BIA

1

CONTENIDO

INTRODUCCIÓN 3

OBJETIVO ................................................................................................................................. 4

Marco de gobierno de TI(COBIT/ISO 27000) ....................................................................... 6

Analisis de impacto del Negocio (BIA) ................................................................................ 10

Que es RTO y RPO: .............................................................................................................. 10

Diseño de la solución ............................................................................................................ 11

¿Qué es la virtualizacion? .................................................................................................... 13

Beneficios de la virtualización .............................................................................................. 16

Tipos de Virtualización ......................................................................................................... 18

Virtualización Asistida por Hardware .................................................................................. 19

Herramientas más relevantes ................................................................................................ 20

Arquitectura general ............................................................................................................. 24

Empresa 25

Descripción de la Empresa ....................................................................................................... 25

Misión y Visión Corporativa .................................................................................................... 25

Misión: .................................................................................................................................. 25

Visión: ................................................................................................................................... 25

Valores Compartidos: ........................................................................................................... 26

Situación inicial y problemática ............................................................................................... 27

2

Desarrollo 28

Definición de propuesta preliminar ...................................................................................... 28

Evaluación puntos críticos a través del BIA ......................................................................... 28

Fuentes de información ......................................................................................................... 29

Impacto ................................................................................................................................. 31

Nivel de Impacto General ..................................................................................................... 32

Nivel de Impacto Financiero ................................................................................................. 32

Nivel de Impacto Operacional .............................................................................................. 33

Nivel de Impacto con el Cliente ........................................................................................... 33

Nivel de Impacto de Dependencia ........................................................................................ 34

Cálculo del Objetivo de Tiempo de Recuperación (RTO) ................................................... 35

Reporte de costes estimados por la no realización de las operaciones dela empresa. .......... 36

Evaluación económica delas Herramientas de Virtualización .................................................. 37

Evaluación Multicriterio ........................................................................................................... 37

Requerimientos Funcionales ................................................................................................. 37

Plataforma Tecnológica ........................................................................................................ 40

Calidad Técnica .................................................................................................................... 41

Respaldo Técnico .................................................................................................................. 42

Análisis ................................................................................................................................. 48

Conclusiones 49

3

INTRODUCCIÓN

Dentro de la Gestión de la Seguridad de la Información en una compañía es importante

contar con un plan, que asegure la continuidad de las actividades del negocio en ante

eventos que pongan en riegos las operaciones financieras, comerciales y operativas.

Tradicionalmente, los planes de continuidad, denominados planes de contingencia en

sus orígenes, están asociados a grandes compañías que necesitan reaccionar de forma

inmediata ante cualquier evento que interrumpa sus servicios. La realidad es que

cualquier compañía puede sufrir un incidente que afecte a su continuidad y

dependiendo de la forma en que se gestione dicho incidente, las consecuencias pueden

ser más o menos graves.

Esta guía pretende desglosar las actividades necesarias, introducir el concepto de

continuidad de negocios en las pequeñas y medianas empresas, proporcionando

plantillas y ejemplos que ayuden al lector a entender cada una de las fases y tareas que

componen el plan además de una guía para seleccionar herramientas de virtualización

que permita estar preparados ante un evento a un costo razonable.

4

OBJETIVO

El objetivos principal para llevar a cabo este estudio, es establecer bases en la empresa

Coexca S.A., para iniciar un proceso de control interno de TI, en este marco se

decidió iniciar por la administración del riesgo de esta forma asegurar la continuidad

del negocio y despertar la conciencia en la alta gerencia de los riesgos inherentes al

desarrollo de las actividades, propias a la empresa como también riesgos externos y el

impacto que estos riegos afectan a la continuidad del negocio.

Metodología

Principalmente se toma como base las recomendaciones de ISACA1, para establecer un

marco de gobierno de TI, basados en este marco, el estudio fue dirigido a la

administración del riesgo(GCN o BCM2), para esto se abordó las recomendaciones

entregadas por el estándar BS 25999, en la cual se define al BIA 3como un método de

evaluación, que permite identificar y evaluar mediante cuestionario los proceso más

críticos, de esta forma cuantificar el impacto financiero, operativo , servicio al cliente

y legislativo, en esta primera etapa fue orientado al impacto financiero y operativo.

Como segunda parte se considera una matriz de evaluación comparativa

costo/beneficios, para identificar la mejor solución a menor costo de inversión que

permita reducir el RPO 4y RTO, y determinar MDT efectivo

1 ISACA (Information Systems Audit and Control Association).

2 Business Continuity Management-BCM

3 Business Inpact Analisis

4 RPO-Punto Objetivo de recuperación RTO-Tiemp objetivo de recuperación MDT-Tiempo máximo tolerable

5

Alcances

Comprende preparar a la empresa para resistir eventos que puedan producir riegos de

pérdida financiera u operativa, reducir el riesgo, costos y tiempos de recuperación,

además integrar al departamento de informática como socio estratégico en la cadena de

valor.

Las delimitaciones de esta primera etapa se asocian a:

• Inicio y gestión del proyecto.

• Evaluación y control del riesgo.

• Análisis de impacto del negocio (BIA).

• Desarrollo de estrategias para la continuidad del negocio.

Dejando para una segunda etapa:

• Respuesta ante emergencias.

• Desarrollo e implementación de un sistema de GCN.

• Programa de concientización y capacitación.

• Mantenimiento y ejercicio del sistema GCN.

• Comunicación de crisis.

• Coordinación con Autoridades públicas

6

MARCO TEORICO

Marco de gobierno de TI(COBIT/ISO 27000)

Es necesario un cambio en el rol de TI, para extraer el máximo rendimiento de las

inversiones en tecnología y usarla como un arma competitiva. De esta forma

conseguimos que la actitud de TI frente al negocio pase de ser meramente reactiva a

ser proactiva, anticipándose a las necesidades de la organización.

