
confiable.
Evitar interrupciones de las operaciones del negocio.
Administra los costos y el riesgo de TI sobre las bases de
datos.
La empresa en estudio ENIAC, C.A., es representada como una
organización estable y madura debido a su larga trayectoria en el ámbito de
la venta de software, presenta una amplia cartera de negocios tanto a nivel
nacional como a nivel internacional, dicha organización posee visiones a
futuro sobre sus procedimientos, por ende investiga metodologías capaces
de cubrir sus activos, es por esto que el departamento que interviene en la
gestión de la base de datos planteó la necesidad de idear un proyecto piloto
basado en un la metodología Business Impact Analys, el cual, será ofrecido
dentro de sus productos y servicios debido a que la indisponibilidad de
alguna de sus bases de datos genera grandes pérdidas económicas, ya que,
a sus productos están afiliados organizaciones como supermercados,
farmacias y algunos laboratorios siendo cada una de ellas afectadas, debido
a que son organismos que manejan información sensible que van ligadas a
problemas legales así como a pérdidas millonarias, afectando el prestigio de
la organización siendo de mucho valor para la compañía, ya que, pertenecen
a ámbitos sumamente competitivo.
La herramienta detectará los distintos riesgos que presenta una base de
datos ya sean de riesgos físicos del servidor que opera la base de datos,
corrupción de la base de datos, problemas de acceso, problemas en el
servicio de redundancia y alta disponibilidad, falta de capacidad e incremento
de volumen, problemas de lógica que incrementen el performance de la base
7
de datos. El modelo evaluativo determinará los recursos necesarios para
garantizar la continuidad de los procesos, determinando los puntos críticos
de la base de datos, dependencias, impacto sobre el entorno en el que se
desarrolla y presentando un tiempo estimado de recuperación de la
disponibilidad y esto se logra defiendo un conjunto de criterios de riesgo; y su
respectivas criticidad a través de un matriz de riesgo, siendo esta una
herramienta netamente preventiva, inicialmente ésta organización manejara
éste estudio como una prueba piloto dentro del área de base de datos.
Formulación del problema
¿Podría ayudar una matriz de riesgo basada en un Business Impact Analysis
en la evaluación de base de datos?
Interrogantes de la Investigación
Interrogante Principal
¿Qué requerimientos, tecnologías, procesos, procedimientos, normas y
aspectos legales se deben de considerar para evaluar el riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo Business
Impact Analysis?
Interrogantes Secundarias
¿Cómo es el contexto operacional del servicios de la base de datos
TradePlace del área de negocios Aplicaciones E-Commerce en ENIAC. C.A?
¿Qué indicadores se deben tomar como referencia para analizar la criticidad
de cada uno de los elementos de datos y servicios funcionales que se
ejecuta a través de la base de datos del Portal TradePlace?
¿Cuáles causas de falla funcional se deben ejecutar en caso de una eventual
contingencia en la base de datos del Portal TradePlace?
8
¿Cuáles son los requerimientos de información necesarios para garantizar la
disponibilidad del servicio TradePlace?
¿Qué procesos, procedimientos y normas se deben tomar en cuenta para
diseñar el sistema?
¿Qué pruebas se deben aplicar para evaluar el funcionamiento del
formulario?
Objetivos de Investigación
Objetivo General
Implementar el sistema de automatización para la evaluación de riesgos de
indisponibilidad de una base de datos a través de un sistema concebido bajo
el modelo evaluativo Business Impact Analysis, apegado a la norma ISO
27001:2005.
Objetivos Específicos
-Describir el contexto operacional del sistema de base de datos TradePlace
en el área de negocios Aplicaciones E-Commerce en la empresa ENIAC C.A.
-Analizar la criticidad de cada uno de los elementos y servicios funcionales
que se ejecutan a través de la base de datos del Portal TradePlace.
-Determinar los requerimientos de información necesarios para garantizar la
disponibilidad del servicio TradePlace.
- Diseñar la interfaz gráfica y el modelo de datos para el sistema Risk Data
Base.
- Desarrollar los algoritmos necesarios para la gestión de los procesos del
sistema Risk Data Base.
-Aplicar las pruebas necesarias a fin de aprobar el sistema Risk Data Base.
9
-Implementar el sistema Risk Data Base en el área de negocios Aplicaciones
E-Commerce
Justificación de la Investigación
La motivación principal que generó a los autores la realización de un
modelo evaluativo Business Impact Analysis fue la dependencia e
importancia que posee en ENIAC C.A, y en las organizaciones modernas
que suministran servicios el manejo de información a través de un sistema
de base de datos, así como también la gran cantidad de riesgos que
amenazan la operatividad de las bases de datos y el impacto económico y
organizacional que estas representaría.
La investigación parte de la premisa anterior, debido a que presenta un
sistema evaluativo Business Impact Analysis en donde se muestra los
puntos críticos de la base de datos, dependencias, impacto sobre el entorno
en el que se desarrolla y el tiempo estimado de recuperación de la
disponibilidad en donde se presenta como instrumento de medición una
matriz de riesgo, la cual suministrara a ENIAC C.A un instrumento de
prevención y solución en el momento en el que se presenten acciones que
amenacen con la operatividad minimizando el riesgo comercial.
El estudio dará paso a otras investigaciones en el cual la presente
sección representa el impulso que dio lugar al desarrollo de la investigación
así como también la organización en la cual será aplicado el modelo
evaluativo.
Delimitaciones
Delimitación Temática
El tema presentado en el estudio se denomina Seguridad de la
Información y está enmarcado bajo la línea de investigación Desarrollo de
Tecnologías de Información gerencial para instituciones públicas y privadas,
10
el título que se plantea para la investigación es Implementar el Sistema
automatizado para la evaluación del riesgo de indisponibilidad de una base
de datos bajo el modelo evaluativo Business Impact Analysis. Apegado a la
norma ISO 27001:2005. Caso de estudio: ENIAC, C.A
Delimitación Geográfica
El estudio se llevaró a cabo en las instalaciones de la empresa ENIAC
Edificio Polar, Torre Oeste, Piso 10. Plaza Venezuela, Los Caobos
Caracas 1050, Venezuela.
Delimitación Técnica
El estudio está centrado en desarrollo de un sistema automatizado
para la evaluación del riesgo de indisponibilidad de una base de datos bajo el
modelo evaluativo Business Impact Analysis, enfocándose en una evaluación
objetiva, lo que lleva a que el estudio no está enfocado en un manejador de
base de datos en específico, es una evaluación global y perdurable en el
tiempo.
Delimitación Temporales
La temporalidad de la presente investigación se basará en un tiempo
de duración de 8 meses lineales, de los cuales dispondrá de tres (3) etapas
consecutivas realizadas trimestralmente, en la etapa inicial se presentarán
los instrumentos de recolección de datos, una vez finalizado inicia la etapa
de revisión en donde se realizaran dos (2) estudios del sistema de base de
datos basado en BIA y finaliza con la etapa de certificación, teniendo un
periodo entre el mes de Octubre de 2013 hasta Enero de 2014.
Limitaciones
No se encontraron limitaciones que impidan el desarrollo de la investigación.
11
Alcance
El sistema será implementado en la empresa ENIAC C.A, en el área de
Aplicaciones E-Commerce, como un sistema prototipo, si los resultados
obtenidos son positivos, el sistema será implementado en todas las áreas de
negocio de ENIAC C.A.
CAPÍTULO II
MARCO REFERENCIAL
Consideraciones Generales
En el marco teórico referencial se presentan los supuestos, definiciones,
leyes, soportes conceptuales de diferentes expertos en la temática
desarrollada en las que se basa la investigación, puntos que darán a la
investigación apoyo y sustento.
De acuerdo a Balestrini (2006), indica:
“En este sentido, el marco teórico, es el resultado de la selección de
aquellos aspectos más relaciones del cuerpo teórico epistemológico que se
asume, referidos al tema específico elegido para su estudio. De allí pues, que
su racionalidad, estructura lógica y consistencia interna, va a permitir el
análisis de los hechos conocidos, así como, orientar la búsqueda de los datos
relevantes. En consecuencia, cualquiera que sea el punto de partida, para la
delimitación y el tratamiento del problema se requiere de la definición
conceptual y la ubicación del contexto teórico que orienta el sentido de la
investigación”.
(p. 91).
12
El marco referencial teórico presenta toda aquella fundamentación
teórica dentro de la cual se engloba los aspectos fundamentales para la
realización de la investigación.
Antecedentes de la Investigación
A continuación se relaciona un (3) Trabajo de Grado, las cuales precede a la
investigación.
Sánchez Torbay y Fierro Fariño (2008). Presentaron su Trabajo de
Grado en la Escuela Superior Politécnica del Litoral, el cual lleva por título:
Plan de Continuidad de Negocios (BCP) para el Área de Sistemas de una
empresa dedicada a la manufactura de papel
Dicha investigación abarca análisis y proceso que deben contener un
plan de continuidad de negocio en caso de contingencia o desastre que
afecte a la continuidad de las operaciones de la compañía Clark S.A. La
interrupción de las operaciones se pueden dar por diversas causas tales
como desastres naturales, humanos, tecnológicos y operacionales esto
causa un impacto grave que produciría pérdidas humanas y económicas
según la severidad del desastre en caso de no tener implementado un BCP.
Para la realización del trabajo los autores se enfocan en analizar los
controles, políticas y procedimientos establecidos por la gerencia para el
área de Sistemas IT, el cuál permite planificar el plan. Se analizaron las
amenazas, vulnerabilidades y riesgos en los procesos de IT. Además
se determinó la realización de pruebas de control que permita verificar el
correcto funcionamiento del plan, también se estableció el proceso de
recuperación de las actividades y un manual de crisis que permita a la
compañía enfrentar cualquier tipo de contingencia. Como herramientas
de ayuda a la investigación el estudio se basó en cuestionarios, tablas,
gráficos, check list que sirvieron de herramientas de control para evaluar los
13
procesos de IT, así como el análisis de la ejecución del plan. El trabajo
presenta nueve capítulos que explica el contenido del mismo.
La investigación aporta al Sistema automatizado para la evaluación
del riesgo de indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis una visión de un plan de continuidad de los
negocios ante eventos naturales, tecnológicos, humanos y operacionales
contribuyendo al diferentes puntos de criticidad en los que la investigación se
debe tomar en cuenta así como los niveles de impactos generados.
Bracho Darlis y Rendon Julio (2006). Presentaron un estudio de grado
en la Universidad Catolica Andres Bello, la cual lleva por título Desarrollo de
un sistema para la gestión de riesgos en proyectos de tecnología de
información, para optar al título de Ingeniero en Sistemas.
La investigación trazó como propósito principal el desarrollar un
sistema para la gestión de riesgos, que permitiera apoyar los procesos de
gestión de riesgos en proyectos de tecnología de información a nivel de
planificación (identificación y valoración) y seguimiento, generando
innumerables aportes a la investigación debido a que en su estudio se
presentan los riesgo más comunes en los proyectos de Información siendo
esta información de vital importancia para el desarrollo del formato
automatizado así como también identifica las fases de gestión de riesgos en
un proyecto colaborando con el análisis de la ponderación a asignar a los
puntos de criticidad que serán planteados en la investigación.
González, Enma (2011). Presentó su Trabajo de Grado en la
Universidad Católica Andrés Bello, el cual lleva el título: Plan de la calidad
para la seguridad de la información en el ciclo de vida del sistema de
información que maneja mayor volumen de datos para la empresa en
estudio.
14
La investigación presenta un plan de calidad que le permite a la
empresa Consultora AZ incorporar requisitos de calidad y seguridad de la
información durante las fases del ciclo de vida de esta aplicación. Para así
evitar brechas que lo hace vulnerable, como fallas en los controles de acceso
a la aplicación e información, en la protección contra software malicioso, en
el control de procesamiento interno y en la validación de la data de insumo.
Para la realización del trabajo los autores se apegaron en la norma ISO
27001:2005 “Tecnología de la información, Técnicas de seguridad, Sistemas
de gestión de seguridad de la información”, para de esta forma resolver
interrogantes como: ¿Ciclo de vida actual y cuáles son los criterios de calidad
y seguridad utilizados?, ¿Cuáles son los requisitos de un sistema de gestión
de seguridad de la información que se pueden utilizar? , ¿Cuáles serán las
características de un plan calidad para aplicar los requisitos de un sistema de
gestión de seguridad de la información en el ciclo de vida de un sistema?
La investigación realizada por González, Enma se encuentra apegada al
igual que la presente investigación a la norma ISO 27001:2005
representando información de gran importancia para el marco metodológico
a realizar, representa para la investigación un apoyo teórico y estructural
importante.
Bases conceptuales
El eje focal que presenta la investigación es el resguardo del sistema
de base de datos del Área de Negocios Aplicaciones E-Commerce
perteneciente a ENIAC C.A, para ello es primordial definir con exactitud cada
uno de los puntos que aportan a la investigación bases conceptuales
ayudando al desarrollo del estudio.
Base de datos
15
Sistema automatizado el cuya finalidad recae en el almacenamiento
de un conjunto de datos relacionados entre sí, permite a los usuarios
recuperar y actualizar esa información en base a repeticiones.
Las bases de dato no presenta un tamaño estándar estos pueden variar
dependiendo de cantidad y complejidad de data.
Según Betancourt Dayan (2008)”Toda la información debe
organizarse y controlarse para que los usuarios puedan buscar, obtener y
actualizar los datos cuando sea necesario. La generación y el mantenimiento
de las bases de datos pueden ser manuales o mecánicos. Para el último se
utiliza un sistema de gestión de base de datos”.
En la actualidad las organizaciones que operan con servicios que van contra
una base de datos requieren distintos procesos para mantener sus procesos
o servicios de manera operativa.
Una vez aclarado el concepto de base de datos es fundamental indagar el
proceso evaluativo por el cual será sometido el sistema en las base de datos
de ENIAC. C.A.
Modelo de evaluación formativa
Scriven(1967) indica: “Es aquella que centra su intervención en los
procesos de manera que trata desde su inicio de incidir en su mejora,
mientras que se asigna el calificaciones cuantitativas para la evaluación
focalizada sobre los resultados y en la que se persigue fundamentalmente el
control de los mismos, reservándose la acción mejoradora para futuras
intervenciones.”
La investigación centra su estudio bajo los criterios de Scriven, ya que,
pretende a través de las apreciaciones cuantitativas generadas por el modelo
evaluativo Business Impact analysis, impulsando a realizar una serie de
16
acciones para la disminución del riesgo de indisponibilidad de la base de
datos de ENIAC. C. A, tomándose como mejoras hacia la organización.
Business Impact Analysis
Es un componente esencial en la continuación de los planes negocios
de las organizaciones, que incluye un componente investigativo que identifica
los diversos eventos que pudieran afectar la continuidad de sistemas críticos
de la información., y un componente de planificación para desarrollar
estrategias para minimizar el riesgo. El resultado de este análisis es un
reporte del impacto en el análisis de negocio.
Ferrer, Rodrigo (2008) describe las actividades realizadas en el BIA de
la siguiente manera:
1. Identificar sitios físicos: aspecto en el cual se realiza la validación de una
lista de instalaciones físicas en donde opera los servicio de TI de la empresa.
2. Identificar sistemas de información: se obtiene la lista de los sistemas de
información que se poseen en cada instalación y se determina cuáles de
ellos están relacionados de manera directa o indirecta con el servicio de TI.
3. Evaluar la criticidad de los sistemas de información: se califica la criticidad
de cada uno de los procesos relacionados con la Empresa, haciendo uso de
la tabla de criticidad previamente definida
Posee como objetivo primordial:
- Identificar el financiamiento y no financiamiento del costo.
- Establecer la ventana de tiempo en donde se tiene que llevar a cabo la
recuperación.
- Identificar materiales vitales y registros necesarios para la recuperación o
continuación.
17
- Hacer una valoración preliminar de los recursos requeridos para la
recuperación o continuación.
Evaluación y gestión del riesgo
Según Elika (2005), “La evaluación de riesgos, es el procedimiento
científico que estima la probabilidad de que ocurra un riesgo. Y la gestión de
riesgos es el proceso por el cual las autoridades competentes, basándose en
los resultados de la fase anterior, eligen las opciones más adecuadas para
disminuir los riesgos, aplican dichas medidas y se lleva a cabo el seguimiento
de las mismas.”
La gestión de riesgo se representa como el punto a partir para la realización
de estrategias de seguridad basándose en las visiones de una compañía
dentro de su entorno de operación, en el caso del estudio ENIAC. C.A. Dicha
metodología se generó a través del aporte de diferentes propuestas de
diversos autores, en donde se utilizan metodologías cuantitativas y
cualitativas, que permiten la agilidad en el proceso y facilidad en la
asignación de valores de impacto o riesgo, así como también permiten la
precisión y exactitud, necesarias a la hora de tomar decisiones, en la
selección de medidas de mitigación ante eventos que interfieran con la
continuidad de los procesos, la metodología se basa en AU NZ 4360, COBIT
4.1, ITIL V3, ISO 27005, ISO 13335, ISO 27001, ISO 27002 y COSO.
