BIA
-
Upload
juan-huerta -
Category
Documents
-
view
212 -
download
2
description
Transcript of BIA
1
CONTENIDO
INTRODUCCIÓN 3
OBJETIVO ................................................................................................................................. 4
Marco de gobierno de TI(COBIT/ISO 27000) ....................................................................... 6
Analisis de impacto del Negocio (BIA) ................................................................................ 10
Que es RTO y RPO: .............................................................................................................. 10
Diseño de la solución ............................................................................................................ 11
¿Qué es la virtualizacion? .................................................................................................... 13
Beneficios de la virtualización .............................................................................................. 16
Tipos de Virtualización ......................................................................................................... 18
Virtualización Asistida por Hardware .................................................................................. 19
Herramientas más relevantes ................................................................................................ 20
Arquitectura general ............................................................................................................. 24
Empresa 25
Descripción de la Empresa ....................................................................................................... 25
Misión y Visión Corporativa .................................................................................................... 25
Misión: .................................................................................................................................. 25
Visión: ................................................................................................................................... 25
Valores Compartidos: ........................................................................................................... 26
Situación inicial y problemática ............................................................................................... 27
2
Desarrollo 28
Definición de propuesta preliminar ...................................................................................... 28
Evaluación puntos críticos a través del BIA ......................................................................... 28
Fuentes de información ......................................................................................................... 29
Impacto ................................................................................................................................. 31
Nivel de Impacto General ..................................................................................................... 32
Nivel de Impacto Financiero ................................................................................................. 32
Nivel de Impacto Operacional .............................................................................................. 33
Nivel de Impacto con el Cliente ........................................................................................... 33
Nivel de Impacto de Dependencia ........................................................................................ 34
Cálculo del Objetivo de Tiempo de Recuperación (RTO) ................................................... 35
Reporte de costes estimados por la no realización de las operaciones dela empresa. .......... 36
Evaluación económica delas Herramientas de Virtualización .................................................. 37
Evaluación Multicriterio ........................................................................................................... 37
Requerimientos Funcionales ................................................................................................. 37
Plataforma Tecnológica ........................................................................................................ 40
Calidad Técnica .................................................................................................................... 41
Respaldo Técnico .................................................................................................................. 42
Análisis ................................................................................................................................. 48
Conclusiones 49
3
INTRODUCCIÓN
Dentro de la Gestión de la Seguridad de la Información en una compañía es importante
contar con un plan, que asegure la continuidad de las actividades del negocio en ante
eventos que pongan en riegos las operaciones financieras, comerciales y operativas.
Tradicionalmente, los planes de continuidad, denominados planes de contingencia en
sus orígenes, están asociados a grandes compañías que necesitan reaccionar de forma
inmediata ante cualquier evento que interrumpa sus servicios. La realidad es que
cualquier compañía puede sufrir un incidente que afecte a su continuidad y
dependiendo de la forma en que se gestione dicho incidente, las consecuencias pueden
ser más o menos graves.
Esta guía pretende desglosar las actividades necesarias, introducir el concepto de
continuidad de negocios en las pequeñas y medianas empresas, proporcionando
plantillas y ejemplos que ayuden al lector a entender cada una de las fases y tareas que
componen el plan además de una guía para seleccionar herramientas de virtualización
que permita estar preparados ante un evento a un costo razonable.
4
OBJETIVO
El objetivos principal para llevar a cabo este estudio, es establecer bases en la empresa
Coexca S.A., para iniciar un proceso de control interno de TI, en este marco se
decidió iniciar por la administración del riesgo de esta forma asegurar la continuidad
del negocio y despertar la conciencia en la alta gerencia de los riesgos inherentes al
desarrollo de las actividades, propias a la empresa como también riesgos externos y el
impacto que estos riegos afectan a la continuidad del negocio.
Metodología
Principalmente se toma como base las recomendaciones de ISACA1, para establecer un
marco de gobierno de TI, basados en este marco, el estudio fue dirigido a la
administración del riesgo(GCN o BCM2), para esto se abordó las recomendaciones
entregadas por el estándar BS 25999, en la cual se define al BIA 3como un método de
evaluación, que permite identificar y evaluar mediante cuestionario los proceso más
críticos, de esta forma cuantificar el impacto financiero, operativo , servicio al cliente
y legislativo, en esta primera etapa fue orientado al impacto financiero y operativo.