Como parte fundamental de la alineación de procesos, se deben identificar los actores y

sus responsabilidades, para gestionar el riesgo inherente al negocio, de esta forma se

debe implementar un sistema de control interno que permita vigilar las amenazas y

vulnerabilidades de la organización.

Según ITGI(Instituto de Gobierno de TI), el gobierno de TI incluye:

Proveer la dirección estratégica.

Garantizar que los objetivos sean alcanzados.

Establecer que los riesgos son administrados eficientemente.

Verificar que los recursos son usados responsablemente.

FIGURA : 1 MARCO GOBIERNO TI(ISACA)

7

La GCN ha ido evolucionando en el tiempo hasta llegar al concretar un estándar BS-

25999 Figura: 1 , en la cual, se desarrollan técnicas para lograr gestión de la

continuidad.

“Se estima que las empresas más grandes gastan entre 2% y 4% de su presupuesto de

TI en la planificación de recuperación de desastres, con el fin de evitar mayores

pérdidas en el caso de que la empresa no puede seguir funcionando debido a la pérdida

de la infraestructura de TI y de datos. De las empresas que tenían una importante

pérdida de datos empresariales, el 43% nunca se vuelva a abrir, cerca de 51% en dos

años, y sólo el 6% va a sobrevivir a largo plazo “(Hoffer, 2012)

Para lograr este objetivos existen fases identificadas por DRI 5Se le debe hacer un

seguimiento con el fin de conocer su evolución permanente en los procesos de la

empresa

1. La parte 1, el código de buenas prácticas, que ya ha sido publicada y proporciona

unas recomendaciones de buenas prácticas en cuanto a GCN. Esta primera parte

es simplemente un documento guía..

2. La parte 2, la especificación, fué publicada el pasado 20 de noviembre 2007 y

proporciona los requisitos de un Sistema de Gestión de Continuidad de Negocio

(SGCN) basado en las mejores prácticas de SGC. Hay un estándar que puede

utilizar para demostrar el cumplimiento vía auditoría y proceso de certificación y

este es el BS25999 (News.)

.

5 DRI-Disaster Recovery Institute

8

FIGURA : 2 EVOLUCION DEL ESTANDAR

El Instituto de desastre y recuperación, propone un conjunto de mejores prácticas entre

las cuales se elige el BIA6(Fig.3), para conocer el impacto de los servicio de TI, en la

continuad del negocio

Pasos para plantearse una continuidad de negocio

Análisis de negocio

o Análisis de Impacto(BIA)

Estudio del Riesgo

o Escenarios de impacto al negocio

o Definición de estrategias de continuidad

Diseño de Solución

o RPO/RTO

o Manejo de la Crisis

o Metodología de Replicación de Datos

o Software y Hardware requerido

6 BIA BUSINESS IMPACT ANALYSIS

9

Implementación

o Pruebas y Aceptación Organización

o Mantenimiento

o Verificación de las soluciones técnicas

o Verificación de procedimiento de recuperación

o Manejo de las pruebas fallidas

Como parte fundamental de este proceso es conocer la cadena de valor de la empresa

(Fig.2), para estructurar las encuestas y áreas a evaluar.

FIGURA : 3 CADENA DE VALOR

Figura : 4 Planeación del proyecto

10

Analisis de impacto del Negocio (BIA)

Son Técnicas y metodologías que identificar y cuantificar el impacto de negocio y sus

efectos en la organización, en caso de falla y ausencia de los servicios de misión

crítica. Además de identificar claramente que procesos afectan.

Para este caso se aplica una matriz de riego, en la cual se idéntica las áreas de

procesos, sus dependencias y servicios críticos.

El BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point

Objective) que deben ser establecidos por la organización.

Que es RTO y RPO:

RTO (recovery Time Objective): El tiempo entre el punto de interrupción, y el punto

en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con

los datos actualizados.

FIGURA : 6 CICLO DEL BCM FIGURA : 5 COMPONENTES GOBIERNO TI

11

RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las

actividades del sistema debido a la ocurrencia de un determinado evento.

FIGURA : 7 CLASIFICACION RPO Y RTO

Diseño de la solución

Existe muchas metodologías y Herramientas que permiten asegurar la continuidad del

negocio, pero para cada caso es diferente, en este dimensionamiento se deben tomar

en cuenta tecnología disponible, recursos económicas, recurso humano inclusive

geográficos.

12

En las imágenes se aprecia la falta de dimensionamiento y tal vez recursos.

FIGURA : 8

FIGURA : 9

FIGURA : 12

Para este proyecto se propone soluciones de virtualización, para disminuir los costos

por hardware, mantenimiento y servicios.

FIGURA : 10 FIGURA : 11

13

¿Qué es la virtualizacion?

Consiste en la abstracción de un sistema hardware completo o parcial, permitiendo que

diversas instancias de sistemas operativos (Guest) corran sobre una maquina física (Host).

Una plataforma de virtualización es un conjunto de software y hardware que simula la

ejecución de equipos o sistemas operativos distintos a los reales. Esto se consigue ocultando

las características físicas de la plataforma real y proporcionando otra plataforma abstracta y

simulada

Porqué utilizar Virtualización para un sistema GCN

Debido a la complejidad de sistemas y lo crítico de ellos, sumado a esto el costos de

hardware y operativos, Resulta excesivamente caro implementar un segundo centro

de recuperación ante fallos con recursos dedicados.

o Los planes de recuperación son demasiado complejos.

o Los procedimientos de recuperación son demasiado poco fiables

De hecho, la virtualización es una alternativa altamente atractiva por su simplicidad,

costos y beneficios asociados (Tabla1)7.

Los entornos virtualizados ofrecen una facilidad muy superior de recuperación,

migración y administración, puesto que simplifican la infraestructura de hardware y

software, y permiten la estandarización de los procesos.

7 Fuente: Estudio Mundial entre clientes de VMWARE,Enero 2010

14

Esta característica destaca por resultar extremadamente práctica y funcional para la

empresa, ya que permite la consolidación de servidores: es decir, reduce el número de

máquinas y optimiza el grado de uso de los recursos informáticos.