Identificar amenazas sobre los sistemas
Según Marañón, Gonzalo (2000), “Se entiende por amenaza, una
condición del entorno del sistema que, dada una oportunidad, podría dar
lugar a que se produjese una violación de la seguridad”
Para la identificación de amenazas que pueden obstruir el camino de un
proceso crítico se realizan entrevistas con expertos dentro de ENIAC. C.A.
quienes suministrarán información sobre cuáles son las amenazas con
18
mayor impacto, desde la perspectiva de continuidad del servicio y de sus
procesos y sistemas críticos, las que podrían llegar a afectar el sistema, es
decir, que podrían causar pérdida financiera por demandas, pérdida de
imagen por la degradación del servicio.
Vulnerabilidades tecnológicas
Según Marañón, Gonzalo (2000), “La Vulnerabilidad es la capacidad,
las condiciones y características del sistema mismo (incluyendo la entidad
que lo maneja), que lo hace susceptible a amenazas, con el resultado de
sufrir algún daño.”
Deficiencia en el diseño, la implementación, la operación o la ausencia de los
controles internos en un proceso, que podría explotarse para violar la
seguridad del sistema, estas deben de ser categorizadas, segmentadas y
priorizadas en base a la criticidad del activo para el negocio.
Actualmente es una de las preocupaciones más importantes dentro del área
de seguridad de la información, ya que, continuamente son más las
vulnerabilidades encontradas en los sistemas tecnológicos.
Estrategias de recuperación y continuidad del negocio
Según Ledezma, Guillermo (2010), “El plan de continuidad y las
estrategias de recuperación del negocio o plan de contingencias son
elementos del sistema de control interno para las Tecnologías de la
Información y las Comunicaciones que identifica riesgos potenciales que
amenazan los servicios críticos de la organización y provee una estructura
para aumentar la resistencia y la capacidad de restaurar las operaciones
claves de manera efectiva que salvaguardan los intereses de la organización
o negocios.”
Las estrategias de recuperación son relacionadas con los resultados
obtenidos en el Business Impact Análisis en donde se toman en cuenta los
19
tiempos máximos permitidos de no disponibilidad (MTD), así como también
una vez analizada la información obtenida por los expertos en el área, esta
es tomada en cuenta para la realización de una tabla ordenada de
prioridades de recuperación de las diferentes sistemas considerados como
críticos.
Riesgo
Según Muñoz, Javier (2009), “Es la variación que se puede producir
en los resultados esperados de una situación dada, dentro de un período
determinado.”
Es la probabilidad de que un factor de amenaza se genere y convierta al
sistema, estructura, proceso o proyecto vulnerable y no satisfaga las
necesidades de las organizaciones o usuarios dependiendo de la situación,
acercándolo a la posibilidad de daño.
Matriz de riesgo
Una matriz de riesgo es una herramienta flexible, que permite
identificar el tipo y el nivel de riesgo que sufre un procedimiento, sistema,
estructura y equipos.
Se genera a través de las variables de impacto y probabilidad de
perturbación, representándola a través de una matriz con valores, altos,
medios y bajos, dando como resultado global el nivel de riesgo de una
organización, estos vienen dados por los estratos de riesgo, que son vistos
como soportables (niveles bajos ) y de reducción (altos niveles). Como se
puede observar en la Figura Nro. 2.
Figura Nro. 2 Matriz de Riesgo
20
Fuente: Víctor Raúl López Ruiz (2008)
Activos
Según la norma ISO 27001:2005, indica que “Los Activos no
necesariamente incluyen todas aquellas cosas que normalmente se
consideran valiosas dentro de una organización. Una organización debe
determinar qué activos, en su ausencia, pueden afectar la entrega de un
producto o servicio, o bien causar degradación o daño a la organización por
la pérdida de confidencialidad o integridad.”
El activo es algo que tiene valor para la organización, por ejemplo:
Activos Informáticos.
Documentos en papel.
Activos de Software.
Servicios.
Imagen y reputación de la compañía.
Sistema de gestión de seguridad (SGSI)
21
Según la norma ISO 27001:2005, indica que “El SGSI es el concepto
central sobre el que se construye ISO 27001. La gestión de seguridad de la
información debe realizarse mediante un proceso sistemático, documentado
y conocido para toda la organización.”
El SGSI es una herramienta de gran utilidad para una organización ya que se
basa en la preservación, confidencialidad, integridad y disponibilidad de la
información de datos de una organización, que se encuentra almacenados
bien sea en equipos informáticos, redes de datos y/o soportes de
almacenamiento o bien conocido como sistemas de información. Para una
organización la información es uno de los activos más importantes, por lo
que esta requiere junto a los procesos y sistemas que la manejan, ser
protegidos convenientemente frente a amenazas y riesgos (riesgos físicos:
como acceso no autorizado a la información y catástrofes naturales; riesgos
lógicos: virus, ataques) que puedan poner en peligro la continuidad de los
niveles de competitividad, rentabilidad y conformidad legal necesarios para
alcanzar los objetivos de la organización. De ahí proviene el SGSI que se
encarga de crear políticas, procedimientos y controles, con el fin de minimizar
esos riegos y amenazas, conociendo y afrontando de manera ordenada los
riesgos a la que está sometida nuestra información de la organización, de tal
manera se crea procedimientos adecuados, planificando e implementando
controles de seguridad basados en una evaluación y medición de riesgos.
Los beneficios que podemos obtener del SGSI son:
1. Mejora la efectividad del ambiente de seguridad de la información.
2. Provee los medios para la gobernabilidad corporativa en seguridad de
la información.
3. Provee satisfacción y confianza a los clientes de que se cumplen sus
requerimientos de seguridad de información.
22
4. Reduce responsabilidad y riesgo gracias a las políticas y
procedimientos implantados o reforzados.
5. Potencial reducción en cuotas de seguro.
ISO 27001:2005
Según Benjumea, Omar (2008), “La ISO 27001 establece el marco de
trabajo para definir un SGSI, centrándose en la visión de la gestión de la
seguridad como un proceso continuo en el tiempo. Para certificar un proceso
u organización es necesario analizar y gestionar los riesgos fundamentales a
los que están expuestos.”
La ISO 27001, es un estándar para la seguridad de la información, que tiene
como objetivo el de salvaguardar la confidencialidad, integridad y
disponibilidad de la información escrita, hablada y electrónica.
- Especifica los requerimientos para establecer, implementar y
documentar un sistema de gestión de seguridad de la información
(SGSI).
- Especifica los requerimientos de los controles de seguridad para ser
implementados de acuerdo con las necesidades de cada organización.
- Está alineado con el ISO 27002:2005.
El enfoque que nos ofrece este estándar para las bases de datos es el
aseguramiento de la seguridad de la información y la implementación de los
principios de la OECD.
ISO 27002:2005
Según Benjumea, Omar (2008), “La ISO 27002, consiste en una guía
de buenas prácticas que permiten a las organizaciones mejorar la seguridad
de su información. Con este fin, define una serie de objetivos de control y
gestión que deberían ser perseguidos por las organizaciones.”
23
La ISO 27002 es un estándar para la seguridad de la información, que
consiste en los códigos de prácticas para la gestión de seguridad de
información.
- Define un proceso para evaluar, implementar, mantener y
administrar la seguridad de la información.
- Su intención es su uso como documento de referencia.
Estos se hallan distribuidos en diferentes dominios que abarcan de una
forma integral todos los aspectos que han de ser tenidos en cuenta por las
organizaciones.
Dominios que estructura la ISO 27002 son:
1. La política de seguridad.
2. Los aspectos organizativos de la seguridad de la información.
3. La gestión de activos.
4. La seguridad ligada a los recursos humanos.
5. La seguridad física y ambiental.
6. La gestión de las comunicaciones y de las operaciones.
7. Los controles de acceso a la información.
8. La adquisición, desarrollo y mantenimiento de los sistemas de
información.
9. La gestión de incidentes en la seguridad de la información.
10. La gestión de la continuidad del negocio.
11. Los aspectos de cumplimiento legal y normativo.
OECD
24
La Organization for Economic Co-operation and Development (OECD),
es la organización que estableció los lineamientos de seguridad de la
información para redes y sistemas de información que incluye 9 principios
que son:
1. Conciencia
2. Responsabilidad
3. Respuesta
4. Ética
5. Democracia
6. Evaluación de Riesgo
7. Diseño e implementación de seguridad
8. Gestión de seguridad
9. Re-evaluación
Seguridad Informática
Según Agustín, José (2008), “Se refiere a las características y
condiciones del sistemas de procesamientos de datos y su almacenamiento,
para garantizar su confidencialidad, integridad y disponibilidad.”
La seguridad informática sirve para la protección de la información, en contra
de amenazas o peligros, para evitar daños y minimizar riesgos, relacionados
con ella.
Para ello existen una serie de estándares, protocolos, métodos, reglas,
herramientas y leyes concebidas para minimizar los posibles riesgos a la
infraestructura o a la información. La seguridad informática comprende
software, bases de datos, metadatos, archivos y todo lo que la organización
valore (Activos), y significa un riesgo si esta llega a manos de terceros.
25
Programación Orientada a Objetos (POO)
Según Flórez Rueda, Roberto (2005), define: “POO como un nuevo
estilo de programación. El cual, básicamente consiste en definir clase y
poner dichas clases a comunicarse o conversar entre sí.”
Para desarrollar el sistema, se utilizó el este estilo de programación por la
forma en que se utiliza los objetos o clases desde lo más simple hasta lo más
complejo.
Visual Studio
Según la (LWP) Comunidad de Programadores (2010) definen que:
“Visual Studio se presenta con el firme objetivo de impulsar ideas y la
imaginación de los desarrolladores, facilitando su trabajo en los proceso de
desarrollo y diseño poniendo a su disposición herramientas de calidad que
garanticen resultados óptimos.”
Para el desarrollo del sistema se usó el conjunto de herramientas del Visual
Studio 2010, ya que habilita el uso compartido de herramientas y hace más
sencilla la creación de soluciones en varios lenguajes.
SQL Server
Según Moreno, Víctor (2007) define que: “Microsoft SQL Server es un
sistema de gestión de datos relacionales, capaz de poner a disposición de
muchos usuarios grandes cantidades de datos de manera simultánea.”
Se utilizó el SQL Server 2005, como manejador de base de datos, ya que
posee una mejor escalabilidad, estabilidad y seguridad. Permite trabajar en
modo cliente- servidor y administrar información de otros servidores de datos.
26
.NET Framework
Según Besteiro, Miguel (2010), “La plataforma .NET es una nueva
plataforma para el desarrollo de aplicaciones en general, que cubre todos los
aspectos que afectan a tales aplicaciones, desde un entorno de ejecución
común, hasta lenguajes específicamente diseñados para rentabilizar al
máximo las características de esta plataforma.”
Se utilizó esta plataforma, debido a que ofrece una red de servicios al
lenguaje de programación que estamos utilizando en el sistema.
Visual C#
Según la página oficial de Microsoft dice: “C# se presenta como Visual
C# en el conjunto de programas Visual Studio.NET. Visual C# utiliza plantillas
de proyecto, diseñadores, páginas de propiedades, asistentes de código, un
modelo de objetos y otras características del entorno de desarrollo. La
biblioteca para programar en visual C# es .NET Framework.”
Se utilizó el lenguaje C# en el sistema, debido a que es un lenguaje elegante,
sencillo, orientado a componentes y ofrece un manejo de tipos seguro.
Ciclo de Deming
Según Vanegas, Carlos (2010), “El ciclo de Deming se constituye
como una de las principales herramientas para lograr la mejora continua en
las organizaciones o empresas que desean aplicar a la excelencia en
sistemas de calidad y sistemas de gestión de seguridad informática. El ciclo
de Deming también es conocido como PHVA (Planificar, Hacer, Verificar y
Actuar).”
27
El beneficio del ciclo de Deming es ser utilizado para lograr la mejora
continua de la calidad dentro de una empresa u organización. Para describir
el ciclo completo, este consiste en una secuencia lógica de cuatro (4) pasos,
los cuales son repetidos y que se deben de llevar a cabo secuencialmente.
Estos pasos como ya se mencionó son: Planificar, Hacer, Verificar y Actuar.
Fase de Planificar
Definir el alcance del BIA.
Definir la política para el BIA.
Definir objetivos y metas.
Identificar los riesgos.
Evaluar los riesgos.
Seleccionar los objetivos del control y los controles.
Preparar la declaración de Aplicabilidad.
Fase de Hacer
Formular el plan de tratamiento de riesgo.
Implementar el plan de tratamiento de riesgo.
Implementar controles seleccionados para cumplir los objetivos de
control.
Fase de Verificar
Ejecutar procesos de monitoreo.
Revisar los niveles de riesgo residual y de riesgo aceptable.
Fase de Actuar
Implementar mejoras identificadas.
28
Tomar las acciones preventivas y correctivas apropiadas.
Comunicar los resultados y acciones.
Asegurar que las mejoras cumplan con los objetivos propuestos.
Bases Legales
Constitución de la República Bolivariana de Venezuela 1999
Artículo 110. El Estado reconocerá el interés público de la
ciencia, la tecnología, el conocimiento, la innovación y sus
aplicaciones y los servicios de información necesarios por ser
instrumentos fundamentales para el desarrollo económico, social y
político del país, así como para la seguridad y soberanía nacional.
Para el fomento y desarrollo de esas actividades, el Estado destinará
recursos suficientes y creará el sistema nacional de ciencia y
tecnología de acuerdo con la ley. El sector privado deberá aportar
recursos para las mismas. El Estado garantizará el cumplimiento de
los principios éticos y legales que deben regir las actividades de
investigación científica, humanística y tecnológica. La ley
determinará los modos y medios para dar cumplimiento a esta
garantía.
Ley de tecnologías de información
Título I
Disposiciones generales
Artículo 2.A los efectos de la presente Ley y sus Reglamentos, se
entenderá por:
29
Base de Datos: Recopilación sistematizada y organizada de datos
conexos, usualmente erigida o conformada a través de medios informáticos,
estructurados de tal manera que faciliten su explotación para satisfacer los
requerimientos de información.
Datos: hechos, conceptos, instrucciones o caracteres representados de
una manera apropiada para que sea comunicado, transmitido o procesado
por seres humanos o por medios automáticos y a los cuales se les asigna o
se les puede asignar significado.
Tecnologías de Información: Rama de la tecnología que comprende el
conjunto de instrumentos, procedimientos y productos destinados a la
aplicación, análisis, estudio y procesamiento de datos en forma automática
para la obtención, creación, almacenamiento, administración, modificación,
manejo, movimiento, control, visualización, distribución, intercambio,
transmisión o recepción de información en formato electrónico, magnético,
óptico, o por otros medios similares o equivalentes que se desarrollen en el
futuro, que involucren el uso de dispositivos físicos y lógicos, tales como;
computadores, equipos terminales; programas, aplicaciones y redes de
telecomunicaciones o cualesquiera de sus componentes.
Actualización de las definiciones
Artículo 3. Los Reglamentos de la presente Ley podrán adaptar las
definiciones antes señaladas a los desarrollos tecnológicos que se
produzcan en el futuro. Así mismo, podrán establecer otras definiciones que
fueren necesarias para la eficaz aplicación de esta Ley.
Definición de Términos
Elementos de configuración (Cis): Son clasificados, es decir, asignación
de categorías que son para facilitar su gestión y seguimiento a lo largo de
30
sus ciclos de vida. Por ejemplo tenemos, servicio, hardware, software,
documentación, personas.
Software: El software puede definirse como todos aquellos conceptos,
actividades y procedimientos que dan como resultado la generación de
programas para un sistema de computación.
Hardware: El hardware es la parte física del sistema, es decir, el conjunto de
dispositivos, cables, transistores, entre otros elementos que lo conforman.
Programa: Denominamos programa al conjunto ordenado de instrucciones
que indican a la computadora las operaciones que se deben de llevar a cabo
para realizar una determinada tarea.
Proyecto: Se define como la aplicación de conocimientos, herramientas y
técnicas para encontrar respuesta adecuada al planteamiento de una
necesidad humana.
Sistema: Conjunto de procesos o elementos interrelacionados con un medio
para formar una totalidad dirigida hacia un objetivo común.
CMDB (ITIL): La gestión de la configuración garantiza que exista una línea
base de todos los CIs y su mantenimiento. La línea base se puede utilizar en
el caso de fallo de un cambio o una entrega, para restaurar la infraestructura
de TI a un estado conoció de configuración.
Una base de datos de gestión de la configuración (CDMD) es un sistema de
base de datos que se utiliza para almacenar los registros de categorías (CIs)
y dentro de un sistema de gestión de la configuración puede haber una o
más CMDB.