Como segunda parte se considera una matriz de evaluación comparativa
costo/beneficios, para identificar la mejor solución a menor costo de inversión que
permita reducir el RPO 4y RTO, y determinar MDT efectivo
1 ISACA (Information Systems Audit and Control Association).
2 Business Continuity Management-BCM
3 Business Inpact Analisis
4 RPO-Punto Objetivo de recuperación RTO-Tiemp objetivo de recuperación MDT-Tiempo máximo tolerable
5
Alcances
Comprende preparar a la empresa para resistir eventos que puedan producir riegos de
pérdida financiera u operativa, reducir el riesgo, costos y tiempos de recuperación,
además integrar al departamento de informática como socio estratégico en la cadena de
valor.
Las delimitaciones de esta primera etapa se asocian a:
• Inicio y gestión del proyecto.
• Evaluación y control del riesgo.
• Análisis de impacto del negocio (BIA).
• Desarrollo de estrategias para la continuidad del negocio.
Dejando para una segunda etapa:
• Respuesta ante emergencias.
• Desarrollo e implementación de un sistema de GCN.
• Programa de concientización y capacitación.
• Mantenimiento y ejercicio del sistema GCN.
• Comunicación de crisis.
• Coordinación con Autoridades públicas
6
MARCO TEORICO
Marco de gobierno de TI(COBIT/ISO 27000)
Es necesario un cambio en el rol de TI, para extraer el máximo rendimiento de las
inversiones en tecnología y usarla como un arma competitiva. De esta forma
conseguimos que la actitud de TI frente al negocio pase de ser meramente reactiva a
ser proactiva, anticipándose a las necesidades de la organización.
Como parte fundamental de la alineación de procesos, se deben identificar los actores y
sus responsabilidades, para gestionar el riesgo inherente al negocio, de esta forma se
debe implementar un sistema de control interno que permita vigilar las amenazas y
vulnerabilidades de la organización.
Según ITGI(Instituto de Gobierno de TI), el gobierno de TI incluye:
Proveer la dirección estratégica.
Garantizar que los objetivos sean alcanzados.
Establecer que los riesgos son administrados eficientemente.
Verificar que los recursos son usados responsablemente.
FIGURA : 1 MARCO GOBIERNO TI(ISACA)
7
La GCN ha ido evolucionando en el tiempo hasta llegar al concretar un estándar BS-
25999 Figura: 1 , en la cual, se desarrollan técnicas para lograr gestión de la
continuidad.
“Se estima que las empresas más grandes gastan entre 2% y 4% de su presupuesto de
TI en la planificación de recuperación de desastres, con el fin de evitar mayores
pérdidas en el caso de que la empresa no puede seguir funcionando debido a la pérdida
de la infraestructura de TI y de datos. De las empresas que tenían una importante
pérdida de datos empresariales, el 43% nunca se vuelva a abrir, cerca de 51% en dos
años, y sólo el 6% va a sobrevivir a largo plazo “(Hoffer, 2012)
Para lograr este objetivos existen fases identificadas por DRI 5Se le debe hacer un
seguimiento con el fin de conocer su evolución permanente en los procesos de la
empresa
1. La parte 1, el código de buenas prácticas, que ya ha sido publicada y proporciona
unas recomendaciones de buenas prácticas en cuanto a GCN. Esta primera parte
es simplemente un documento guía..
2. La parte 2, la especificación, fué publicada el pasado 20 de noviembre 2007 y
proporciona los requisitos de un Sistema de Gestión de Continuidad de Negocio
(SGCN) basado en las mejores prácticas de SGC. Hay un estándar que puede
utilizar para demostrar el cumplimiento vía auditoría y proceso de certificación y
este es el BS25999 (News.)
.
5 DRI-Disaster Recovery Institute
8
FIGURA : 2 EVOLUCION DEL ESTANDAR
El Instituto de desastre y recuperación, propone un conjunto de mejores prácticas entre
las cuales se elige el BIA6(Fig.3), para conocer el impacto de los servicio de TI, en la
continuad del negocio
Pasos para plantearse una continuidad de negocio
Análisis de negocio
o Análisis de Impacto(BIA)
Estudio del Riesgo
o Escenarios de impacto al negocio
o Definición de estrategias de continuidad
Diseño de Solución
o RPO/RTO
o Manejo de la Crisis
o Metodología de Replicación de Datos
o Software y Hardware requerido
6 BIA BUSINESS IMPACT ANALYSIS
9
Implementación
o Pruebas y Aceptación Organización
o Mantenimiento
o Verificación de las soluciones técnicas
o Verificación de procedimiento de recuperación
o Manejo de las pruebas fallidas
Como parte fundamental de este proceso es conocer la cadena de valor de la empresa
(Fig.2), para estructurar las encuestas y áreas a evaluar.
FIGURA : 3 CADENA DE VALOR
Figura : 4 Planeación del proyecto
10
Analisis de impacto del Negocio (BIA)
Son Técnicas y metodologías que identificar y cuantificar el impacto de negocio y sus
efectos en la organización, en caso de falla y ausencia de los servicios de misión
crítica. Además de identificar claramente que procesos afectan.