Tabla 1 Objetivos de la virtualizacion

¿Porque utilizar virtualización?

A medida que una empresa crece, adquiere diferentes equipos informáticos y

establece distintos entornos para utilizar herramientas tecnológicas concretas, según las

más puntuales necesidades de negocio: un servidor de correo, otro para una base de

datos de clientes, un tercero para un programa ERP de planificación de recursos

empresariales, etc.

Con el paso de los años, el número de servidores aumenta y se complica la

gestión y el control del hardware, con el consiguiente incremento de los gastos

operativos derivados de su funcionamiento. Sólo una tecnología permite enfrentarse de

manera racional a esta escalada en la administración de sistemas corporativos. Ésta

tecnología es la virtualización.

La virtualización, aprovechando la capacidad y potencia de los equipos

actuales, se presenta como la respuesta a la necesidad de alcanzar la máxima eficiencia

tecnológica. A través de software, la virtualización divide los recursos de un equipo

15

informático para crear distintas máquinas virtuales que funcionan de manera

independiente aunque no existan físicamente. Se trata de crear distintos entornos

informáticos virtuales en un mismo hardware.

Esta característica destaca por resultar extremadamente práctica y funcional

para la empresa, ya que permite la consolidación de servidores; es decir, reduce el

número de máquinas y optimiza el grado de uso de los recursos informáticos.

Con el modelo de servidores independientes, una máquina reciente con una

aplicación convencional apenas aprovecha un 30% de sus recursos informáticos

(capacidad de proceso, memoria RAM entre otros) y desperdicia el 70% restante. Sin

embargo, los costes de licencias, mantenimiento, soporte, electricidad, etc. se

corresponden con el 100% de la máquina.

La consolidación de servidores a través de la virtualización aprovecha el 100% de cada

máquina en un proceso de máxima eficiencia para las empresas, ya que puede aplicarse

en cualquier servidor, independientemente de su uso (servidores de aplicaciones, para

bases de datos, de desarrollo, etc.).

Con un grado de versatilidad comparable, un servidor virtual requiere una

inversión tecnológica en infraestructura muy inferior a un servidor dedicado.

Dependiendo de si una máquina física se virtualiza para conseguir dos máquinas

virtuales o diez, por decir unas cifras, la inversión inicial es dos o diez veces inferior

que un servidor dedicado. A esta cantidad, también hay que sumar la cifra procedente

del ahorro del consumo eléctrico y de mantenimiento que supone un número cualquiera

de servidores virtuales frente a su equivalente en dedicados.

La consolidación de servidores no es la única aplicación de la virtualización.

No sólo se pueden alojar en una única máquina aplicaciones antes incompatibles.

Debido a la posibilidad de realizar snapshots (puntos de restauración), ofrece

numerosas ventajas en pruebas de testing y desarrollo, porque la monitorización de las

pruebas de estrés congela el proceso de una máquina virtual en cualquier momento.

16

Incluso puede considerarse una garantía de continuidad de negocio, ya que todo el

contenido de un equipo virtual puede trasladarse a otro fácilmente, si se produce un

incidente en el hardware

La creación de entornos informáticos completamente independientes que no supongan

ningún riesgo para el entorno principal de una máquina supone una ventaja que valora

cualquier administrador de sistemas. Por ejemplo, una empresa podría utilizar una

aplicación corporativa con un sistema operativo conocido estable y probar una nueva

versión de esa misma aplicación para otro sistema operativo. En estos casos, que son

habituales, sólo le quedan dos opciones: virtualizar los equipos o contratar varios

servidores.

Beneficios de la virtualización

Eficiencia: Gracias a la virtualización se pueden aprovechar la totalidad de los

recursos de un ordenador. Dado que las máquinas actuales suelen tener varios

núcleos o procesadores, la virtualización es la oportunidad idónea para explotar

al máximo esta potencia y no infrautilizar los recursos informáticos.

Ahorro: La consolidación reduce el número de máquinas físicas, y como

consecuencia, se reducen también los costes de inversión en equipos, de

mantenimiento, consumo energético y de espacio, generando ahorros de hasta

un 40% sólo en la inversión anual destinada a la adquisición de nuevo

hardware.

Flexibilidad: Una sola máquina física puede dar lugar a varias máquinas

virtuales, en función de las necesidades del usuario. Además, el equipo virtual

se crea con las características de CPU, memoria, disco y red necesarias para

asegurar su correcto funcionamiento, según el uso que se le vaya a dar.

17

Seguridad: Era uno de los inconvenientes que achacaban a la virtualización

hace años, pero esta tecnología ya se encuentra lo suficientemente madura para

garantizar una seguridad similar a un servidor dedicado. Cada máquina virtual

funciona de forma aislada e independiente del resto, con las que sólo comparte

un equipo físico.

Hasta tal punto que los recursos del servidor físico asignados a cada máquina virtual

sólo están disponibles para una máquina virtual concreta, no se comparten. Además,

ante cualquier fallo físico de hardware, basta “copiar y pegar” la máquina virtual en

otro equipo, eliminando un buen número de incidencias técnicas de seguridad.

Agilidad: La virtualización agiliza las tareas, dado que el proceso de creación

de un equipo virtual es muy rápido, inmediato desde la toma de decisión. No

es necesario pasar por todas las fases de adquisición de un nuevo servidor:

elección del modelo, disponibilidad, configuración…

Portabilidad: A través de la copia de los ficheros que forman la máquina

virtual, se puede clonar la información a otro servidor físico sin ningún

problema y rápidamente. De este modo, la virtualización reduce la

indisponibilidad por fallos de hardware.

Como en todas las tecnologías, la virtualización no proporciona el mismo valor para

todas las organizaciones y existen, por lo tanto, escenarios en los que su potencial debe

adecuarse. En la mediana empresa, los departamentos de sistemas están desarrollando

sus propios entornos de virtualización, pero esta operación no sale rentable para una

pyme o un autónomo.