ITIL: Es la biblioteca de Infraestructuras de tecnologías de información, que
proporciona un planteamiento sistemático para la provisión de servicios de TI
con calidad.
31
Vulnerabilidad: Se define como un defecto o debilidad en el diseño,
implementación, operación y administración de un sistema que puede ser
explotada para violar la seguridad del sistema.
Amenazas: Es un potencial de violación a la seguridad, que existe cuando
hay una circunstancia, capacidad, acción o evento que puede violar la
seguridad y causar daño.
SQL: El lenguaje de consulta SQL (Structured Query Language), es un
lenguaje de base de datos normalizado, utilizado por diferentes motores de
base de datos para realizar determinadas operaciones sobre los datos o
sobre la estructura de los mismos.
Registro: Un registro representa un objeto único de datos implícitamente
estructurados en una tabla.
Tabla: Una tabla en base de datos, se refiere al tipo de modelado de datos,
se guardan los datos recogidos por un programa.
Campo: Es cada una de las columnas que forman la tabla. Contienen datos
de diferente tipo a los otros campos.
Seguridad: Es la ausencia de riesgo o también la confianza en algo o en
alguien.
Controles de seguridad: Son mecanismos que se utilizan para poder
controlar los accesos y privilegios a los recursos indicados.
Análisis de Riesgos: Es un proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los que se
encuentran expuestos, así como su probabilidad de ocurrencia y el impacto
de la misma.
32
Cuadro Nº 1 Operacionalización de Variables
Objetivos Específicos Variables Dimensiones Indicadores Instrumentos
- Describir el contexto operacional del
sistema de base de datos TradePlace en el
área de negocios E-Commerce en la
empresa ENIAC C.A.
-Procesos de la
base de datos.
Área
Aplicaciones
E-Commerce
-Número de
procesos
disponibles en
la base de
datos.
Observación
Cuestionario
Entrevista
-Analizar la criticidad de cada uno de los
elementos y servicios funcionales que se
ejecutan a través de la base de datos del
Portal TradePlace.
-Criticidad de los
elementos.
-Servicios
funcionales en la
base de datos.
Área
Aplicaciones
E-Commerce
-Número de
errores en la
base de datos.
-Cantidad de
errores en los
servicios.
Observación
Cuestionario
-Determinar los requerimientos de
información necesarios para garantizar la
-Requerimientos
de información
Área
Aplicaciones
-Escala de
riesgo de cada
Observación
33
disponibilidad del servicio TradePlace. E-Commerce
controlador
- Diseñar la interfaz gráfica y el modelo de
datos para el sistema Risk Data Base.
-Interfaz gráfica y
base de datos.
Programador
es del
sistema.
- Procesos de la
base de datos
TradePlace
Cuestionario
Entrevista
- Desarrollar los algoritmos necesarios para
la gestión de los procesos del sistema Risk
Data Base.
-Determinar
controles de
seguridad.
Programador
es del
sistema.
-Número de
controles de
seguridad
necesarios.
Cuestionario
Entrevista
Observación
-Aplicar las pruebas necesarias a fin de
aprobar el sistema Risk Data Base.
- Pruebas a los
controles de
seguridad.
Programador
es del
sistema.
-Número de
pruebas
realizadas.
-Cantidad de
errores
obtenidos.
-Observación
- Implementar el sistema Risk Data Base en
el área de negocios Aplicaciones E-
Commerce.
-Análisis del riesgo
de la base de
datos.
Programador
es del
sistema.
-Informe Final
(Reportes)
Cuestionario
34
CAPÍTULO III
MARCO METODOLÓGICO
Consideraciones Generales
Según Hurtado, Iván y Toro Josefina (2.007) “En el marco
metodológico se contesta, fundamentalmente, a la pregunta ¿Cómo? Es
decir, aquí se indica la metodología que va a seguirse en la investigación
para lograr los objetivos propuestos o para probar las hipótesis formuladas.
En él debemos especificar cuál es la población que abarca nuestro trabajos,
determinar la muestra y cómo se realizó el muestreo.”
Tipo de Investigación
En base a los objetivos específicos planteados en el estudio, el tipo de
investigación indica que es un Proyecto Factible. El manual de la UPEL
(1998) describe este tipo de investigación como:
“La elaboración de una propuesta de un modelo operativo viable, o
una solución posible a un problema de tipo práctico para satisfacer
necesidades de una institución o grupo social. La propuesta debe tener
apoyo, bien sea una investigación de tipo documental y debe referirse a la
formulación de políticas, programas, métodos y procesos. El proyecto debe
tener apoyo en una investigación de tipo documental, de campo o un diseño
que incluya ambas modalidades.”
Siendo características resaltantes dentro de la investigación se presenta una
propuesta en la cual se implantará un sistema automatizado para la
evaluación del riesgo de indisponibilidad de una base de datos bajo el
modelo evaluativo Business Impact Analysis en la Compañía ENIAC. C.A,
presentando como producto final una matriz de riesgo basada en el BIA, en
35
la cual para su realización se debe de recurrir a una serie de investigaciones,
antecedentes y conceptualizaciones para concretar así el resultado final.
Diseño de la Investigación
Una vez descrito el problema e identificado los objetivos que se
plantean en la investigación se puede definir que el diseño de la
investigación es mixto debido a que incluye características de la recolección
de información de una investigación de campo y una documental.
Según Arias (2006), “La investigación de campo es aquella que
consiste en la recolección de datos directamente de los sujetos investigados,
o de la realidad donde ocurren los hechos (datos primarios), sin manipular o
controlar variable alguna, es decir, el investigador obtiene la información pero
no altera las condiciones existentes” (p. 31)
El desarrollo del presente estudio incluye la modalidad de la investigación de
campo, ya que, la información necesaria para su realización se obtuvo a
través de la fuente primaria como lo son los servicios de base de datos de la
empresa en estudio, con el propósito de describir el contexto operacional
disponible en el área de negocios E-Commerce de ENIAC. C.A
Por otro lado la presente investigación de campo se apoyó en el empleo de
fuentes documentales las cuales constituyen los fundamentos teóricos en el
estudio de implementación de un sistema automatizado para la evaluación
del riesgo de indisponibilidad de una base de datos bajo el modelo
evaluativo. Para Arias (2006) una investigación documental es “aquella que
se basa en la obtención y análisis de datos provenientes de materiales
impresos u otros tipos de documentos” (p.49)
36
Metodologías de Análisis y Diseño de Sistemas
El estudio investigativo se enmarca bajo el desarrollo de un sistema
automatizado para la evaluación de indisponibilidad de una base de datos
bajo el modelo evaluativo Business Impact Analysis. Antes de iniciar con la
investigación es necesario adoptar una metodología para el análisis del
sistema, de manera de presentar la mayor cantidad de referencia para cada
procedimiento, tomando en cuenta cada uno de los pasos a seguir desde el
inicio de la investigación hasta su culminación.
A continuación se presenta distintas metodologías de desarrollo de
sistemas de información señalando definiciones y etapas o fases sugeridas
para cada una de ellas, información que nos refleja la metodología que se
debe seleccionar siendo la más adecuada para el sistema ha desarrollar.
Basando en las fuentes Getec (2009), Osoriano (2007), J Deevan
Wells (2000), Pastor Emilio Perez y Francisco Nahum (2007).
RUP
Definición:
El Proceso Racional Unificado por sus siglas en inglés (RUP), presenta un
proceso de desarrollo interactivo que permite el control de cambio,
verificaciones continuas y, en consecuencia, mejora la calidad de los
sistema.
Fases:
Fase de Inicio: Tiene como propósito definir y acordar el alcance, identificar
los riesgos, proponer una visión muy general de la arquitectura de software,
producir el plan de fase y de iteraciones posteriores.
37
Fase de Elaboración: Presenta como objetivo la selección de los casos de
uso, realización de la especificación de los casos de uso, el primer análisis
del problema y se diseña una posible solución preliminar.
Fase de Desarrollo: Tiene como propósito completar la funcionalidad,
administrar los cambios según la evaluación de los usuarios y se realizan
mejoras.
Fase de Cierre: En ésta se asegura que el software esté disponible para los
usuarios finales, ajustar los errores y defectos encontrados en las pruebas de
aceptación, capacitar a los usuarios, además de suministrar soporte si es
necesario. En esta fase se debe verificar que el software cumpla con toda las
especificaciones entregadas por las personas involucradas en el proyecto.
AOPOA
Definición:
Esta metodología se basa en la aproximación organizacional para
programación orientada a agentes.
Fases:
Fase inicial: Se realiza búsqueda y justificación del proyecto
Fase intermedia: Se incluye la etapa de análisis de data y diseño de sistema
Fase Final: Se consta la aceptación y la entrega del proyecto.
Ciclo de Deming
Definición:
El ciclo de Deming o Ciclo P.H.V.A como también es conocido, fue
desarrollado por Walter Shewhart pero fue popularizado años después por
38
W. Edwards Deming. La metodología se presenta de manera dinámica que
puede desarrollarse dentro de cada uno de los procesos de una organización
tanto como en el sistema de procesos tomado como un todo. Se encuentra
estrechamente asociado con la planificación, implementación, control y
mejora continua, tanto en la realización de un sistema como en otros
procesos del sistema de gestión de calidad. El Ciclo de Deming se apega a
la norma ISO 27001:2005 la cual se basa en especificar los requerimientos
para establecer, implementar y documentar los Sistemas de Gestión de
Seguridad de la información.
Fases:
El Ciclo de Deming se encuentra constituido por cuatro (4) fases:
Fase de Planificar: Se define el alcance, los objetivos, metas y se identifica
los riesgos.
Fase de Hacer: Formular un plan de tratamiento e implementarlo.
Fase de Verificar: Ejecutar procesos de monitoreo, conducir auditorías
internas, evaluación para iniciar mejoramiento.
Fase de Actuar: Implementar mejoras identificadas y tomar acciones
preventivas y correctivas apropiadas.
El ciclo se transforma en un proceso de mejora continua, una vez que son
logrados los objetivos del primer esfuerzo hay que seguirlo estableciendo y
continuar con las fases planear, hacer, verificar y actuar hasta resolver las
problemáticas.
En el diseño de este trabajo de grado, se utilizará como metodología de
desarrollo el Ciclo de Deming, debido a que sus fases se relacionan con los
objetivo de la investigación. Dicha metodología se apega a la norma ISO
27001:2005 la cual presenta una definición mejorada y relaciones más claras
39
entre evaluación de riesgo, selección de controles y declaración de
aplicabilidad.
La fase de Planificar: En esta fase se enmarca todo el proceso de análisis de
la situación en que actualmente se encuentra la empresa respecto a los
mecanismos de seguridad implementados.
La fase de Hacer: Se implementan todos los controles necesarios de acuerdo
a una previa selección en la etapa de planificación, teniendo en cuenta el tipo
de empresa. También se formula y se implementa un plan de riesgo.
La fase de Verificar: Consiste en efectuar el control de todos los
procedimientos implementados en el BIA.
La fase de Actuar: Desarrollar mejoras a los hallazgos identificadas al BIA y
validarlas, realizar las acciones correctivas y preventivas, mantener la
comunicación con el personal de la organización.
Población y Muestra
Población
Tamayo y Tamayo (2003) hacen referencia a la población como “la
totalidad del fenómeno a estudiar en donde las unidades de población
poseen una característica común, la cual se estudia y da origen a los datos
de la investigación”.
En el caso de Estudio ENIAC. C.A. la población representa a una
área de Negocio llamada Aplicaciones E-Commerce en de dicha
organización que está conformada por (5) cinco empleados, la cual da origen
a datos de suma relevancia para la realización de la presente investigación.
La población en el caso de estudio es finita lo cual quiere decir “que es
aquella cuyo elemento en su totalidad son identificables por el investigador”
(Arias 2006 p.81)
40
Muestra
Tamayo y Tamayo (2001), define la muestra como "el principio de que
las partes o subconjuntos representan un todo y por lo tanto reflejan las
características que definen la población de la cual fue extraída, lo cual indica
que es representativa"
La muestra en la investigación hace referencia a cada uno de los
usuarios que pertenecen al área en estudio dentro de la organización de
ENIAC C.A, que trabaja de manera directa en el sistema de base de datos,
siendo este grupo de usuarios que presentan mayor riesgos, los cuales
podrían generar un impacto mayor sobre dicha organización.
Balestrini (1997) expone que “Cuando las características de la
población es pequeña y finita se tomarán como unidades de estudio e
indagación a todos los individuos que la integran.”
Basándose en lo argumentado por Balestrini los autores tomarán
como muestra a cada uno de los usuarios pertenecientes al área en estudio
antes definidas.
La base de datos en estudio pertenece al portal TradePlace que es
administrada por el área de negocio Aplicaciones E-Commerce, el cual está
dirigido por un (1) Gerente de área, y conformado por un (1) Gerente de
Ventas, un (1) Consultor, un (1) Analista de Soporte de Técnico, un (1)
Analista Programador, lo cual representa una muestra total de cinco (5)
personas.
Validez y confiabilidad del Instrumento
Para cumplir con cada uno de los objetivos específicos que requiere la
investigación, se deben de presentar instrumentos metodológicos para la
recolección de la información necesaria.
41
Todo instrumento de recolección de información de la investigación
presenta como características primordiales la validez y confiabilidad.
Landeau, Rebeca (2007) afirma que “La validez es el grado en que el
instrumento proporciona datos que reflejen realmente los aspectos que
interesan estudiar.
La confiabilidad es el grado con el cual el instrumento prueba su
consistencia, por los resultados que produce al aplicarlo repetidamente al
objeto de estudio”
Para aportar validez y confiabilidad a los instrumentos de recolección
de información, estos son sometido a la evaluación de un grupo de
especialistas (Ver Anexo), conformados por:
- Expertos Metodológicos:
M Sc. Ing. Venus Ramos
- Expertos Prácticos
Lic. Miguel Dedich
Ing. Alberto Rodriguez
Técnicas e Instrumentos de Recolección de Datos
Para llevar a cabo la investigación es necesario acudir a herramientas
o instrumentos metodológicos que permitan la recolección de datos que para
posteriormente inicializar la etapa de análisis.
Bizquera, R. (1990), define las técnicas como aquellos medios
técnicos que se utiliza para registrar observaciones y facilitar el tratamiento
de las mismas”
Por otro lado Tamayo y Tamayo, (2003) afirman que “La recopilación
de datos depende en gran parte del tipo de investigación y del problema
42
planteado para la misma y puede efectuarse desde la simple ficha
bibliográfica, observación, entrevista, cuestionario o encuesta y aun mediante
ejecución de investigación para este fin. “
Sustentado bajo el criterio de Tamayo y Tamayo para el estudio de un
modelo evaluativo Business Impact Analysis para bases de datos a través de
una matriz de riesgo se efectuaran dos (3) instrumentos para la recolección
de datos.
- Observación directa permitió tener un contacto con los elementos a
estudiar, donde los resultados generaron una visión clara de
proceso actual del Área de Negocio Aplicaciones E-Commerce
- Entrevista formal, se elaboró y analizó preguntas abiertas las
cuales serán tomadas como bases fundamentales para la
realización del sistema automatizado para la evaluación del riesgo
de indisponibilidad de la base de datos del área de negocios
Aplicaciones E-Commerce.
- Cuestionario (Físico), se presentó un cuestionario en el que el
usuario establecerá criterios a evaluar en el sistema a realizar.
Análisis e Interpretación de los Resultados
Principalmente la información obtenida para la realización del análisis de
riesgo del sistema de base de datos que soporta el portal TradePlace es
obtenida a través de los resultados arrojados por los instrumentos de
recolección.
Se aplicó inicialmente una entrevista a los empleados pertenecientes al área
de negocios Aplicaciones E-Commerce, con el objetivo de conocer el
contexto real en el que se encuentra el sistema de base de datos, la
43
entrevista ésta conformada por preguntas abiertas previamente analizadas
con el fin de cumplir con los objetivos de la entrevista .
A continuación se presenta la aplicación de la entrevista, la cual se
puntualizará de la siguiente manera:
1. ¿Cuáles son los procedimientos realizados para el mantenimiento del
Portal de TradePlace?
De los empleados entrevistados se estableció que el único proceso
que se realiza para el mantenimiento del Portal TradePlace son los
backup que se realizan trimestralmente resultado arrojado con un
porcentaje del 100% de los entrevistados.
2. ¿Qué indicadores cree usted que se deben tomar en cuenta como
referencia para analizar el riesgo que corre el sistema de base de
datos?
Los empleados de E-Commerce establecieron los siguientes
indicadores:
3. ¿Cuáles cree usted que son los requerimientos para mantener el
sistema de TradePlace estable?
Se determinaron los siguientes resultados
44
4. ¿Cuáles cree usted que son los procesos o procedimientos en los que
la base de datos de TradePlace interfiere?
Se determinó que para todos los procesos de TradePlace es necesaria
las bases de datos de TradePlace.