Estos segmentos, que suponen la inmensa mayoría del tejido empresarial español,

pueden comprobar las ventajas de esta tecnología a través de los proveedores, que han

estandarizado las soluciones de virtualización en los denominados Servidores

Virtuales, Servidores Privados o VPS (por las siglas en inglés de Virtual Private

Server).

18

Estos servicios virtuales empaquetan los recursos informáticos de los servidores

de última generación para racionalizar su capacidad y adecuarla a las necesidades más

concretas de cada proyecto web. La virtualización supone un cambio radical en la

evolución de los entornos informáticos y es sólo la primera piedra de una tendencia que

se está implantando: utilizar la tecnología como servicio y pagar exclusivamente por

los recursos que se necesitan. Exactamente igual que sucede con el agua corriente: los

usuarios pagamos por lo que consumimos, no por un depósito concreto.

Tipos de Virtualización

Virtualización a nivel de Sistema Operativo

Los sistemas invitados comparten el mismo sistema operativo que el anfitrión.

Realmente, todos utilizan el mismo kernel y es el kernel el que se ocupa de determinar

para quién trabaja en un momento determinado.

Desventajas

No están disponibles opciones avanzadas de virtualización

Usualmente el sistema operativo Host no está optimizado para la virtualización

Ventajas

Funciona sobre plataformas tanto Windows como Linux

FIGURA : 13VIRTUALIZACIÓN

19

Virtualización Asistida por Hardware

Virtualización Completa

El host emula lo suficientemente bien el hardware como para que los sistemas

invitados puedan ser ejecutados de forma nativa, es decir, sin cambios en el

kernel y además de forma completamente aislada.

Paravirtualización

Usa un Hypervisor que es una capa de software que funciona directamente

sobre el hardware del computador, remplazando al sistema operativo,

permitiendo correr múltiples sistemas operativos invitados al mismo tiempo.

Este tipo no emula ningún hardware pero utiliza una API que permite a los

sistemas acceder a los recursos de la máquina.

Los sistemas invitados corren de forma aislada y segura de forma tal que no se afectan

en caso de problemas. Para su correcto funcionamiento deben modificar su kernel para

detectar el hardware del sistema anfitrión.

Ventajas

▪ Hypervisor optimizado para la virtualización.

FIGURA : 14 HIPERVISOR

20

Herramientas más relevantes

Figura : 15 Cuadrante magico 2011, herramientas de virtualizacion

Figura : 16 Cuadro comparativo Competitividad

Según Gartner, la solución de virtualización de Microsoft es percibida como la menos

estable menos y madura si la comparamos con otras alternativas y destaca a VMware,

http://virtualization.info/images/Gartnerupdateshypervisorcomparisonmatrix_132E7/Gartner_hypervisors_2.jpg

21

con la con mejor ventaja. Aunque en la número de instalaciones Microsoft, se

posiciona en el segundo lugar unos 7%(50.000)

Figura : 17 Comparativo Hipervisor

En este segundo grafico que el hipervisor de VMware supera con creces las otras alternativas,

pero en precio VMware es la de menor calificación, pero más adelante en el documento se

realiza un análisis costo/beneficio, debe indicar la mejor alternativa.

VMWare ESX (vmware, 2012)

Con VMware ESX permite el crecimiento a escala, gracias a la consoidacion de servidores

en entornos Entel/AMD, gracias a la virtualización del haredware, permitiendo convivir

diferentes maquinas y diferentes SO,.

VMware es una empresa fabricante de Software especializada en productos basados en

tecnología de virtualización de servidores. Distribuye tres productos: VMware Workstation;

VMware Virtual Server y VMware Virtual Infraestructure (ESX Server).

El ESX Server, es en sí mismo un sistema operativo montado directamente sobre el hardware,

con lo que el rendimiento y gestión de recursos está mucho más optimizado. Adicionalmente,

existe un acuerdo entre IBM y VMware para desarrollo conjunto de ESX, asegurando el

22

perfecto comportamiento de cualquier componente hardware de un servidor xSeries con

VMware ESX (siempre y cuando dicho servidor esté certificado).

24

Arquitectura general

Finalmente lo que se busca con la virtualización se 4 objetivos muy importantes.

El particionado de las maquinas, para optimizar los recursos y ejecutar

múltiples maquinas virtuales al mismo tiempo.

Aislamiento que cada maquina este aislada y no afecte el correcto

funcionamiento de las otras.

Encapsulamiento que las maquinas virtuales contengas todo lo necesario para

permitir la replicación de maquinas y respaldos en un solo archivo.

Independencia del Hardware poder ejecutar las maquinas en cualquier servidor

sin necesidad de ser modificadas

Figura : 18 Características de la virtualización

Figura : 19 ARQUITECTURA MAQUINAS VIRTUALES

25

Empresa

Descripción de la Empresa

COEXCA S.A. es una empresa productora, exportadora y faenadora de carne, formada por

7empresas/empresarios productores de cerdo de la zona centro sur de Chile, que se agruparon

en forma estratégica para comercializar sus productos, tanto en el mercado interno como en el

de exportación.

Tabla 2 Accionistas

Misión y Visión Corporativa

Misión:

Posibilitar que las familias de Chile y el mundo disfruten de alimentos nutritivos,

sabrosos y variados. Nos comprometemos a cumplir con pasión los más altos

estándares de seguridad alimentaria, de calidad de servicio y cuidado del medio

ambiente.

Visión:

Ser reconocidos como líderes en la en la industria alimenticia mundial.

26

Valores Compartidos:

Orientación al cliente, orientación a resultados, cumplimiento de compromisos, trabajo

en equipo e integridad y ética.

Figura : 20 Estructura organización

Participación de Mercado

A pesar de tener menos de diez años en el mercado, Coexca se ha convertido en el

cuarto productor de carnes de cerdo del país, considerando el indicador % de cerdos

faenados, con una participación de mercado del 5,2%, superado por el líder indiscutido

de la industria, empresas Agrosuper, que cuenta con un 71,3% del mercado, seguido

por MAXAGRO y Friosa, quienes tienen una participación del 8,4% y 7,8%,

respectivamente.

27

Situación inicial y problemática

Actualmente Coexca S.A. cuenta con servicio de TI, que abarcar en forma transversal los

procesos productivos y financieros, así también comerciales, entre los que se destacan

Servicios de producción (Faena y Desposte), soportado por desarrollos propios, administración

y finanzas, soportado por el ERP Oracle E-Business Suite y otros servició de TI, como

internet, correo electrónico, Intranet, sistemas de punto de ventas, Recursos compartidos de

Disco, control de asistencia casino y otros.

Figura : 21 Cadena de Valor

Para estos servicios Coexca trabaja con 3 arquitecturas RISC , X86 y x64 , en este documento

el objetivo es la arquitectura X86 y X64,basada en servidores DELL r515y 2 DELL r310.

La plataforma tecnológica actual es de 10 PC x86 , Pcs de escritorios utilizados para soportar

servicios de TI. Este es un riesgo enorme además del costo de mantenimiento, refrigeración y

explotación

28

Desarrollo

Definición de propuesta preliminar

La propuesta debe satisfacer los requerimientos identificar en la empresa los servicios y

proceso críticos, evaluar económicamente los costos asociados a eventos, iniciar un proceso de

políticas de inversión en tecnología, Reducción del riesgo de interrupción de servicios y

disponer de las herramientas para asegurar la continuidad del negocio, centralizar la gestión de

los servidores, disminuir costos de mantenimiento.

Evaluación puntos críticos a través del BIA

Diagrama de la Solución

Para este proyecto involucró el implantar el Sistema de Gestión de Análisis de Impacto del

Negocio (SGAIN) como un servicio más al interior de la red corporativa de Coexca S.A., el

cual permitió mantener un registro de información en línea mediante la utilización de un

cuestionario el que recopiló los datos ingresados desde todas las unidades departamentales

participantes en este proyecto. Una vez que que finalizó este proceso de recopilación de

información se realizaron las etapas de análisis y evaluación de la información, las cuales

fueron validadas por el Jefe del Departamento de Informática.

29

Figura : 22 Diagrama SGAIN

Fuentes de información

La principal fuente de información para realizar el proceso de Análisis de Impacto del

Negocio fueron las respuestas al cuestionario realizadas por el responsable de cada unidad

departamental, y que en esta oportunidad se realizó a las siguientes personas:

30

Tabla 3 Fuentes Informacion BIA

31

Clasificación de las unidades organizacionales más críticas de la empresa

Esta sección identifica a cada una de las unidades organizacionales según el nivel de impacto

que esta presenta de acuerdo a los criterios especificados para estos fines como; Impacto Alto,

Impacto Medio, Impacto Bajo.

Impacto

Los niveles de impactos de las unidades se aplican para cada evento que involucre la no

disponibilidad de los sistemas informáticos y de comunicaciones para su utilización al interior

de la empresa. A continuación se presenta una tabla que describe cada uno de los impactos:

Impacto Alto Las funciones de estas unidades son identificadas como críticas. La pérdida

de la capacidad de procesar información, sin el uso de sistemas informáticos,

produciría un impacto inmediato y fuerte en la capacidad de la organización

para mantener los servicios que proporciona a sus usuarios

Impacto

Medio

La pérdida de la capacidad de procesar información, sin el uso de sistemas

informáticos, tendrían un fuerte impacto en la capacidad de la organización

para operar con efectividad

Impacto Bajo Se incluyen las unidades en que la perdida de la capacidad para procesar

información, sin el uso de sistemas informáticos, no tendría impacto

inmediato ni severo en la organización.

TABLA 4: DEFINICION DE IMPACTO

32

Nivel de Impacto General

Se identifica el impacto generar que presenta las unidades frente a la interrupción de los

sistemas informáticos.

Nivel de Impacto Financiero

Se identifica el impacto financiero que tiene la unidad frente a una interrupción de los sistemas

informáticos.

TABLA 5 IMPACTO GENERAL

TABLA 6 IMPACTO FINANCIERO

33

Nivel de Impacto Operacional

Se identifica el impacto operacional que tiene la unidad frente a una interrupción de los


Tabla 7 Impacto Operacional

Nivel de Impacto con el Cliente

Se identifica el impacto con el cliente que tiene la unidad frente a una interrupción de los


Tabla 8 Impacto con el cliente

34

Nivel de Impacto de Dependencia

Se identifica el impacto sujeto a la dependencia de la información necesaria para que la

unidad pueda ejercer su función.

Nivel de Impacto la Infraestructura

Se identifica el impacto sujeto a los procedimientos de respaldo de información, como también

los recursos que son necesarios para que la unidad pueda ejercer la función.

TABLA 9 IMPACCTO DE DEPENDENCIAS

TABLA 10 IMPACTO DE INFRAESTRUCTURA

35

Cálculo del Objetivo de Tiempo de Recuperación (RTO)

Este resultado tiene el objetivo de identificar la interrupción máxima en la que puede incurrir

una unidad departamental de la empresa sin que afecte o impacte el bienestar general de la

organización.

Tabla 11 Calculo RTO

36

Reporte de costes estimados por la no realización de las operaciones dela empresa.

Este reporte incluye los costes extras que debe incurrir cada una de las unidades al presentarse

una interrupción prolongada de su operación y las cuales deben ser absorbidas por la empresa.