5. ¿Cuáles cree usted que son los activos relacionados con el sistema de
base de datos de TradePlace?
Se arrojó el siguiente listado de activos:
- Usuarios
- Roles
- Claves de accesos
- Repositorios de llaves de conexión
- Repositorios de cifrados
- Store procedures
45
- Servidores
- Data
- Recurso Humano
- Infraestructura
- Firewall
- Laptop
- PC
- Router
- Switcher
- Equipos de contingencia
- Sistemas Raid
- Máquinas Virtuales
- Disco duros
6. ¿Cree usted que un sistema de evaluación de riesgo de base de datos
sea necesario para las bases de datos de TradePlace?
Se arrojó en un 100% de las respuestas que es necesario un sistema de
evaluación, adicionalmente un 20% de los entrevistados sugirió que es
necesario para todas las áreas de negocios de ENIAC
Resultado de la entrevista: La entrevista arroja que existe una necesidad
de establecer una medida de mitigación de riesgo en la base de datos del
portal TradePlace esto se debe a que cada uno de los procesos están
íntimamente involucrados con la misma. Adicionalmente determina alguno de
indicadores que se deben de cumplir para preservar el sistema activo y los
activos que contiene el AdN.
Como otro método de recolección de datos se diseñó un Cuestionario
basado en prácticas del BIA que presenta como objetivo determinar la
relevancia de los procesos ya definidos por la entrevista así como los niveles
46
de servicios mínimos para mantener el sistema activo y los tiempos
aceptables para alcanzar el servicio mínimo.
A continuación se presenta la aplicación del cuestionario con los resultados
obtenidos.
Impacto Intangible
Por favor liste para cada una de las actividades del sistema los impactos
Intangibles mencionados con anterioridad e identifique en las actividades
correspondientes, así como, la escala de impacto que mejor se ajuste
tomando en cuenta su experiencia y dominio en TradePlace.
Impacto Tangible
Por favor liste para cada una de las actividades del sistema los impactos
tangibles mencionados con anterioridad e identifique en las actividades
correspondientes, así como, la escala de impacto que mejor se ajuste
tomando en cuenta su experiencia y dominio en TradePlace.
47
Resultado:
Los resultados obtenidos son requeridos para al cálculo de la relevancia para
cada uno de los controles, esto va a depender del tiempo en el que el
impacto por perdida de un proceso se hace efectivo, para esto se toma en
cuenta el promedio del resultado por cada proceso, para este cálculo los
autores seleccionan el valor del 1-5 para los rangos de tiempo, teniendo que:
Para el Impacto Intangible se obtuvo los siguientes niveles de relevancia
48
2+4+4+4+2+4+4+4+5+4+4+4+4+4+4+3+3+3+3+2 = 71
Número de valores = 20
Para el Impacto Intangible se obtuvo los siguientes niveles de relevancia
3+3+4+3+3+4+4+4+3+4+4+4+4+3+4+3+4+4+3+4 = 72
Número de valores = 20
Se realiza el promedio y el valor resultante es = 3,57 de relevancia
Niveles de Servicio para TradePlace
En caso de una interrupción al 100% en los proceso del portal mencione (en
porcentaje) cual sería el nivel de servicio mínimo que requeriría para
reanudar actividades.
Resultado:
El 95% es nivel mínimo de servicio de base de datos para que el sistema de
TradePlace se mantenga activo, determinado a través del promedio de los
resultados obtenidos.
49
Instalaciones
Sitios de trabajo e instalaciones necesarias para llevar a cabo las
actividades.
Resultado:
Se determinó el espacio físico requerido para la estabilidad del servicio
TradaPlace y sus bases de datos.
Personas
Cantidad del personal del Área de Negocios TradePlace relacionado con las
actividades, así como, sus habilidades y conocimientos.
50
Resultado:
Los resultados arrojan que el servicio de TradePlace requiere a cada uno de
los integrantes del departamento disponibles para el cumplimiento de sus
procesos.
Base de Datos
Información almacenada mediante las bases de datos TradePlace tanto de
documentos como de procesos dentro del portal.
Resultado:
El portal TradePlace como lo indica el cuestionario requiere de una
disponibilidad mínima de 99.6% de sus bases de datos para mantener
estable el sistema.
Tiempos Aceptables para Alcanzar el Nivel de Servicio Mínimo
En caso de una interrupción al 100% de TradePlace mencione cual sería el
tiempo necesario para alcanzar el nivel de servicio mínimo que requeriría
para reanudar actividades desde el momento en que se presenta una
contingencia.
51
Resultado:
A través del este resultado podemos observar que el tiempo aceptable para
alcanzar el nivel mínimo de servicios es de 72 horas a partir de ese momento
los niveles de impacto serán elevados.
52
CAPÍTULO IV
SISTEMA ACTUAL
Descripción del Sistema Actual
Establecida en 1974 ENIAC es la mayor organización en soporte,
distribución e integración de tecnología de Información de América Latina y
el Caribe, esta organización está distribuida a través de Áreas de Negocio,
los cuales son creados para soportar, desarrollar, distribuir e implementar
productos y aplicaciones o prestar servicios de tecnología de información.
Todo producto o servicio dentro de la organización está asignado a un
Área de Negocios, desarrollando cada una su propia estructura operacional
interna de acuerdo a las necesidades y requerimientos de su entorno.
A continuación se presentan las Áreas de Negocios para el año 2013:
- Alianza Estratégica y Servicios
- Arquitectura y Construcción de Software
- Aplicaciones E-Commerces
- Comercio Electrónico – Soluciones de e-Retail y POS
- Computer Associates
- Confiabilidad, Disponibilidad y Seguridad – Sistemas i5
- Confiabilidad, Disponibilidad y Seguridad – Windows
- Conectividad y Transferencia de Datos
- Consultoría ERP – MRP II
- Desarrollo de Proyectos WEB
- Desarrollo Profesional
- Gestión del Conocimiento – GRC y Auditoría
53
- Gestión de Datos e Inteligencia del Negocio
- Infraestructura e-Business
- Ingeniería del Software
- Integración de Negocios B2B
- InternetWorking
- Mercadeo y Comunicaciones Corporativas
- Sector Financiero y Comercial
- Sistemas de Auditoría y Análisis de Datos
- Sistemas para la Administración y Control de Proyectos
- Soluciones Financieras y ERP
- Tecnología y Servicios de Bases de Datos
La investigación se desarrollará para el Área de Negocios de
Aplicaciones E-Commerces dirigido por la Lic. Mayra Paris, dentro de sus
servicios y productos se encuentra el Portal TradePlace.
TradePlace ofrece a sus clientes el intercambio electrónico de
Documentos de Negocios, generando una comunidad para cada cliente en el
portal y asociándola a diversos proveedores, dentro del intercambio
electrónico de TradePlace el cliente tiene la libertad de generar documentos
en las fechas en las que lo requiera sin la necesidad alguna de un
procedimiento adicional al envío del documento al proveedor deseado, los
Documentos de Negocios en el año 2013 enviados a través del portal son los
siguientes :
- Orden de Compra
- Detalles de pagos
54
- Estados de Cuenta
- Comprobante de Retención (IVA, ISLR y ARC)
- Devoluciones
- Factura Electrónica
- Notas de Crédito
Dichos están conformados por un encabezado y un detalle, de esta
misma forma es almacenada la información en la base de datos
BDTradePlace. Existe una tabla de encabezado en la cual se almacena
información referente a las Organizaciones y el Detalle en donde se
encuentra registrado cada uno de los detalles de los ítem del documento, en
algunos documentos se presenta un tracking, tabla en la cual está contenida
la información de las trazas o historiales de acceso y manejo del documento.
La estructura de las tablas de encabezado y detalle es definida por el
cliente o “comunidad” como es referenciado en el portal, dichas tablas están
relacionadas exclusivamente entre ellas y son ajenas a las diversas tablas
que la comunidad posee.
Adicionalmente existen tablas en BDTradePlace en donde se
encuentran contenida información referente a diversos procesos internos,
que colaboran con el servicio.
TPlace
TradePlace cuenta con la Base de Datos Administrativa Tplace, en la
cual se encuentra almacenada la información requerida para la ejecución de
procesos internos del Portal.
En la Actualidad el área de negocios Aplicaciones E-Commerce no
presenta sistema alguno para la detección o mitigación de riesgos en sus
procesos.
55
Gráfico 1. Caso de Uso del Sistema Actual
Descripción de los Actores en el Caso de Uso Gráfico 1. Caso de Uso del Sistema Actual
Cliente
El Actor Cliente, representa a la empresa u organización afiliada al portal TradePlace, realiza intercambio electrónico de documentos de negocio a los Proveedores de su Comunidad.
Enviar Estructura de base de datos
Aprobar
Estructura base de datos
Asociar Proveedor
Validar
Asociación de Proveedor
Intercambiar Documentos
Cliente
E-Commerce
Proveedor
56
Aplicaciones E-Commerce
El Actor Aplicaciones E-Commerce, representa el Área de negocios encargada del desarrollo, soporte y ventas del servicio de intercambio electrónico de documentos de negocio a través del portal TradePlace
Proveedor
El Actor Proveedor, representa a todas aquellas empresas u organizaciones que forman parte de la Comunidad de nuestros clientes,
57
CAPÍTULO V
SISTEMA PROPUESTO
Descripción del Sistema Propuesto
Una base de datos consolidada puede llegar a ser el arma que marque la
diferencia entre empresas, es decir una gran ventaja competitiva, esto se
debe a que en ella se encuentra datos de un mismo contexto que
relacionada puede representar información importante de una organización
o conservar un servicio activo, tal como es en el área de negocios
Aplicaciones E-Commerce de ENIAC C.A.
Aplicaciones E-Commerce desarrolló un servicio de intercambio de
documentos electrónicamente a través del portal TradePlace, el servicio
presenta dos bases de datos una requerida en el intercambio de documentos
de negocios y la siguiente almacena la información requerida para la
ejecución de procesos internos del Portal, dichas bases de datos son
necesaria para mantener el servicio de TradePlace activo.
El presente trabajo de grado consiste en la implementación de un sistema
que maneje el riesgo que presentan las bases de datos de TradaPlace, el
sistema tiene como propósito mitigar el riesgo de indisponibilidad de
BDTradePlace y TPlace con la ejecución de un cuestionario automatizado el
cual generará un reporte de análisis de riesgo que contendrá diversas
estadísticas que reflejarán el estado del servicio, adicionalmente se
presentan mitigaciones en cada uno de los puntos de criticidad, de manera
que el usuario tenga el conocimiento de cómo mitigar el riesgo.
Risk Data Base el sistema propuesto desarrollado es una herramienta
amigable que permite incorporar no sólo el área de negocios y las bases de
datos de TradePlace por el contrario se encuentra habilitado para el análisis
58
de riesgo de cualquier sistema de base de datos que sea incorporada al
mismo, por ende es un sistema adaptable a cualquier departamento con sólo
incorporar el área de negocios que desea analizar.
Aplicación de la Metodologías de Análisis y Diseño de Sistemas
Ciclo de Deming
Fase de Planificar
La fase de planificación es el punto de partida del Ciclo de Deming. En esta
se realizó las especificaciones generales del sistema, en donde se muestra
una visión general del sistema, se define el alcance del sistema, las políticas
de seguridad planteadas, así como también los objetivos, metas, análisis de
riesgos, controles y la aplicabilidad del sistema.. A continuación se presenta
las especificaciones generales del proyecto:
59
Implementación del Sistema automatizado para la evaluación del riesgo
de indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso
de estudio: ENIAC, C.A
Fase de Planificación
60
Tabla de Contenidos
1. Introducción 61
2. Alcance 62
2.1 Definición de ENIAC 62
2.2 Características de ENIAC 62
2.3 Contexto de Riesgo 63
2.4 Procesos 63
2.5 Organización 63
2.6 Ubicación 63
2.7 Activos 64
2.7.1 Activos de Información 64
2.7.2 Activos de Tecnología 64
2.7.3 Activos de Ambiente 65
2.7.4 Activos Humanos 65
3. Políticas 65
3.1 Enunciado de la política 65
4. Objetivo de Seguridad de la Información 65
4.1 Metodología de análisis y evaluación de riesgos 66
4.2 Criterio de evaluación de riesgos 66
4.3 Marco de referencias de los controles de seguridad
de la información
66
61
1. Introducción
Este documento contempla formalmente las especificaciones de la
Implementación del Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo Business
Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de estudio:
ENIAC, C.A. Basándose en el Ciclo de Deming, el cual involucra las
especificaciones de las fases de Planificar y posteriormente se describirán
las siguientes fases Hacer, Verificar y Actuar, para realizar un planteamiento
de todo el proceso.
62
2. Alcance
2.1 Definición de ENIAC
ENIAC está constituida por sociedades(compañías, corporaciones) por
acciones de capital privado independientes entre sí, está dedicado a
proporcionar a sus Clientes productos y servicios de impacto claro y
altamente positivo para el negocio en términos de diferenciación y
competitividad, así como también brinda todo el soporte de integración e
implementación de los sistemas, incluyendo adaptación, instalación,
despliegue, entrenamiento, desarrollo de interfaces, acompañamiento y
respaldo para asegurar el éxito en las soluciones tecnológicas.
2.2 Características de ENIAC
ENIAC tiene como principio fundamental proporcionar al Cliente el mejor
producto y/o servicio posible para resolver una necesidad importante de
su negocio. En tal sentido, la satisfacción del Cliente, antes, durante y
después de la compra o recepción del servicio, es mucho más
importante que cualquier tipo de satisfacción individual de las personas
de ENIAC y que cualquier beneficio económico de las personas y/o
empresas.
Dentro de los Clientes se encuentran las más prestigiosas
organizaciones del territorio donde se opera. Esta importante
participación ha sido ganada en base a la constancia de
propósito, talento, capacidad profesional, trabajo intensivo y ética
comercial, en un mercado caracterizado por el oportunismo, la
charlatanería, la competencia desleal, la corrupción y el subdesarrollo.
El objetivo más importante de ENIAC consiste en mantenerse como una
organización ágil, agresiva, dinámica, ingeniosa, competente y ser
63
reconocida como la empresa Líder en tanto tecnología y nivel de
profesional como en capacidad y ética comercial.
2.3 Contexto de Riesgo
El Sistema automatizado para la evaluación del riesgo de indisponibilidad
de una base de datos bajo el modelo evaluativo Business Impact
Analysis, es aplicable a los riesgos que afectan a los activos vitales de
información, tecnológicos, humanos y de entorno al intercambio de
documentos en línea a través de TradePlace.
2.4 Procesos
Es parte del alcance de la evaluación basada en el BIA los siguientes
procesos:
- Afiliación al Portal TradePlace
- Inicio de Sesión al Portal TradePlace
- Intercambio electrónico de documentos de negocios
- Soporte del portal Portal.
1.5 Organización
El Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis es aplicable a los procesos mencionados con
anterioridad, realizadas por el Área de Negocios Aplicaciones de e-
Commerce
2.6. Ubicación
El Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis es aplicado en ENIAC, C.A ubicada en el
64
Edificio Polar, Torre Oeste, Piso 10. Plaza Venezuela, Los Caobos
Caracas 1050, Venezuela Teléfonos: (58-212) 709-5600 - Fax: (58-212)
574-1605.
info@ENIAC.com
2.7. Activos
Son parte del alcance del Sistema automatizado para la evaluación del
riesgo de indisponibilidad de una base de datos bajo el modelo
evaluativo Business Impact Analysis , los activos vitales de los procesos
considerados en el numeral 2.4 Procesos. La información de detalle de
los activos se encuentra en el Inventario de Activos.
2.7.1 Activos de Información
Son parte del alcance los activos de información siguientes:
- Bases de datos
- Documentación reservada
2.7.2 Activos de Tecnología
Son parte del alcance los activos tecnológicos a continuación:
- Activos de soporte como hardware, equipo de procesamiento de
datos, equipo de cómputo portátil, equipo de cómputo fijo, periféricos,
medios de almacenamiento electrónico, otros medios de
almacenamiento no electrónico.
- Software como programas, sistemas operativos, software de
administración, de servicio y/o de mantenimiento.
- Aplicaciones en producción, instalado en servidores en producción.
- Redes, medios y soportes.
65
2.7.3 Activos de Ambiente
Son parte del alcance los activos tecnológicos a continuación:
- Ubicación oficinas.
- Centro de cómputo.
- Áreas restringidas.
2.7.4 Activos Humanos
Son parte del alcance los activos humanos cada uno de los usuarios
que opera el sistema de base de datos
3. Políticas
3.1 Enunciado de la política
La protección de los activos de información es vital para proporcionar la
disponibilidad de TradePlace y sus bases de datos, por lo tanto se
establece un Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis el cual permite identificar los activos de
información que necesitan ser protegidos y determinar los controles que
los protejan.
El Área de Negocios Aplicaciones E-Commerce reconoce la necesidad
de que el Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis sea tomado en cuenta de manera preventiva
y correctiva continuamente aplicado para la evaluación de sus bases de
datos.
4. Objetivos de Seguridad de la Información
La política de seguridad de la información tiene como objetivo:
66
Identificar amenazas y vulnerabilidades que podrían provocar la
interrupción de la base de datos lo cual generaría indisponibilidad en el
servicio brindado por el Portal TradePlace.
4.1 Metodología de análisis y evaluación de riesgos
La metodología de análisis y evaluación de riesgos en seguridad de la
información, se basa en la Norma BS ISO/IEC 27001:2005. Esta
metodología gestiona los riesgos siguiendo el ciclo:
Inventariar - Analizar -Evaluar - Tratar
La metodología de estimación del riesgo asegura resultados
comparables y reproducibles de los cálculos del riesgo.
4.2 Criterio de evaluación de riesgos
Los criterios de evaluación de riesgos son:
1) Muy Alto: Los riesgos son inaceptables y los responsables deben
orientarse a minimizar de forma inmediata.
2) Alto: Los riesgos son inaceptables y los responsables deben
orientarse por lo menos controlar.
3) Medio: Los riesgos pueden ser aceptables después de la revisión y
confirmación de los responsables. Sin embargo, la aceptación del
riesgo debe ser realizada por medios formales.
4) Bajo: Los riesgos pueden ser aceptables después de la revisión y
confirmación de los responsables.
5) Muy bajo: Los riesgos son aceptables y deben ser informados a los
responsables.
67
4.3 Marco de referencias de los controles de seguridad de la
información
Dentro de los procesos del BIA, se encuentran varios grupos de
controles de seguridad los cuales son los siguientes:
1) Políticas de Seguridad: Es el nivel político o estratégico de la
organización. En este control se define las líneas a seguir y el nivel
de compromiso de la dirección con ellas. A través de este control,
se realiza el plan de seguridad, donde se precisa a un nivel más a
detalle el planteamiento, para dar inicio al conjunto de acciones o
líneas que se deberán cumplir.
2) Organización de la seguridad de la información: Este grupo de
control abarca dos puntos de importancia, el primero, es la
organización interna que comprende del compromiso de la
dirección, coordinaciones, responsabilidades, autorizaciones,
acuerdos de confidencialidad, contactos con autoridades y grupos
de interés en temas de seguridad, revisiones independientes. El
segundo, es las partes externas que son los riesgos relacionados
con terceros, gobierno de la seguridad respecto a clientes y socios
de negocio.
Es importante organizar y mantener la cadena de contactos con el
mayor detalle posible (Personas, responsabilidades, activos,
riesgos.).
3) Administración de Activos: Este conjunto abarca primero, la
responsabilidad en los recursos, que es el inventario y propietario
de los recursos, empleo aceptable de los mismos. Y segundo, en la
clasificación de la información que es la identificación y tratamiento
de la información.
68
4) Seguridad Física y del entorno: Este grupo de control consta en
dos (2) subgrupos, el primero son las áreas de seguridad, que
abarca la seguridad física y perimetral, control físico de entradas,
seguridad de locales, edificios y recursos, protección contra
amenazas externas y del entorno, el trabajo en áreas de
seguridad, accesos públicos, áreas de entrega y carga. El segundo
punto son la seguridad de elementos, consta de la ubicación y
protección de equipos, elementos de soporte a los equipos,
seguridad en el cableado, mantenimiento de equipos, seguridad en
el equipamiento fuera de la organización.
5) Administración de las Operaciones y las comunicaciones: Este
grupo de control es el más extenso de todos, se divide en varios
subgrupos que son los siguientes:
- Procedimientos operacionales y responsabilidad: tiene como
objetivo asegurar la correcta y segura operación de la información,
comprende de cuatro controles. Se basa principalmente en
documentar todos los procedimientos, manteniendo los mismos y
disponibles a todos los usuarios que los necesiten, separando
adecuadamente los servicios y las responsabilidades para evitar
uso inadecuado de los mismos.
- Administración de prestación de servicios de terceras partes:
Abarca tres controles, se refiere fundamentalmente, a los casos en
los cuales se encuentran hechas por terceros determinadas tareas
o servicios del propio sistema informático. Los controles están
centrados en tres aspectos fundamentales de esta actividad:
69
a.- Documentar adecuadamente los servicios que se están
prestando (acuerdos, obligaciones, operación, confidencialidad,
responsabilidades).
b.- Medidas a adoptar para la revisión, monitorización y auditoria
de los mismos.
- Planificación y aceptación de sistemas: El objetivo es realizar una
adecuada metodología para que al entrar en producción cualquier
sistema, se pueda minimizar el riesgo de fallos.
- Resguardo: comprende de un solo control, que remarca la
necesidad de las copias de respaldo y recuperación, sino se
prepara al personal e implementan las mismas prácticas y
procedimientos
- Administración de la seguridad de redes: los dos controles que
conforman este grupo, tiene como principal propósito en la
necesidad de administrar y controlar lo que sucede en nuestra red,
es decir, implementar todas las medidas posibles para evitar
amenazas, manteniendo la seguridad de los sistemas y
aplicaciones a través del conocimiento de la información que
circula en ellas.
- Manejo de medios: este grupo comprende de la prevención de la
difusión, modificación, borrado o destrucción de cualquier medio
(disco, cintas, papeles, memorias, etc.).
- Intercambios de información: Este grupo contempla el conjunto de
medidas a considerar para cualquier tipo de intercambio de
información, tanto en la red como fuera de ella, y para movimientos
internos o externos de la organización.
70
- Monitorización: este apartado tiene como objetivo la detección de
actividades no autorizadas en la red y reúne seis controles. Los
aspectos más importantes a destacar son:
a.- Revisar revisiones periódicas y procedimientos de
monitorización del uso de los sistemas
b.- La actividad de los administradores y operadores de
sistemas, también debe ser monitorizada, pues es una de las
mejores formas de tomar conocimiento de actividad
sospechosa, tanto si la hace un administrador propio de la
empresa o si es uno que se hace pasar por uno de ellos.
c.- Auditar los logs que registren actividad, excepciones y
eventos de seguridad.
6) Control de acceso: El control de acceso es posterior a la
autentificación y debe regular que el usuario autenticado, acceda
únicamente a los recursos sobre los cuales tenga derecho y a
ningún otro.
El control de acceso es una de las actividades más importantes de
la arquitectura de la seguridad de un sistema.
Tiene varios puntos importantes a cumplir que son los siguientes:
- Administración de accesos de usuarios: tiene como objetivo
asegurar el correcto acceso y prevenir el no autorizado y, a través
de cuatro controles, exige llevar un procedimiento de registro y
revocación de usuarios, una adecuada administración de
privilegios y de las contraseñas de cada uno de ellos, realizando
periódicas revisiones a intervalos regulares, empleando para todo
ello procedimientos formalizados dentro de la organización.
71
- Responsabilidad de usuarios: Todo usuario dentro de la
organización debe tener documentadas sus obligaciones dentro de
la seguridad de la información de la empresa. Independientemente
de su jerarquía, siempre tendrá alguna responsabilidad a partir del
momento que tenga acceso a la información.
- Control de acceso a la red: en este grupo se busca prevenir
cualquier acceso no autorizado a los mismos.
Como primera medida debe existir una política de uso de los
servicios de red para que los usuarios, solo puedan acceder a los
servicios específicamente autorizados. También se debe centrar en
la identificación de equipamiento y puertos de acceso.
- Control de acceso a información y aplicación: en este grupo se
encarga de prevenir el acceso no autorizado a la información
mantenida en las aplicaciones.
7) Adquisición, desarrollo y mantenimiento de sistemas de
información: este grupo está conformado por dieciséis controles,
de los cuales los primordiales para el proceso del BIA son los
siguientes:
- Seguridad en el desarrollo y soporte de procesos: este apartado
cubre cinco controles cuya finalidad está orientada hacia los
cambios que sufre todo el sistema. Los aspectos claves de este
grupo son:
a.- Desarrollar un procedimiento de control de cambio.
b.- Implementación de medidas tendientes a evitar fugas de
información.
72
c.- Revisiones técnicas a la aplicación luego de realizar
cualquier cambio al sistema.
- Administración de técnica de vulnerabilidades: este control lo que
propone es adoptar medidas tanto los temas para “tarde” o
“temprano” que se pueda ubicar la debilidad o vulnerabilidad.
Debido a que cuanto antes se tenga conocimiento de una debilidad
y se tomen las medidas adecuadas para solucionarlas, mejor será
para la organización.
8) Administración de incidentes de seguridad: Este grupo de control
se encuentra subdivido de la siguiente manera:
- Reportes de eventos de seguridad de la información y debilidades:
Este apartado define el desarrollo de una metodología eficiente
para la generación, monitorización y seguimiento de reportes, lo
cuales deben reflejar, tanto eventos de seguridad como
debilidades del sistema.
- Administración de incidentes de seguridad de la información y
mejoras: en este control, es un procedimiento que describa
claramente: pasos, acciones, responsabilidades, funciones y
medidas concretas.
9) Administración de la continuidad del negocio: Este grupo cubre
cinco controles y los presenta en un solo grupo:
- Aspectos de seguridad de la información en la continuidad del
negocio: el grupo tiene como objetivo contemplar todas las
medidas destinadas a que el sistema no realice interrupciones
sobre la actividad que realiza la empresa. Por lo tanto, una vez
incluida y analizada los controles de seguridad en los procesos de
la empresa, el segundo paso es evaluar los riesgos que impone
73
este para la interrupción del negocio en la organización, de ese
riesgo se derivará un impacto. Las medidas que se adopten para
solucionar, minimizar o mejorar esos riesgos deberán expresarse
por medio de planes de contingencia, los cuales tienen como
objetivo el de mantener y restaurar el nivel operacional de la
empresa.
10) Cumplimiento: Este grupo de control abarca dos puntos
importantes que son:
- Cumplimiento de políticas de seguridad, estándares y técnicas de
buenas prácticas: En este grupo, la norma trata de tomar como
prioridad el control en el cumplimiento de medidas, para evitar
debilidades y graves problemas que puedan ocasionar, si el
personal involucrado no da cumplimiento a las medidas, por lo
tanto, la consecuencia de una falla. Para evitar este problema se
debe asegurar que todos los procedimientos se cumplan y verificar
periódicamente las regulaciones vigentes, sean aplicables y estén
de acuerdo con toda la organización.
- Consideraciones sobre auditorías de sistemas de información:
Este control consta del empleo de herramientas de auditoría de
seguridad. Una herramienta de auditoría puede ser beneficiosa y a
la vez no, por lo tanto, se deberán ser tratadas con todas las
precauciones (inventariadas, identificadas, controladas en su
acceso y monitorizadas), debido a que un usuario no autorizado,
accede a ellas, ocasionaría un gran problema.
La herramienta de auditoría debe ser perfectamente regulado, en
cuanto su alcance, profundidad, objetivo, tiempo, y resultados
alcanzados. Se debe coordinar con el sistema a auditar que es
74
exactamente lo que se va a hacer y cuáles son los derechos y
obligaciones que poseen en el uso de esa herramienta.
Cuadro Nº 2 Definición de Controles-Metas
GRUPO DE CONTROLES INDICADORES META
1- Políticas de Seguridad Número de lineamientos revisados y actualizados
> 80% de lineamientos autorizados
2- Organización de la Seguridad de la Información
Número de sesiones del grupo de seguridad
> 90% de reuniones realizadas de acuerdo con el programa
Acuerdos de confidencialidad firmados por empleados
igual o mayor al 95% de los empleados
Número de riesgos identificados con terceros
> 90% del total de riesgos aceptados o mitigados
3- Administración de Activos
Inventario actualizado (incluyendo dueño y clasificación)
> 90% del inventario actualizado
Número de cartas de propiedad de activos
80% del total de activos
4- Seguridad Física y del Entorno
Número de accesos no autorizados a ENIAC
igual a cero
Número de accesos de visitantes no autorizados a ENIAC
igual a cero
Número de equipos o accesorios robados en el periodo
igual a cero
Número de mantenimientos a los equipos por periodo
igual al 100% con base en contratos
5- Administración de las Operaciones y las Comunicaciones
Número de cambios realizados
igual al 100% de registrados
Número de cambios realizados sin autorización
<10% del total de cambios
75
GRUPO DE CONTROLES INDICADORES META
Número de accesos de usuarios de desarrollo a producción
igual a cero
Número de respaldos generados en el periodo
igual al calendario de respaldos
Número de respaldos recuperados exitosamente
igual al Número de respaldos solicitados
Número de incidentes en la red
< a 1
Tasa de intentos fallidos para acceder a sistemas críticos del total de incidentes
<10% del total de incidentes
Número de incidentes de seguridad identificados en el monitoreo
<10% del total de incidentes
6- Control de Acceso
Número de usuarios registrados y activos
>90% del total de usuarios
Número de usuarios no autorizados encontrados en las revisiones
<10% del total de usuarios
Número de accesos no autorizados a la BDD.
<5 en el periodo
Número de accesos no autorizados a aplicativos
<5 en el periodo
Número de accesos no autorizados a la red
<5 en el periodo
Número de incidentes relacionados a contraseñas
<10% del total de incidentes
7- Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Número de incidentes de seguridad en el área de desarrollo
<1 en el periodo
Número de sistemas críticos afectados por las vulnerabilidades
<1 en el periodo
8- Administración de Incidentes de Seguridad
Número de incidentes de seguridad registrados
>90% de incidentes ocurridos
76
GRUPO DE CONTROLES INDICADORES META
Número de incidentes relacionados a equipos
<60% del total de incidentes
Número de incidentes relacionados con información
<20% del total de incidentes
Frecuencia y severidad de los incidentes detectados
menor que el periodo pasado
Tiempo promedio en la detección y resolución de incidentes
< a 4 horas
Incidentes relacionados a código malicioso
<5% del total de incidentes
Tiempo promedio en la detección y resolución de incidentes de seguridad
< a 3 horas
Incidentes relacionados a riesgos no identificados
<10% del total de incidentes
9- Administración de la Continuidad del Negocio
Número de actualizaciones al BIA
con base en procedimientos
Número de hallazgos en las pruebas
documentados y firmados
Número de hallazgos resueltos
>90% de hallazgos identificados
10- Cumplimiento
Número de revisiones técnicas con base en el ISO 27001
con base en lineamientos
Número auditorías de certificación/seguimiento ISO27001
con base en plan de auditorías
77
Fase de Hacer
La segunda fase dentro del ciclo de Deming es la Fase de Hacer, la cual está
constituida por todos aquellos controles necesarios de acuerdo fase previa,
tomando en cuenta las distintas especificaciones de la organización,
adicionalmente en ésta fase se fórmula e implementa un plan de desarrollo,
en el cual se detalla las especificaciones funcionales del sistema Risk Data
Base.
78
Implementación del Sistema automatizado para la evaluación del riesgo
de indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso
de estudio: ENIAC, C.A
Fase de Hacer
79
Tabla de Contenidos
1. Grupo de Controles 80
2. Puntos de Recomendación 83
80
1. Grupo de Controles
A continuación se presenta la definición de los criterios de evaluación de cada
uno de los indicadores perteneciente cada control.
Cuadro N° 3
Definición de Criterios de Evaluación
GRUPO DE CONTROLES
INDICADORES META
Criterio de Validación
Muy Alto
Alto Medio Bajo Muy Bajo
1- Políticas de Seguridad
Número de lineamientos revisados y actualizados
> 80% de lineamientos autorizados
2- Organización de la Seguridad
de la Información
Número de sesiones del grupo de seguridad
> 90% de reuniones realizadas de acuerdo con el programa
Acuerdos de confidencialidad firmados por empleados
igual o mayor al 95% de los empleados
Número de riesgos identificados con terceros
> 90% del total de riesgos aceptados o mitigados
3- Administración de Activos
Inventario actualizado (incluyendo dueño y clasificación)
> 90% del inventario actualizado
Número de cartas de propiedad de activos
80% del total de activos
4- Seguridad Física y del
Entorno
Número de accesos no autorizados a ENIAC
igual a cero
Número de accesos de visitantes no autorizados a ENIAC
igual a cero
Número de equipos o accesorios robados en el periodo
igual a cero
Número de mantenimientos a los equipos por periodo
igual al 100% con base en contratos
81
GRUPO DE CONTROLES
INDICADORES META
Criterio de Validación
Muy Alto
Alto Medio Bajo Muy Bajo
5- Administración de las
Operaciones y las Comunicaciones
Número de cambios realizados
igual al 100% de registrados
Número de cambios realizados sin autorización
<10% del total de cambios
Número de accesos de usuarios de desarrollo a producción
igual a cero
Número de respaldos generados en el periodo
igual al calendario de respaldos
Número de respaldos recuperados exitosamente
igual al Número de respaldos solicitados
Número de incidentes en la red
< a 1
Tasa de intentos fallidos para acceder a sistemas críticos del total de incidentes
<10% del total de incidentes
Número de incidentes de seguridad identificados en el monitoreo
<10% del total de incidentes
6- Control de Acceso
Número de usuarios registrados y activos
>90% del total de usuarios
Número de usuarios no autorizados encontrados en las revisiones
<10% del total de usuarios
Número de accesos no autorizados a la BDD.