FIGURA : 23 COSTOS X INTERRUPCION

37

Evaluación económica delas Herramientas de Virtualización

Evaluación Multicriterio

Para evaluar las distintas alternativas de software, se han confeccionado matrices multicriterio

que permiten comparar cada una de ellas con todas las demás y así poder considerar cual es la

que mejor se desempeña. Este análisis se basa en la medición de aspectos técnicos para cada

uno de los factores a ser considerados. Luego de evaluar estas matrices multicriterio, se

obtiene un puntaje total y se compara con los costos de cada alternativa para poder discriminar

cuál es la más adecuada según un cálculo de razón beneficio (dado por el porcentaje de

cumplimiento) y el costo (dado por cada proveedor). (Anderson, 1998)

Dentro de los aspectos que se medirán se considera 4 principales factores respecto a cada uno

del software en competencia:

Requerimientos Funcionales

Los cuales se dividen en MUY DESEABLES y DESEABLES, dentro de la primera categoría

se mide:

Hypervisor

Compatible con LINUX

Reporte rendimiento

Configuración en caliente

Restricción de recursos

38

Cuadro superior derecho de Gartner

Sin SO en el host(HiperVisor)

Fácil Configuración

Alertas e-mail

En la segunda categoría (DESEABLES), se mide:

Gratuitos

Una vez evaluados los software se dispone a evaluar cada una de las alternativas midiendo si

cumple o no con el requerimiento y dando una ponderación de 90% a los requerimientos

MUY DESEABLES y un 10% a los requerimientos DESEABLES. Los resultados se muestran

en la tabla 11.

MATRIZ DE EFECTIVIDAD

Funcionalidades del Sistema Ponderación Actual VMWare VirtualBox XEN

MUY DESEABLES (%

cumplimiento) 90% 44% 100% 44% 89%

Hypervisor

0 1 0 1

Compatible con LINUX 0 1 1 1

Reporte rendimiento 1 1 0 1

Configuración en caliente 1 1 1 1

Restricción de recursos 0 1 1 1

Cuadro superior derecho de

Gartner 0 1 0

1

39

Sin SO en el host 0 1 0 1

Fácil Configuración 1 1 1 0

Alertas e-mail 1 1 0 1

DESEABLES (%

cumplimiento) 10% 50% 100% 50% 50%

Sin Licencamiento

1 0 1 1

TOTAL 100% 45% 90% 45% 85%

Tabla 12 : Resultados Matriz de Efectividad (Requerimientos Funcionales).

La evaluación consta de justificar la alternativa asignando un 1 en caso de poseer el

requerimiento y un 0 en caso contrario. Se aprecia que VMware cumple con el 100% de los

Requisitos muy deseables, pero como es el único con licenciamientos Libre.

40

Plataforma Tecnológica

Otra característica importante de evaluación es la de la plataforma tecnológica con que la

solución cuenta, dentro de las cuales se evaluaron las siguientes:

Confidencialidad: Protección a la distribución no autorizada de información.

Integridad: Precisión y suficiencia de la información.

Disponibilidad: Acceso a la información fácil con bajos tiempos de respuesta.

Confidencialidad Integridad Disponibilidad

Confidencialidad 1 0

Integridad 1 0

Disponibilidad 0 0

Tabla 13 Matriz de Efectividad

Luego se evalúa la plataforma tecnológica con el mismo método de la matriz de

efectividad, los resultados se muestran en la tabla 13

Aspectos Técnicos Sistema Ponderador Actual VMWare VirtualBox XEN

Confidencialidad (% cumplimento) 33% 100% 100% 0% 100%

Registro de usuarios 1 1 0 1

Limitación de acceso 1 1 0 1

Integridad (% cumplimiento) 33% 0% 100% 100% 100%

Sistema robusto y práctico 0 1 1 1

Datos (ante caídas de sistema) 0 1 1 1

Disponibilidad (% cumplimiento) 33% 100% 100% 50% 100%

Snapshot 1 1 1 1

Respaldo Snapshot en caliente 1 1 0 1

TOTAL 100% 66% 100% 50% 100%

Tabla 14 Matriz de ponderación

En este punto se puede ver como ya se va descartando la situación actual y Virtualbox,

que cayo fuertemente el punto relacionado con la seguridad.

41

Calidad Técnica

Este punto tiene que ver con aspectos técnicos de la solución propiamente tal, más allá de la

plataforma en la cual se basa. El objetivo es asegurar que la implementación de las

herramientas disponibles en la plataforma tecnológica seleccionada cumpla con los criterios

deseados. Esta evaluación consta de los siguientes criterios a ser medidos:

Portabilidad: Compatibilidad con otras plataformas.

Escalabilidad: Posibilidad de hacer la solución en forma local o remota.

Escalabilidad Accesibilidad Portabilidad

Escalabilidad 1 0

Portabilidad 1 1

Tabla 15 : Matriz de efectividad Tecnica

Aspectos Técnicos Sistema Ponderador Actual VMWare VirtualBox XEN

Portabilidad (% cumplimiento) 67% 0% 100% 100% 100%

Compatibilidad con diferente Hardware 0 1 1 1

Capacidad de exportar datos 0 1 1 1

Escalabilidad (% cumplimiento) 33% 50% 100% 100% 100%

Posibilidad de Actualizarse 0 1 1 1

Integración de nuevas versiones 1 1 1 1

TOTAL 100% 17% 100% 100% 100%

Tabla 16:Matriz de Ponderación Técnica

En este punto se destaca la poca calidad técnica de la situación actual, esto confirma la

necesidad de optar por una herramienta de virtualización.

42

Respaldo Técnico

Corresponde a las soluciones de respaldo entregadas por el proveedor del software, facilitando

la utilización robusta del software y asegurando que este cumpla con su vida útil

correctamente. Para evaluar esto se debe confeccionar una matriz con los siguientes criterios:

Mantenimiento: Buena documentación del programa y mantención.

Garantías: Como plazos de entrega, soporte, ampliaciones y otros.

Prestigio: Presencia en el mercado, servicios, rentabilidad.

Ubicación del soporte: Local o garantizado mediante redes para determinar calidad.

Mantenimiento Garantías Prestigio Ubicación Soporte

Mantenimiento 1 1 1

Garantías 0 1 1

Prestigio 0 1 1

Ubicación Soporte 1 1 1

Tabla 17:Matriz de efectividad respaldo tecnico

Criterio Ponderador Actual VMWare VirtualBox XEN

Mantenimiento 30,0% 60% 100% 90% 95%

Garantías 20,0% 80% 95% 80% 90%

Prestigio 20,0% 60% 100% 90% 95%

TOTAL 70% 46% 69% 61% 66%

Tabla 18:Matriz de ponderación respaldo técnico

Se observa que ninguna de las opciones esta al 100%, pero pese a los valores bajos lo

esperado, aun se destaca VMware como una solución viable.