<5 en el periodo
Número de accesos no autorizados a aplicativos
<5 en el periodo
Número de accesos no autorizados a la red
<5 en el periodo
Número de incidentes relacionados a contraseñas
<10% del total de incidentes
82
GRUPO DE CONTROLES
INDICADORES META
Criterio de Validación
Muy Alto
Alto Medio Bajo Muy Bajo
7- Adquisición, Desarrollo y
Mantenimiento de Sistemas de
Información
Número de incidentes de seguridad en el área de desarrollo
<1 en el periodo
Número de sistemas críticos afectados por las vulnerabilidades
<1 en el periodo
8- Administración de Incidentes de
Seguridad
Número de incidentes de seguridad registrados
>90% de incidentes ocurridos
Número de incidentes relacionados a equipos
<60% del total de incidentes
Número de incidentes relacionados con información
<20% del total de incidentes
Frecuencia y severidad de los incidentes detectados
menor que el periodo pasado
Tiempo promedio en la detección y resolución de incidentes
< a 4 horas
Incidentes relacionados a código malicioso
<5% del total de incidentes
Tiempo promedio en la detección y resolución de incidentes de seguridad
< a 3 horas
Incidentes relacionados a riesgos no identificados
<10% del total de incidentes
9- Administración de la Continuidad
del Negocio
Número de actualizaciones al BIA
con base en procedimientos
Número de hallazgos en las pruebas
documentados y firmados
Número de hallazgos resueltos
>90% de hallazgos identificados
10- Cumplimiento
Número de revisiones técnicas con base en el ISO 27001
con base en lineamientos
Número auditorías de certificación/seguimiento ISO27001
con base en plan de auditorías
83
2. Puntos de Recomendación
a) Políticas de Seguridad:
- Definir las líneas a seguir y el nivel de compromiso de ENIAC.
- Definir cada una de las actividades de ENIAC con respecto al BIA.
b) Organización de la Seguridad de la información:
- Diseñar un documento donde se presente la organización
actualizada de la cadena de contacto de ENIAC donde demuestre
el mayor detalle posible (personas, responsabilidades, activos,
necesidades y acuerdos).
- Diseño de un documento de responsables de ENIAC donde se
presente los derechos y obligaciones y el conjunto de medidas a
adoptar con cada uno de ellos.
c) Administración de Activos:
- Inventariar cada recurso perfectamente detallado (Responsable,
recurso, actividad) en ENIAC.
d) Seguridad Física y del Entorno:
- Documentar el control físico de entradas, seguridad de los recursos
y protección contra amenazas externas y del entorno.
- Documento del diseño de la estructura de seguridad organizacional
(ubicación y protección de equipos, elementos de soporte de los
equipos, seguridad en el cableado, mantenimiento de equipos,
etc.)
e) Administración de las operaciones y las comunicaciones:
- Identificar con absoluta claridad los responsables y sus funciones.
84
- Documentar adecuadamente los servicios que se están prestando
(acuerdos, obligaciones, confidencialidad).
- Medidas de protección física de la información en tránsito.
- Políticas, procedimientos y controles para el intercambio de
información para tipo y medio de comunicación a emplear.
- Documentar las copias de respaldo y recuperación.
f) Control de Acceso:
- Verificar el desvío de cualquier acceso.
- Administración de los accesos de los usuarios, en donde lleve un
registro de los usuarios correctos y no autorizados, una adecuada
administración de los privilegios y de las contraseñas de cada una
de ellos.
- Identificar los niveles y responsabilidades de cada usuario.
g) Adquisición, desarrollo y mantenimiento de sistemas de información:
- Revisiones técnicas al sistema, al realizar algún cambio.
- Supervisión y monitorización del sistema o BDD.
h) Administración de incidentes de seguridad:
- Reportes de eventos de seguridad de la información y debilidades.
- Administración de incidentes de seguridad de la información y
mejoras.
- Implementar herramientas de detección de vulnerabilidades,
ajustarlas a la organización, para saber con certeza donde ocurren
las debilidades.
i) Administración de la continuidad del negocio:
85
- Documentar cada aspecto de seguridad de la información en la
continuidad del negocio de ENIAC.
- Incluir cada control de seguridad que se necesite en cada uno de
los procesos de la empresa ENIAC.
j) Cumplimiento:
- Consideraciones sobre auditorias de sistemas de información tanto
de forma externa o interna en la empresa ENIAC.
- Cumplimiento por parte del personal en las revisiones técnicas del
sistema.
86
Fase Verificar
Fase en la que se realiza el proceso de verificación y revisión por parte de la
dirección del cumplimiento de los objetivos propuestos, el alcance
proyectado, las medidas de seguridad implementadas para mitigar los
riesgos. El proceso de seguimiento y motorización del BIA se hace con base
a los resultados que arroja los indicadores de la seguridad de la información
propuestos para verificación de la eficacia y efectividad de los controles
implementados.
87
Implementación del Sistema automatizado para la evaluación del riesgo
de indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso
de estudio: ENIAC, C.A
Fase Verificar
88
Tabla de Contenidos
1. Introducción
1.1 Gobernabilidad, Riesgo y Cumplimiento 89
1.2 ISO 27001 89
1.3 Aplicaciones 90
1.4 PSR 90
1.5 Indicadores 93
2. Proceso de Gestión en el Módulo Risk Data Base 94
2.1 Inventariar 94
2.2 Analizar 95
2.3 Evaluar 96
2.4 Tratar 96
3. Flujo de Procesos 97
4. Diagrama Entidad Relación 100
5. Diccionario de datos 101
6. Interfaces Gráficas 107
89
1.1 Gobernabilidad, Riesgo y Cumplimiento (GRC)
- Es un término general que abarca el enfoque de una organización
en tres áreas.
- Son cada vez más integradas y alineadas en cierta medida con el
fin de evitar conflictos, etc.
- Típicamente abarca actividades tales como gobierno corporativo,
gestión de riesgo empresarial (ERM) y cumplimiento corporativo
con las leyes y reglamentos aplicables.
1.2 ISO 27001
La ISO 27001: “Sistema de gestión de seguridad de la
información”.
- Especifica el marco referencial para establecer, implantar y
documentar un BIA.
- Establece requisitos para implantar controles en la ISO 27002
90
Ilustración N° 1 Organigrama ISO 27001
Fuente: Instituto IPEJAL (2010)
1.3 Aplicaciones
- Proyectos de Análisis y Gestión de Riesgos
- Inventario de Activos
- Creación de Indicadores
- Entrega de reportes
1.4 PSR
El BIA utiliza un método de Análisis de Riesgos que calcula el índice
de riesgos denominado PSR. Este índice define el riesgo para cada
control encontrado en el análisis. Los valores permitidos para cada
variable van del uno (1) al cinco (5).
91
Ilustración N° 2 Cálculo del Riesgo PSR
Fuente: Instituto IPEJAL (2010)
Probabilidad:
Se define como la posibilidad de que un evento ocurra, este valor
depende directamente de los controles de seguridad seleccionados.
El valor de probabilidad se presenta a criterio de los autores en
conjunto con los expertos y el tutor de la investigación.
92
Severidad:
Se refiere al nivel de cumplimiento de las metas establecidas, por lo
tanto este valor depende del cuestionario realizado a través del
módulo Risk Data Base, en donde el valor se calcula por cada uno de
los controles y posteriormente se realiza el promedio de los valores
arrojados durante la encuesta.
Relevancia:
Se entiende como el nivel de importancia que presenta la
disponibilidad de la base de datos del sistema de TradePlace.
Para determinar este valor se aplicó un cuestionario que contiene un
segmento de Impacto, en donde se determina los diferentes impactos
que podría ocasionar la indisponibilidad y se establece un nueve
lapsos de tiempo, cada lapso presenta una puntuación entre 1 y 5 a
criterio de los autores teniendo a mayor tiempo seleccionado menor
relevancia.
Se presentan las opciones seleccionas y están son sumadas y a
continuación divididas entre el número de resultados obtenidos.
93
Al realizar el cuestionario en el área de negocios Aplicaciones E-
Commerce se determinó que se presenta un nivel de relevancia de
3,37, este valor que se aplica a cada uno de los controles.
1.5 Indicadores
El BIA utiliza dos tipos de indicadores que son:
- Indicadores de Cumplimiento: Son los controles que validan si los
controles aplicados en el sistema, están implementados o no
implementados.
- Indicadores de Riesgo: Son los controles que determinan si un
riesgo se encuentra existente o controlado.
1.6 El sistema Risk Data Base
El sistema Risk Data Base es un sistema que evalúa los procesos de
la base de datos TradePlace, realiza la detección o mitigación de los
riesgos a los activos vitales ya sea de información y tecnología.
El sistema está apegado a la norma internacional ISO 27001 y los
controles están apegados a dicha norma.
De acuerdo a la norma ISO 27001, los grupos de controles utilizados
son los siguientes:
- Políticas de Seguridad
- Organización de la seguridad de la información
- Administración de Activos
- Seguridad Física y del Entorno
- Administración de las Operaciones y las comunicaciones
- Control de Acceso
94
- Adquisición, desarrollo y mantenimiento de sistemas de
información
- Administración de incidentes de seguridad
- Administración de la continuidad del negocio
- Cumplimiento
Al ejecutar todos los controles de la norma ISO 27001, se entregará
un reporte que demuestre la evaluación de riesgo en la base de datos
de TradePlace y la evaluación de cumplimiento de controles dentro de
la organización de ENIAC.
2.- Proceso de Gestión en Módulo Risk Data Base
A continuación se presenta cada una de las fases por las que el usuario
deberá cumplir con la finalidad de realizar un análisis de riesgo para un
sistema de base de datos a través de Risk Data Base.
2.1 Inventariar
En el sistema se encuentra el módulo “AdN” en el cual se creará el área en la
que se realizará la evaluación, para la carga es necesario realizar el
Inventario de Activos para cada uno de los controles.
95
Ilustración N° 3 Módulo AdN – Crear AdN
2.2 Analizar
El Módulo de Cuestionario de la herramienta Risk Data Base permite
capturar los valores para cada indicador dentro de los diferentes grupos de
controles para así realizar el análisis de riesgo.
Ilustración N° 4 Módulo Cuestionario
96
2.3 Evaluar
La herramienta Risk Data Base a través del Cuestionario realizado generará
un Reporte de Análisis de Riesgo, el cual contiene una matriz con los
parámetro de Severidad, Probabilidad y Relevancia así como un gráfico
circular para cada uno de los valores generados por cada control.
Ilustración N° 5 Reporte de Análisis de Riesgo
97
2.3 Tratar
Risk Data Base corresponde a un sistema de análisis de riesgo que busca la
mitigación a los controles que se encuentren en un nivel de riesgo bajo, estas
opciones se encuentran en el módulo Base de Conocimientos, éste es una
recopilación de cada uno de las mitigaciones generadas a partir de los
cuestionarios realizados.
Ilustración N° 6 Módulo Base de Conocimientos
3.- Flujo de Procesos
El sistema propuesto Risk Data Base se realiza mediante los siguientes
procesos:
- ADN
- Cuestionario
- Análisis de Riesgo
- Base de Conocimiento
98
Gráfico 2 Flujo de Procesos Risk Data Base
Gráfico 3 Flujo de Procesos - AdN
-
Gráfico 4 Flujo de Procesos – Cuestionario
Crear Producto Inventariar activos
Inicio
Fin Modificar
Status
Producto Inventariar activos
Inhabilitar
Habilitar
Cargar en
Base de Datos
Inicio
Fin
Crear Ejecutar Capturar Resultados Analizar Riegos
Generar Reporte
Inicio Fin Base de Conocimiento AdN
Cuestionario Reporte
Usuario
99
Gráfico 5 Flujo de Procesos – Análisis de Riesgo
Gráfico 6 Flujo de Procesos –Base de Conocimientos
Inicio
Fin Validar Resultados
Capturar Resultados
Cargar en Base de
Datos
Comparar Resultados
-Metas Calcular Riesgo
Generar Reporte
Inicio
Fin
Reporte
Cargar
Recomendaciones
Generar Base de Conocimiento
100
4.- Diagrama Entidad Relación
101
5.- Diccionario de Datos
Cuadro 4 tbl_adn
Nombre tbl_adn
Llave Primaria cod_adn
Llave Foránea No aplica
Descripción - Tabla que almacena el nombre del AdN asociado a
su código de idetificación
Cuadro 5 tbl_producto
Nombre tbl_producto
Llave Primaria id_producto
Llave Foránea cod_adn, id_persona, id_bd
Descripción - Tabla que almacena datos referentes a los productos
o servicios pertenecientes a las áreas de negocio de
ENIAC.
- Un producto puede tener varias bases de dato
102
Cuadro 6 tbl_persona
Nombre tbl_persona
Llave Primaria Id_persona
Llave Foránea cod_adn
Descripción - Tabla que almacena datos referentes a las personas
que ingresen al sistema, ya sean usuarios, gerentes
o supervisores, el tipo de persona se identifica a
través de los campos gerente, supervisor, usuario.
Cuadro 7 tbl_status
Nombre tbl_status
Llave Primaria id_status
Llave Foránea id_usuario, cod_adn
Descripción - Tabla que permite establecer el status de usuarios a
través del campo status
103
Habilitado: 1
Inhabilitado: 0
Cuadro 8 Tbl_cuestionario
Nombre tbl_cuestionario
Llave Primaria id_cuestionario
Llave Foránea id_producto, cod_adn
Descripción - Tabla que almacena la data referente a los
cuestionarios realizados en conjunto con la
puntuación obtenida.
Cuadro 9 tbl_indicador
Nombre tbl_indicador
Llave Primaria id_indicador
Llave Foránea Id_cuestionario, id_producto, cod_adn, id_control,
id_mitigacion
Descripción - Tabla que contiene la data de referente a los
104
indicadores, el control asociado, el código de
mitigación y la meta requerida para el indicador .
Cuadro 10 tbl_mitigacion
Nombre tbl_mitigacion
Llave Primaria id_imitigacion
Llave Foránea
Descripción - Tabla que contiene la data de referente a cada una
de las recomendaciones sugeridas en el trabajo de
grado
Cuadro 11 tbl_control
Nombre tbl_control
Llave Primaria id_ control
Llave Foránea
Descripción - Tabla que contiene la data de referente a los
controles de seguridad
105
Cuadro 12 tbl_calculo
Nombre tbl_calculo
Llave Primaria id_ calculo
Llave Foránea Id_control
Descripción - Tabla que contiene la data de referente a los
controles de seguridad y el valor para cada uno de los
componentes del PSR
Cuadro 13 tbl_bd
Nombre tbl_bd
Llave Primaria id_ bd
Llave Foránea
Descripción - Tabla que contiene la data referente a las bases de
datos
106
Cuadro 14 tbl_resultado
Nombre tbl_resultado
Llave Primaria id_ resultado
Llave Foránea Id_cuestionario, id_producto, cod_adn, id_indicador,
id_mitigación
Descripción - Tabla en la que se almacena el resultados por cada
uno de los indicadores
107
6.- Interfaces Gráficas
Login del sistema
Ilustración 6 Acceso al sistema Risk Data Base
Menú Principal del sistema
Ilustración 7 Menú principal Risk Data Base
108
Risk Data Base
Ilustración 8 Instrucciones de uso del sistema Risk Data Base
Ilustración 9 Escala de Riesgo del sistema Risk Data Base
109
AdN del sistema
Ilustración 10 Registro del AdN
Ilustración 11 Modificar AdN
110
Ilustración 12 Status del AdN
Cuestionario del sistema
Ilustración 13 Cuestionario
111
Ilustración 14 Reporte de análisis de riesgo
Reporte del sistema
Ilustración 15 Reporte
112
Base de conocimientos
Ilustración 16 Base de conocimientos
Ilustración 17 Registro de usuario
113
Usuario del sistema
Ilustración 18 Modificar contraseña del usuario
Ilustración 19 Status del usuario
114
Fase Actuar
La última fase a considerar en la implementación del BIA a través del Ciclo
de Deming consiste en mantener y mejorar el sistema con la implementación
de mejoras, acciones correctivas y preventivas en relación a los resultados
obtenidos de la revisión por dirección y las auditorías internas.
115
Implementación del Sistema automatizado para la evaluación del riesgo
de indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso
de estudio: ENIAC, C.A
Fase Actuar
116
Tabla de Contenidos
1. Mejoras identificadas 117
2. Acciones Preventivas 117
3. Acciones Correctivas 118
4. Resultados 119
117
1. Mejoras identificadas
- Gestión y evaluación de riesgos a la base de datos de TradePlace.
- Identificación de los controles aplicados y no aplicados en la base
de datos TradePlace, con sus posibles riesgos.
- Establece cuales grupos de controles son necesarios con cada uno
de sus indicadores en la base de datos TradePlace.
- Implementación de los grupos de controles para la base de datos
TradePlace.
- Creación de un inventario de activos de cada control en el área de
negocio donde se utiliza la base de datos TradePlace.
- Proporciona una escala de riesgo dependiendo del porcentaje de
riesgo que le asigne el usuario al control.
- Entrega de reportes estadísticos de cumplimiento de los controles
a la base de datos TradePlace.
- Entrega de recomendaciones de acuerdo a la escala de riesgos y
del reporte de riesgo de cumplimiento de los controles a la base de
datos TradePlace.
- Visualización de la comparación entre reportes de riesgo de la
base de datos TradePlace a través del tiempo.
2. Acciones Preventivas
- Ejecución de respaldos a la base de datos TradePlace.
- Creación de puntos de restauración de la base de datos
TradePlace.
- Revisión y validación de los accesos de red de los usuarios vía
local o remoto a la base de datos TradePlace.
118
- Revisión y validación de los roles y responsabilidades de los
usuarios en la base de datos TradePlace.
- Creación de un plan de mantenimiento en la base de datos
TradePlace.
- Organizar un plan de tratamiento de riesgos en la base de datos
TradePlace.
- Realizar procedimientos documentados necesarios para la
operación y control de procesos en la base de datos TradePlace.
- Proporcionar capacitaciones al personal para el uso debido de la
base de datos TradePlace.
- Realización de pruebas de estrés a la base de datos TradePlace.
3. Acciones Correctivas
- Habilitar un historial de acciones del usuario en la base de datos
TradePlace.
- Evaluar el porcentaje de pérdida de información durante la caída
de la base de datos TradePlace contra el último respaldo creado.
- Realizar auditorías de procesos a la base de datos TradePlace.
- Crear una documentación de posibles soluciones a errores o
riesgos frecuentes en la base de datos TradePlace.
- Verificar los respaldos disponibles y ejecutar el último punto de
restauración.
- Revisar los resultados obtenidos de las acciones correctivas.
- Ejecutar mediante una bitácora para la recuperación de la
información.
119
4. Resultados
Al obtener los resultados del BIA, se procederá a comunicar los
resultados y acciones a las partes interesadas de ENIAC y de
asegurar que las mejoras logren sus objetivos planteados.
Se deberá de publicar en la intranet de ENIAC, la publicación de las
normas y controles que deberán usar los empleados para garantizar el
cumplimiento y las mejoras en la organización.
120
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
Una vez culminada cada una de las fases de la metodología planteada
en el presente trabajo de grado, se destacan aspectos relevantes asociados
a cada uno de los objetivos específicos de la investigación, por lo cual se
concluye:
-Describir el contexto operacional del sistema de base de datos TradePlace
en el área de negocios E-Commerce en la empresa ENIAC C.A.
El sistema de bases de datos que soporta el portal de TradePlace consta de
dos (2) bases de datos en donde una de ellas almacena la información
referente a los documentos de negocios y otra soporta la información
requerida para los servicios y procedimientos del portal, este sistema de base
de datos tiene único proceso para el mantenimiento del portal y este es la
realización de un backup trimestral de la base de datos, el sistema debe de
operar a un nivel mínimo de 99,6% para mantener su operatividad,
porcentaje que refleja su importancia dentro del portal. La información fue
extraída de la Entrevista realizada a la muestra de la investigación.
-Analizar la criticidad de cada uno de los elementos y servicios funcionales
que se ejecutan a través de la base de datos del Portal TradePlace.
Para el cumplimiento de este objetivo se realizó un cuestionario y una
entrevista, la cual creó una visión real de cuáles son los procesos
fundamentales para el óptimo nivel del Portal TradePlace teniendo como
resultados: la afiliación al Portal TradePlace, Inicio de sesión al portal,
intercambio electrónico de documentos, soporte para el portal,
adicionalmente se obtuvo un 3,57 de nivel de relevancia evidenciando un
121
nivel medio alto en la escala de riesgo lo cual indica un gran impacto tangible
e intangible.
-Determinar los requerimientos de información necesarios para garantizar la
disponibilidad del servicio TradePlace.
Se realizó la selección de diez (10) controles de seguridad provenientes de la
ISO 27001 los cuales se adaptan a la situación real del área de negocios
Aplicaciones E-Commerce, adicionalmente para cada uno de estos controles
se definieron los indicadores necesarios que abarcan las necesidades del
área de negocios. Los controles definidos son:
Políticas de Seguridad, Organización de la Seguridad de la Información,
Administración de Activos, Seguridad Física y del Entorno, Administración de
las Operaciones y las Comunicaciones, Control de Acceso, Adquisición,
Desarrollo y Mantenimiento de Sistemas de Información, Administración de
Incidentes de Seguridad, Administración de la Continuidad del Negocio,
Cumplimiento.
- Diseñar la interfaz gráfica y el modelo de datos para el sistema Risk Data
Base.
Este objetivo fue alcanzado con éxito, ya que se lograron implementar
interfaces gráficas amigables siguiendo las recomendaciones del área de
negocios Aplicaciones E-Commerce.
- Desarrollar los algoritmos necesarios para la gestión de los procesos del
sistema Risk Data Base.
Para lograr y cumplir con el objetivo se realizó un flujo de procesos en el cual
se estableció cada uno de los procesos para los diferentes módulos del
sistema, así como la relación entre sí que presentan, logrando establecer el
proceso con exactitud a realizar.
122
-Aplicar las pruebas necesarias a fin de aprobar el sistema Risk Data Base.
Se realizó las pruebas de calidad así como las pruebas de aceptación,
funcionales y de compatibilidad. El sistema respondió correctamente a cada
una de estas pruebas.
-Implementar el sistema Risk Data Base en el área de negocios Aplicaciones
E-Commerce
Se logró implementar un sistema automatizado en el departamento E-
Commerce de ENIAC C.A., Risk Data Base es un sistema amigable
caracterizado por una interfaz desarrollada bajo las peticiones y supervisión
de la organización este permite establecer mediante un cuestionario un
análisis de riesgo para el sistema de base de datos del Portal TradePlace,
constituido por los una matriz de riesgo la cual representa el riesgo de
indisponibilidad, así como una serie de estadísticas y mitigaciones,
permitiendo al usuario realizar una base de conocimientos comparando
resultados y permitiendo establecer un sistema seguro en sus bases de
datos.
123
Recomendaciones
Con la finalización de este proyecto de investigación se realizan las
siguientes recomendaciones:
- Utilizar el ciclo de Deming para la implementación de las normas ISO
como metodología, dado que son cuatro (4) pasos sencillos de
implementar.
- Hacer extensivo el uso de la seguridad de la información en las
empresas a través del internet, para dar publicidad de estas normas y
obtener mejor conocimiento de ellas.
- Motivar a las empresas de utilizar las normas ISO para la gestión de la
seguridad de la información.
- Facilitar cursos de capacitación a las empresas con necesidades de
seguridad de información que estén apegadas a las normas ISO.
- Analizar y verificar los grupos de control de las normas ISO, que sean
necesarios para la gestión de la seguridad de la información de
acuerdo a cada tipo de empresa.
- Mejorar el entendimiento de la norma accediendo al sitio público de
internet de la ISO, donde se tiene mejor información de la norma
27001 y 27002.
124
REFERENCIAS BIBLIOGRÁFICAS
- Torbay y Fierro (2008) Plan de Continuidad de Negocios (BCP) para el
Área de Sistemas de una empresa dedicada a la manufactura de
papel. Trabajo de Grado no publicado. Escuela Superior Politécnica
del Litoral, Caracas, Venezuela.
- Bracho y Rendón (2006) Desarrollo de un sistema para la gestión de
riesgos en proyectos de tecnología de información. Trabajo de Grado
no publicado. Universidad Católica Andrés Bello, Caracas, Venezuela
- González, E. (2011) Plan de calidad para la seguridad de la
información en el ciclo de vida del sistema de información que maneja
mayor volumen de datos para en estudio. Trabajo de Grado no
publicado. Universidad Católica Andrés Bello, Caracas, Venezuela.
- Landeira, Cortizo y Sánchez (2006) Derechos de las nuevas
tecnologías. Editorial Reus. Volumen 1. Edición: España
- Centeno, M. (2012) Manual de Trabajos de grado de Especialización y
Maestría y Tesis Doctorales, 4ta edición. Editorial FEDUPEL. Caracas,
Venezuela
- Aris, F. (2012) El proyecto de investigación, introducción a la
metodología científica. 6ta edición. Editorial Episteme. Caracas,
Venezuela
- Balestrini (2006) Como se elabora un proyecto de investigación, 7ma
edición. Editorial BL consultores asociados servicio editorial. Caracas,
Venezuela.
- Landeau, R. (2007) Metodología y nuevas tecnologías, 1era edición.
Editorial Alfa editorial. Caracas, Venezuela
- Constitución de la República Bolivariana de Venezuela. (1999).
Gaceta Oficial N° 3390 Diciembre 30,1999.
125
- Real Academia Española. (2001). Diccionario de la lengua española.
Madrid, España
- Muñoz, J. (2009) Concepto de Riesgo [Página web en línea].
Disponible en: http://es.slideshare.net/cerodano/concepto-de-riesgo
[Consulta: Septiembre, 2013]
- Erb, M.(2009) Gestión de Riesgo en la Seguridad Informática [Página
web en línea].
Disponible en:
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidad
es/ [Consulta: Septiembre, 2013]
- Fundación Elika (2005) ¿Qué es la evaluación de riesgos? [Página
web en línea].
Disponible en:
http://www.elika.net/datos/articulos/Archivo139/13.Evaluacion%20de%
20riesgos.pdf
[Consulta: Septiembre, 2013]
- Besteiro, M. (2008) Introducción al lenguaje C# [Página web en línea].
Disponible en:
http://www.ehu.es/mrodriguez/archivos/csharppdf/Lenguaje/Introduccio
n.pdf
[Consulta: Septiembre, 2013]
- Serrano, J. (2010) Microsoft Visual Studio 2010, la combinación
perfecta de recursos para los desarrolladores [Página web en línea].
Disponible en:
http://www.lawebdelprogramador.com/noticias/mostrar.php?id=2462
[Consulta: Octubre,2013]
- Agustín, J. (2013) Clase 1: Definición de Seguridad Informática
[Página web en línea].
126
Disponible en: http://www.agustinmantilla.com/clase-1-definicion-de-
seguridad-informatica.html#
[Consulta: Octubre, 2013]
- Suarez, S. (2011) Introducción a la Seguridad Informática [Página web
en línea].
Disponible en: http://es.kioskea.net/contents/622-introduccion-a-la-
seguridad-informatica
[Consulta: Octubre, 2013]
- Erb, M. (2009) Definición de la Seguridad Informática [Página web en
línea].
Disponible en:
http://protejete.wordpress.com/gdr_principal/definicion_si/
[Consulta: Noviembre, 2013]
- Organización Internacional de estándares ISO (2013) Sistema de
Gestión de Seguridad de la información 27001 [Página web en línea].
Disponible en: http://www.iso27000.es/sgsi.html
[Consulta Noviembre, 2013]
- Universidad Nacional Abierta y a Distancia (2011) Ciclo PDCA
(Edward Deming) [Página web en línea].
Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-
233003-online/151_ciclo_pdca__edward_deming.html
[Consulta Noviembre, 2013]
- Torres, L. (2007) Concepto de SQL Server [Página web en línea].
Disponible en: http://www.lizettangel.tripod.com/conc.html
[Consulta Noviembre, 2013]
127
ANEXOS
Anexo N° 1
Guía de Entrevista destinada al Área de Negocios Aplicaciones E-
Commerce de la Organización ENIAC, C.A
1.- ¿Cuáles son los procedimientos realizados para el mantenimiento del
Portal de TradePlace?
2.- ¿Qué indicadores cree usted que se deben tomar en cuenta como
referencia para analizar el riesgo que corre el sistema de base de datos?
3.- ¿Cuáles cree usted que son los requerimientos para mantener el sistema
de base de datos estable?
4.- ¿Cuáles cree usted que son los procesos o procedimientos en los que la
base de datos de TradePlace interfiere?
5. ¿Cuáles cree usted que son los activos relacionados con el sistema de
base de datos de TradePlace?
6.- ¿Cree usted que un sistema de evaluación de riesgo de base de datos
sea necesario para las bases de datos de TradePlace?
128
Anexo N° 2
Cuestionario destinado al Área de Negocios Aplicaciones E-Commerce
de la Organización ENIAC, C.A
Propósito del Cuestionario. El Análisis de Impacto al Negocio (BIA, por sus siglas en inglés), es un
proceso usado para determinar y documentar el impacto en la interrupción de
actividades que soportan sus productos y servicios claves.
Para cada actividad que soporta la entrega de productos y servicios críticos
dentro del alcance de la gestión de la continuidad del negocio se deberá:
- Evaluar los impactos sobre el tiempo que podrían ocurrir si las
actividades son interrumpidas.
- Establecer el periodo máximo de interrupción tolerable para cada
actividad identificando:
- El periodo de tiempo máximo tolerable después de iniciada una
interrupción en que las actividades deben ser restablecidas.
- El nivel mínimo en el cual cada actividad necesita ser desempeñada al
ser restablecida.
- El periodo de tiempo en el cual los niveles normales de operación
necesitan ser restablecidos.
- Identificar cualquier actividad interdependiente, activos, infraestructura
de soporte o recursos que han de mantenerse continuamente o
recuperados sobre el tiempo.
Lo anterior, permitirá desarrollar una estrategia de continuidad del negocio a
través de la cual se garantice razonablemente, la recuperación y seguimiento
de las actividades.
129
Instrucciones de llenado del cuestionario Antes de comenzar le sugerimos tomar en cuenta para aquellos casos
donde se indique el término de no disponibilidad el escenario del peor
escenario lo cual significa que las Bases de Datos de TradePlace no se
encuentren disponibles.
Su colaboración será de mucho valor para desarrollar el Plan de continuidad
del negocio de TradePlace. Por favor conteste este cuestionario lo más
detallado posible.
Favor de considerar las siguientes instrucciones al contestar el presente
cuestionario:
- Lea y comprenda detenidamente cada una de las preguntas e
instrucciones indicadas. En caso de no ser lo suficientemente claras,
consulte a su entrevistador inmediatamente.
- Le solicitamos en todos los casos, no dejar campos en blanco o sin
contestar, ya que de lo contrario, posiblemente tendremos que
requerirle su apoyo una vez más.
130
TradePlace - Impactos por un 100% de interrupción en sus Bases de Datos
Las siguientes escalas han sido diseñadas para evaluar los impactos
Intangibles y Tangibles a ser identificados en TradePlace derivados de una
interrupción al 100% de las actividades del proceso de Afiliados y
Aportaciones.
Impactos Intangibles
Por cada una de los procesos en los cuales se involucra las Bases de Datos
de TradePlace es necesario identificar los impactos intangibles y su
respectiva escala de impacto en caso de un 100% de interrupción.
Entiéndase como impacto intangible aquellos que incluyen principalmente la
pérdida de oportunidades de negocio, pérdida de confianza de clientes, daño
en la reputación- marca a largo plazo y mala publicidad para TradePlace.
Algunos ejemplos de impactos intangibles se mencionan a continuación:
- Pérdida de oportunidades de negocio por deserción de clientes
131
- Pérdida de empleados y/o desánimo entre el personal
- Decremento en el valor del servicio
- Pérdida de confianza de los clientes, socios, proveedores y bancos
- Daño a la marca y/o pérdida de imagen
- Mala publicidad
- Pérdida de participación de mercado
Por favor liste para cada una de las actividades del proceso de Afiliados y
Aportaciones aquellos impactos Intangibles mencionados con anterioridad e
identifique en las actividades correspondientes, así como, la escala de
impacto que mejor se ajuste tomando en cuenta su experiencia y dominio en
TradePlace.
Afiliación al Portal TradePlace
Tipo de Impacto Intangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
132
Inicio de Sesión al Portal TradePlace
Tipo de Impacto Intangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
Intercambio electrónico de documentos de negocios
Tipo de Impacto Intangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
133
Soporte para el portal Portal
Tipo de Impacto Intangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
Impactos Tangibles
Por cada una de los procesos en los cuales se involucra las Bases de Datos
de TradePlace es necesario identificar los impactos intangibles y su
respectiva escala de impacto en caso de un 100% de interrupción.
Entiéndase como impacto tangible aquellos que están relacionados
principalmente con pérdidas de ingresos, los costos del personal, de
servicios de infraestructura, de comunicación, multas y penalizaciones y
gastos de emergencia.