43

MATRIZ DE EFICIENCIA

Finalmente se debe construir una matriz que permita comparar todos los aspectos

anteriormente señalados asignando ponderadores a cada uno de ellos. Los procedimientos para

asignar los ponderadores a los parámetros de esta matriz son iguales a los mencionados

anteriormente y se muestran en la tabla 9.

Requisitos

Funcionales

Plataforma

TecnológicaCalidad Técnica Respaldo Técnico

Requisitos Funcionales 1 1 1

Plataforma Tecnológica 0 0 1

Calidad Técnica 0 1 0

Respaldo Técnico 0 0 1

TABLA 19: MATRIZ DE EFECTIVIDAD DE EFICIENCIA

Factor Evaluación Ponderación Actual VMWare VirtualBox XEN

Requisitos Funcionales 50% 45% 90% 45% 85%

Plataforma Tecnológica 17% 66% 100% 83% 100%

Calidad Técnica 17% 17% 100% 100% 100%

Respaldo Técnico 17% 46% 69% 61% 66%

PUNTAJE 100% 44,00% 89,78% 63,19% 86,69%

TABLA 20: MATRIZ DE PONDERACIÓN MULTICRITERIO

De esta matriz de deduce que VMWARE es mas eficiente con un 89.78%, seguido por XEN

con un 86.69%,ambas opciones hasta el momento son candidatas a ser elegidas y descartando

de plano la situación actual y VirtualBox.

44

Evaluación de la factibilidad económica

Cálculo de razón costo/eficiencia

Para realizar el cálculo de las razones costo/eficiencia de las alternativas, es necesario

considerar los costos correspondientes a cada una de ellas, proyectándolos a una cierta

cantidad de años y actualizando estos costos según una tasa de descuento dada, luego todo esto

se divide por los valores de los puntajes obtenidos en para cada alternativa. A continuación en

la fórmula 1, se muestra el método para el cálculo de la razón costo eficiencia.

Fórmula 1: Método para cálculo de la razón costo eficiencia.

Donde,

j: Valor actual de los costos en el periodo j.

i: alternativas, donde i corresponde a las alternativas :VMWare,VirtualBOX,XEN

Costos a considerar en la evaluación

Inversión (I): Corresponde al monto de compra de las licencias de cada alternativa.

Costo de Operación Anual (CO): Son costos asociados a la operación del software por parte

de la empresa.

Costo Mantención Anual (CM): Es un costo que se debe pagar al proveedor de la solución

para efectos de mantención y actualizaciones del software.

Vida Útil del Sistema (t): Corresponde a los años que se evaluará el software.

Tasa de Descuento (r): Tasa utilizada para actualizar los flujos futuros de la inversión,

en este caso se fijó en un 10%.

Factor de Recuperación del Capital: Se calcula como se muestra en la fórmula 2.

45

Fórmula 2: Cálculo del factor de recuperación del capital.

Costo Anual Equivalente: Producto del factor de recuperación por el valor actual de

cada alternativa.

Primeramente se muestran los costos asociados a cada alternativa:

Valor USD 480,59

Valor UF 21.478,39

USD CLP USD UF CLP

ACTUAL - - - - -

VMWare 500 240.295 1.420 - 682.438

VirtualBox - - 1.420 - 682.438

XEN 1.000 480.590 1.420 - 682.438

ACTUAL

VMWare

VirtualBox

XEN 0 USD -----> - CLP

ACTUAL -

VMWare 2.941.440

VirtualBox 2.893.381

XEN -

20% del valor licencia desde 1er año

20% del valor licencia desde 2do año

AlternativaCosto Licencia Costo Capacitación

Costos Mantención

20% del valor licencia desde 1er año

TABLA 21: CALCULOS COSTOS DE LICENCIAMIENTO

46

En las tablas siguientes se muestran los valores asociados a los costos operativos, proyectados

en 5 periodos anuales, cabe destacar los valores muy similares, por lo tanto al decisión final se

hará, por la relación Costo/beneficios

Periodo 1 3 4 5 Sub Total

Costo Operación Anual ($) 13.860.155 13.860.155 13.860.155 13.860.155

Valor Actual CO (TREMA 10%) ($) 12.600.141 10.413.340 9.466.672 8.606.066 52.540.892

Costo Mantención Anual ($) - - - -

Valor Actual CM (TREMA 10%) ($) - - - - -

Total 52.540.892




Costo Mantención Anual ($) 48.059 48.059 48.059 48.059

Valor Actual CM (TREMA 10%) ($) 43.690 36.107 32.825 29.841 182.181

Total 40.751.845






Total 40.569.663






Total 40.569.663

Costos Actual

Costos VMWare

Costos VirtualBox

Costos XEN

TABLA 22: CALCULOS COSTOS OPERACIONALES

La siguiente tabla concentra los costos y la puntuación final, para de esta forma calcular la

relación costo eficiencia de la aplicación.

47

Concepto Variable VMWare VirtualBox XEN

Inversión ($) I 2.210.943 2.210.943 2.210.943

Costo Capacitación ($) CC 682.438 682.438 682.438

Costo Operación Anual Total ($) CO 40.569.663 40.569.663 40.569.663

Costo Mantención Total ($) CM 182.181 - -

Vida Util del Sistema (Años) t 5 5 5

Tasa de Descuento (%) r 10% 10% 10%

Factor Recuperación FR 0,26380 0,26380 0,26380

Valor Actual Costos ($) VAC $ 43.645.226 $ 43.463.044 $ 43.463.044

Costo Anual Equivalente ($) CJ 11.513.501 11.465.442 11.465.442

Puntuación Eficiencia (%) PE 90% 63% 87%

Razón Costo Eficiencia RC 12.824.444 18.143.116 13.225.117

TABLA 23: MATRIZ DE CALCULO PARA RELACION COSTO EFICIENCIA

48

ANÁLISIS

De la tabla 23 se puede evidenciar que la alternativa con mejor costo eficiencia es VMWARE. Esto debido

principalmente, a su ventajas funcionales, Tecnológicos, Calidad y respaldo.otra alternativa viable es XEN, ya

que su relación de eficiencia esta muy cerca de VMWARE.