Algunos ejemplos de impactos tangibles se mencionan a continuación:
- Sueldos pagados a personal ocioso
- Multas y penalizaciones por retrasos
- Costos legales asociados con litigios en contra de ENIAC
- Costos de campañas de reparación de imagen
- Pérdidas en inversiones
- Gastos de emergencia incurridos
- Costo de servicios especializados
- Penalizaciones laborales por parte de autoridades
134
- Gastos de viaje y transportación
- Problemas de cobranza con agencias
- Servicios de comunicación (telefonía, Internet, etc.)
Por favor liste para cada una de las actividades del proceso de Afiliados y
Aportaciones aquellos impactos Tangibles mencionados con anterioridad e
identifique en las actividades correspondientes, así como, la escala de
impacto que mejor se ajuste tomando en cuenta su experiencia y dominio en
TradePlace
Afiliación al Portal TradePlace
Tipo de Impacto Tangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
Inicio de Sesión al Portal TradePlace
Tipo de Impacto Intangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
135
Tipo de Impacto Intangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
Intercambio electrónico de documentos de negocios
Tipo de Impacto Tangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
Soporte para el portal Portal
Tipo de Impacto Tangible
1 a 2
Hrs.
2 a 3
Hrs.
4 a 5 Hrs.
5 a 6 Hrs.
8 a 24
Hrs.
24 a
48 Hrs
.
48 a 72
Hrs.
1 a 2
Semanas
2 Semanas a 1 Mes.
136
Niveles de Servicio para TradePlace
En caso de una interrupción al 100% del proceso de Afiliados y Aportaciones
mencione (en porcentaje) cual sería el nivel de servicio mínimo que
requeriría para reanudar actividades.
Este porcentaje debe estar basado en su conocimiento de los procesos de
TradePlace, experiencia personal e impactos al tangibles, intangibles
identificados para ENIAC
Por favor estime los recursos que requerirá la base de datos para alcanzar
los niveles de servicio mínimo y evalué la disponibilidad del activo de
acuerdo a la escala identificada:
Personas: Cantidad del personal del Área de Negocios TradePlace
relacionado con las actividades, así como, sus habilidades y conocimientos.
Actividades Nivel de Servicio Mínimo
Afiliación al Portal TradePlace %
Inicio de Sesión al Portal TradePlace
%
Intercambio electrónico de
documentos de negocios
%
Soporte para el portal Portal
%
137
Puesto de la Persona
Cantidad de Personal
Habilidad y / o Conocimiento
Disponibilidad
Por favor estime los recursos que requerirá la base de datos para alcanzar
los niveles de servicio mínimo y evalué la disponibilidad del activo de
acuerdo a la escala identificada:
Instalaciones: Sitios de trabajo e instalaciones necesarias para llevar a cabo
las actividades.
Nombre de la Instalación o Sitio de Trabajo
Cantidad Disponibilidad
Base de Datos: Información almacenada mediante las bases de datos
TradePlace tanto de documentos como de procesos dentro del portal.
138
Nombre de la Información
Disponibilidad
BDTradePlace
TPlace
Tiempos Aceptables para Alcanzar el Nivel de Servicio Mínimo En caso de una interrupción al 100% de TradePlace mencione cual sería el
tiempo necesario para alcanzar el nivel de servicio mínimo que requeriría
para reanudar actividades desde el momento en que se presenta una
contingencia.
Esta escala de tiempo debe estar basada en su conocimiento de TradePlace,
experiencia personal e impactos al tangibles, intangibles identificados para
ENIAC.
Actividades Tiempo Aceptable para Alcanzar el
Nivel de Servicio Mínimo
Afiliación al Portal TradePlace
Inicio de Sesión al Portal TradePlace
Intercambio electrónico de
documentos de negocios
Soporte al Portal de TradePlace
139
Anexo N° 3
Manual de Usuario
Risk Data Base
ENIAC C.A
Elaborado por: Beaneth Borrero, Jon Mendoza
01/01/2014
140
TABLA DE CONTENIDOS
Introducción 3
Login 3
Módulo de Risk Data Base 3
Risk Data Base 4
Introducción 4
Escala de riesgo 4
AdN 5
Crear 5
Modificar 7
Status 8
Cuestionario 8
Reportes 10
Base de conocimientos 11
Usuario 11
Crear 11
Modificar 12
Status 13
Salir 13
141
Introducción
El sistema Risk Data Base es un sistema que evalúa los procesos de la base
de datos TradePlace, realiza la detección o mitigación de los riesgos a los
activos vitales ya sea de información y tecnología.
El sistema está apegado a la norma internacional ISO 27001 así como los
controles a manejar.
Login
A continuación se presenta el Login del sistema, dicha contraseña es
estándar para todos aquellos usuarios administradores. Si la contraseña no
es correcta Risk Data Base denegará el acceso.
Paso 1: Introducir usuario y contraseña
Paso 2: Seleccionar el botón Ingresar
Caso 1: Si el usuario y contraseña son válidos ingresará al sistema.
Caso 2: Si el usuario o la contraseña son inválidos presionar recuperar
contraseña y esta será enviado a su correo electrónico.
Módulos de Risk Data Base
A continuación se presenta el menú principal de Risk Data Base
142
Risk Data Base
En el módulo de Risk Data Base encontrará opciones informativas acerca del
sistema.
- Introducción
143
- Escala de Riesgo
Paso 1: Seleccionar el ítem de su interés y se desplegará el riesgo
que representa el color, la escala y la descripción del mismo
AdN
Este módulo se encarga de gestionar el AdN o área de negocio, donde se
crea, se modifica y se visualiza el status de las áreas de negocio.
- Crear Adn
La primera opción del módulo AdN, se registra el AdN o Área de
negocio, se incluyen los distintos productos que están relacionados
con el área de negocio a registrar y la administración de los activos,
especificando cada activo con su respectivo control en el área de
negocio creada.
144
Paso 1: Seleccionar la opción “Crear”, se desplegará una ventana,
donde se encuentra 3 etapas que son: AdN, Productos y
Administración de Activos.
Paso 2: La primera etapa se ingresa los datos de registro del AdN en
cada campo, que son: el nombre del AdN, código del AdN y gerente
del área de negocio.
145
Paso 3: La segunda etapa que es la de productos, se ingresa los
datos en cada campo, los cuales son: el nombre del producto,
supervisor encargado del producto a registrar y la base de datos
donde se almacenará la información del producto.
Paso 4: La tercera etapa se selecciona los activos para cada grupo de
control que indique el usuario.
Paso 5: Se selecciona la opción de “Cargar”, se desplegará una
ventana, donde se le pregunta al usuario si desea cargar otro producto
a su Adn o no. Si selecciona la opción “Si”, se desplegará nuevamente
la ventana, pero manteniendo el registro del Adn con la información
respectiva en cada campo y se procede a ingresar nuevamente la
información del producto y los activos de cada grupo de control. Si
selecciona la opción “No”, la ventana se cerrará y permanecerá
estático el menú principal.
- Modificar AdN
La segunda opción del módulo AdN, se realiza el proceso de modificar
un AdN o área de negocio.
146
Paso 1: Seleccionar la opción “Modificar”, se desplegará una ventana con
una estructura similar a la de crear Adn. Se encuentra divido en tres etapas:
Adn, Productos y administración de activos.
Paso 2: Seleccionamos el Adn previamente registrado, y se incluirá la
información en los campos restantes que son: código del Adn y gerente del
área. Solo se podrá modificar el campo de gerente de área.
Paso 3: Previamente al haber realizado el paso anterior, procedemos a
seleccionar el producto a modificar, se incluirá automáticamente la
información en los campos restantes y se procederá a cambiar la información
de los campos del producto.
Paso 4: Seleccionamos los distintos activos que correspondan a cada grupo
de control para el nuevo producto.
Paso 5: Al realizar los pasos anteriores, se procede a seleccionar la opción
de “Cargar”. Se desplegará una ventana con el mensaje “Se ha realizado la
modificación satisfactoriamente.”
- Status AdN
La tercera opción del módulo de AdN, es la opción de Status de los AdN,
esta opción únicamente puede ingresar el Administrador, debido a que se
realiza el proceso de habilitar o deshabilitar los distintos AdN o áreas de
negocios registradas en el Risk data base.
147
Paso 1: Seleccionar la opción “Status”, se desplegará una ventana, en donde
se procede a indicar el AdN que se desea habilitar o inhabilitar en la base de
datos.
Paso 2: Se procede a seleccionar el Adn que se desea habilitar o inhabilitar.
Paso 3: Se indica cuál opción “Habilitar” o “Inhabilitar” se requiere para el
Adn o área de negocio.
148
Cuestionario
Este módulo se encarga de realizar el cuestionario a los usuarios para
determinar a través de los indicadores de cada grupo de control, la escala de
riesgo de cada uno de los controles a implementar.
Paso 1: Se procede a seleccionar el módulo de “Cuestionario”. Se
desplegará una ventana, donde se iniciará a realizar el cuestionario.
Paso 2: Se indica el control a evaluar y se coloca el criterio de evaluación de
cada indicador correspondiente al grupo de control evaluado.
Paso 3: Se selecciona la opción de “Cargar Cuestionario” y se despliega una
ventana con el reporte, que contiene la matriz de riesgo general de los
controles y una gráfica circular por cada uno de los controles evaluados.
149
Reporte
En este módulo se encarga de gestionar los reportes almacenados en la
base de datos.
Paso 1: Se procede a seleccionar el módulo “Reporte”. Se desplegará una
ventana, donde se realizará la consulta del reporte a buscar.
Paso 2: Indicamos cuál reporte se necesita y se realiza la selección de la
opción “Cargar”. Al realizar esta acción, se desplegará el reporte
seleccionado.
Base de Conocimientos
Este módulo presenta cada uno de los reportes cargados con la información
de la escala de riesgo y mitigación de los controles.
Paso 1: Se procede a seleccionar el módulo “Base de Conocimientos”. Se
desplegará una ventana, donde se visualizará la escala de riesgo generada
por cada uno de los reportes realizados así como la mitigación a los riesgos
150
Usuario
En este módulo, se realiza la creación de usuarios nuevos al sistema,
modificar la información de un usuario existente y el status de cada usuario
en el sistema.
- Crear Usuario
Esta opción se utiliza para crear usuarios, únicamente el administrador
puede ingresar a la opción de “Crear”.
151
Paso 1: Se procede a seleccionar el módulo “Usuario”. Se desplegará una
ventana, donde se visualiza los campos necesarios para crear un usuario
nuevo.
Paso 2: Se captura los datos de cada campo en pantalla.
Paso 3: Se realiza la selección de la opción “Crear” en la ventana. Se
despliega el mensaje de “Usuario creado satisfactoriamente”.
- Modificar Usuario
En esta opción se realiza la modificación de la contraseña del usuario
otorgada por el administrador.
Paso 1: Se procede a seleccionar el módulo “Usuario”. Se desplegará
una ventana, donde se visualiza el usuario que se está utilizando y los
dos campos para ingresar la nueva contraseña a utilizar.
Paso 2: Se procede ingresar la contraseña y la confirmación de la
contraseña para poder realizar la modificación satisfactoriamente.
Paso 3: Al realizar el paso anterior, se procede a seleccionar la opción
“Cargar”. Se desplegará un mensaje de “Contraseña modificada
satisfactoriamente”.
152
- Status Usuario
En esta opción se verifica los usuarios ingresados en el sistema,
únicamente el administrador puede ingresar a la opción de “Status”. El
administrador realiza las modificaciones en los Status a los usuarios,
si se encuentran habilitados o inhabilitados.
Paso 1: Se procede a seleccionar el módulo “Usuario”. Se desplegará
una ventana, donde se ubica el usuario a modificar el Status.
Paso 2: Se realiza la modificación del Status, seleccionando la opción
de “Habilitar” o “Inhabilitar” el usuario seleccionado.
153
Anexo N° 4
Manual de Instalación
Risk Data Base
ENIAC C.A
Elaborado por: Beaneth Borrero, Jon Mendoza
01/01/2014
154
Introducción
El sistema Risk Data Base es un sistema que evalúa los procesos de
la base de datos TradePlace, realiza la detección o mitigación de los
riesgos a los activos vitales ya sea de información y tecnología.
El sistema está apegado a la norma internacional ISO 27001 y los
controles están apegados a dicha norma.
Instalación del Sistema Risk Data Base
La instalación del Sistema Risk Data Base se realiza de una manera
sencilla mediante los siguientes pasos:
1) Seleccione el instalador y presione el botón “Next >”
2) Ingrese la ruta requerida en donde se encontrará el Instalador y Setup.
Presione el botón “Next >” y se realizará la instalación del sistema.
155
3) Presione el botón “Next >” y se realizará la confirmación de la
instalación del sistema.
4) Se inicia la instalación del sistema Risk Data Base.
5) Se completó la instalación del Risk Data Base, se procede a seleccionar el botón “Close”. Para finalizar la instalación del sistema.
156
Anexo N° 5
Instrumento de Validación de la Guía de entrevista
Caracas, Enero de 2014
Nos dirigimos a usted en la oportunidad de solicitarle considere la posibilidad
de formar parte del Juicio de Expertos que tendrá el compromiso de
evaluación de los instrumentos de recolección de datos desde el punto de
vista Técnico o Metodológico según sea el caso, del trabajo de grado
titulado: Implementación del Sistema automatizado para la evaluación del
riesgo de indisponibilidad de una base de datos bajo el modelo evaluativo
Business Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de
estudio: ENIAC, C.A El cual se desarrollará con el propósito de obtener el
título Licenciado en Computación.
A fin de facilitar el proceso de revisión y evaluación se proporciona la
siguiente información:
1. Título
2. Objetivos General y Objetivos Específicos
3. Conceptos en relación con el tema de estudio
4. Cuadro de Operacionalización de variables
5. Instrumentos
Sin más a que hacer referencia y agradeciendo su colaboración.
Se suscriben,
Br. Beaneth Borrero
Br. Jon Mendoza
157
Anexo N° 6
Certificación de Experto
Certificación de validación de instrumento de recolección de datos
Quien suscribe, _________________________________, titular de la
Cédula de Identidad N°_____________, hacer constar por medio de la
presente, que forma parte del juicio de experto que evaluó el instrumento de
recolección de datos diseñado por los Bachilleres BEANETH ORIANA
BORRERO VILLEGAS CI 20228054 y JON ANDER MENDOZA CI 19993805
para recaudar información en la investigación mixta del trabajo titulado
“Implementación del Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo Business
Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de estudio:
ENIAC, C.A”. Certificando que el proceso de revisión de este instrumento
alcanzó la validez de constructo y lógica necesaria para medir indicadores
establecidos en los objetivos específicos evaluados.
Atentamente,
Firma ___________________________
C. I. ___________________________
Fecha___________________________
158
Certificación de Experto
Certificación de validación de instrumento de recolección de datos
Quien suscribe, _________________________________, titular de la
Cédula de Identidad N°_____________, hacer constar por medio de la
presente, que forma parte del juicio de experto que evaluó el instrumento de
recolección de datos diseñado por los Bachilleres BEANETH ORIANA
BORRERO VILLEGAS CI 20228054 y JON ANDER MENDOZA CI 19993805
para recaudar información en la investigación mixta del trabajo titulado
“Implementación del Sistema automatizado para la evaluación del riesgo de
indisponibilidad de una base de datos bajo el modelo evaluativo Business
Impact Analysis. Apegado a la norma ISO 27001:2005. Caso de estudio:
ENIAC, C.A”. Certificando que el proceso de revisión de este instrumento
alcanzó la validez de constructo y lógica necesaria para medir indicadores
establecidos en los objetivos específicos evaluados.
Atentamente,
Firma ___________________________
C. I. ___________________________
Fecha___________________________
159
Anexo N° 6
Instrumento de Validación de la Guía de entrevista
Presentación del Instrumento: El presente instrumento de validación, se enfoca en el propósito de evaluar la pertinencia, relevancia y coherencia de cada uno de los ítems de los instrumentos de recolección de datos adjuntos.
Instrucciones:
1. Lea cada uno de los ítems del instrumento seleccionado y verifique si cada uno de éstos es pertinente, relevante y coherente al tema de investigación.
2. Después de realizar la evaluación coloque en la casilla correspondiente una X.
3. De ser necesario coloque observaciones generales en la casilla correspondiente especificando la o las preguntas a las que haga referencia.
160
Cuadro Nº 15 – Matriz de Evaluación
Entrevista
Ente a Aplicar ENIAC, CA – ADN E-COMMERCES
Propósito: Conocer el contexto real en el que se encuentra el sistema de base de datos,
Nro. de Preguntas: 6
Aspectos a Evaluar
Congruencia con el indicador a evaluar
Coherencia y claridad en la redacción
Concordancia gramatical
A M N A M N A M N
Pregunta # 1 X X X
Pregunta # 2 X X X
Pregunta # 3 X X X
Pregunta # 4 X X X
Pregunta # 5 X X X
Pregunta # 6 X X X
A – Alta M – Media N – Ninguna