VirtualBox queda totalmente descartado, pese a ser un software de bastante madures, pero esta falto de seguridad

y confidencialidad, punto claves para este tipo de implementación

49

Conclusiones

Con la evolución de los sistemas informática y dependencia que existe entre estos y el

negocio. Los departamentos de TI, han adoptado normas para la estandarización de proceso

uno de estos es la Gestión de la continuidad del negocio, que no solo tiene que ver con la

recuperación ante un desastre, si que además debe ser proactivo y anticipar eventos o

situaciones peligrosas, que pueden afectar la continuidad operacional o financiera.

Para lograr una buena orientación de las necesidades y costos del negocio, fue fundamental la

aplicación de las encuestas de BIA(anexo2), que permitió tener muy claro las áreas criticas y

los costos asociados a posible perdidas de servicio.

Como parta de los procesos de mejora continua, se debe implementar métodos de medición y

control, para oriental eficientemente la gestión de los recursos hacia los procesos críticos de la

empresa. Para lograr estos objetivos una muy buena alternativa es la virtualización de los

servidores junto con un plan evaluación y control. Se debe tener siempre presente que los

recursos de las empresas son escasos y deben ser racionalmente administrados.

La Evaluación Multicriterio es una muy buena alternativa, para orientar los recursos hacia una

elección con mayor probabilidad de éxito, gracias a esta evaluación se continuará con la

implementación de los servidores de misión critica en plataformas Virtualizada con VMware

50

Índice de Tablas

Tabla 1 Objetivos de la virtualizacion .................................................................................................................... 14

Tabla 2 Accionistas ................................................................................................................................................. 25

Tabla 3 Fuentes Informacion BIA .......................................................................................................................... 30

Tabla 4: Definicion de Impacto .............................................................................................................................. 31

Tabla 5 Impacto General ......................................................................................................................................... 32

Tabla 6 Impacto Financiero .................................................................................................................................... 32

Tabla 7 Impacto Operacional .................................................................................................................................. 33

Tabla 8 Impacto con el cliente ................................................................................................................................ 33

Tabla 9 Impaccto de dependencias ......................................................................................................................... 34

Tabla 10 Impacto de infraestructura ....................................................................................................................... 34

Tabla 11 Calculo RTO ............................................................................................................................................ 35

Tabla 12 : Resultados Matriz de Efectividad (Requerimientos Funcionales). ........................................................ 39

Tabla 13 Matriz de Efectividad............................................................................................................................... 40

Tabla 14 Matriz de ponderación ............................................................................................................................. 40

Tabla 15 : Matriz de efectividad Tecnica ............................................................................................................... 41

Tabla 16:Matriz de Ponderación Técnica ............................................................................................................... 41

Tabla 17:Matriz de efectividad respaldo tecnico .................................................................................................... 42

Tabla 18:Matriz de ponderación respaldo técnico .................................................................................................. 42

TABLA 19: MATRIZ DE EFECTIVIDAD DE EFICIENCIA ............................................................................. 43

TABLA 20: MATRIZ DE PONDERACIÓN MULTICRITERIO ......................................................................... 43

Tabla 21: Calculos costos de licenciamiento .......................................................................................................... 45

Tabla 22: Calculos costos operacionales ................................................................................................................ 46

Tabla 23: MAtriz de calculo para relacion Costo Eficiencia .................................................................................. 47

51

Índice de Figuras

Figura : 1 marco gobierno ti(ISACA) 6

Figura : 2 Evolucion del estandar 8

Figura : 3 Cadena de Valor 9

Figura : 4 Planeación del proyecto 9

Figura : 5 COMPONENTES GOBIERNO TI 10

Figura : 6 Ciclo del BCM 10

Figura : 7 Clasificacion RPO y RTO 11

Figura : 8 12

Figura : 9 12

Figura : 10 12

Figura : 11 12

Figura : 12 12

Figura : 13Virtualización 18

Figura : 14 Hipervisor 19

Figura : 15 Cuadrante magico 2011, herramientas de virtualizacion 20

Figura : 16 Cuadro comparativo Competitividad 20

Figura : 17 Comparativo Hipervisor 21

Figura : 18 Características de la virtualización 24

Figura : 19 ARQUITECTURA MAQUINAS VIRTUALES 24

Figura : 20 Estructura organización 26

Figura : 21 Cadena de Valor 27

Figura : 22 Diagrama SGAIN 29

Figura : 23 Costos x Interrupcion 36

52

Bibliografía

Anderson, S. y. (1998). Metodos cuantitativos para los negocios.

Hoffer, J. (25 de Junio de 2012). "Backing Up Business - Industry Trend or Event". Health

Management Technology.

News., B. C. (s.f.). BS25999. Recuperado el 01 de 05 de 2012, de ISO 22301 News:

http://www.bs25999.net/

Snedaker, Susan. (2007). Business Continuity & Disaster Recovery. Syngress ISBN:

9781597491723.

vmware. (2012). vmware. Obtenido de www.vmware.cl

Business Continuity Institute 2007 GoodPractice Guidelines 2007 Section 1. BCM policy

&programme management. Version 2007.3 October

2007 disponible en http://www.thebci.org/GPG2008V1%20Section1.pdf

Business Continuity Institute 2002.Understanding your business. Version BCI DJS

1.001/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-

%20Stage%201.pdf la

http://www.thebci.org/GPG2008V1%20Section1.pdf

BIA

Documents

Transcript of BIA