Para este caso se aplica una matriz de riego, en la cual se idéntica las áreas de
procesos, sus dependencias y servicios críticos.
El BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point
Objective) que deben ser establecidos por la organización.
Que es RTO y RPO:
RTO (recovery Time Objective): El tiempo entre el punto de interrupción, y el punto
en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con
los datos actualizados.
FIGURA : 6 CICLO DEL BCM FIGURA : 5 COMPONENTES GOBIERNO TI
11
RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las
actividades del sistema debido a la ocurrencia de un determinado evento.
FIGURA : 7 CLASIFICACION RPO Y RTO
Diseño de la solución
Existe muchas metodologías y Herramientas que permiten asegurar la continuidad del
negocio, pero para cada caso es diferente, en este dimensionamiento se deben tomar
en cuenta tecnología disponible, recursos económicas, recurso humano inclusive
geográficos.
12
En las imágenes se aprecia la falta de dimensionamiento y tal vez recursos.
FIGURA : 8
FIGURA : 9
FIGURA : 12
Para este proyecto se propone soluciones de virtualización, para disminuir los costos
por hardware, mantenimiento y servicios.
FIGURA : 10 FIGURA : 11
13
¿Qué es la virtualizacion?
Consiste en la abstracción de un sistema hardware completo o parcial, permitiendo que
diversas instancias de sistemas operativos (Guest) corran sobre una maquina física (Host).
Una plataforma de virtualización es un conjunto de software y hardware que simula la
ejecución de equipos o sistemas operativos distintos a los reales. Esto se consigue ocultando
las características físicas de la plataforma real y proporcionando otra plataforma abstracta y
simulada
Porqué utilizar Virtualización para un sistema GCN
Debido a la complejidad de sistemas y lo crítico de ellos, sumado a esto el costos de
hardware y operativos, Resulta excesivamente caro implementar un segundo centro
de recuperación ante fallos con recursos dedicados.
o Los planes de recuperación son demasiado complejos.
o Los procedimientos de recuperación son demasiado poco fiables
De hecho, la virtualización es una alternativa altamente atractiva por su simplicidad,
costos y beneficios asociados (Tabla1)7.
Los entornos virtualizados ofrecen una facilidad muy superior de recuperación,
migración y administración, puesto que simplifican la infraestructura de hardware y
software, y permiten la estandarización de los procesos.
7 Fuente: Estudio Mundial entre clientes de VMWARE,Enero 2010
14
Esta característica destaca por resultar extremadamente práctica y funcional para la
empresa, ya que permite la consolidación de servidores: es decir, reduce el número de
máquinas y optimiza el grado de uso de los recursos informáticos.
Tabla 1 Objetivos de la virtualizacion
¿Porque utilizar virtualización?
A medida que una empresa crece, adquiere diferentes equipos informáticos y
establece distintos entornos para utilizar herramientas tecnológicas concretas, según las
más puntuales necesidades de negocio: un servidor de correo, otro para una base de
datos de clientes, un tercero para un programa ERP de planificación de recursos
empresariales, etc.
Con el paso de los años, el número de servidores aumenta y se complica la
gestión y el control del hardware, con el consiguiente incremento de los gastos
operativos derivados de su funcionamiento. Sólo una tecnología permite enfrentarse de
manera racional a esta escalada en la administración de sistemas corporativos. Ésta
tecnología es la virtualización.
La virtualización, aprovechando la capacidad y potencia de los equipos
actuales, se presenta como la respuesta a la necesidad de alcanzar la máxima eficiencia
tecnológica. A través de software, la virtualización divide los recursos de un equipo
15
informático para crear distintas máquinas virtuales que funcionan de manera
independiente aunque no existan físicamente. Se trata de crear distintos entornos
informáticos virtuales en un mismo hardware.
Esta característica destaca por resultar extremadamente práctica y funcional
para la empresa, ya que permite la consolidación de servidores; es decir, reduce el
número de máquinas y optimiza el grado de uso de los recursos informáticos.
Con el modelo de servidores independientes, una máquina reciente con una
aplicación convencional apenas aprovecha un 30% de sus recursos informáticos
(capacidad de proceso, memoria RAM entre otros) y desperdicia el 70% restante. Sin
embargo, los costes de licencias, mantenimiento, soporte, electricidad, etc. se
corresponden con el 100% de la máquina.
La consolidación de servidores a través de la virtualización aprovecha el 100% de cada
máquina en un proceso de máxima eficiencia para las empresas, ya que puede aplicarse
en cualquier servidor, independientemente de su uso (servidores de aplicaciones, para
bases de datos, de desarrollo, etc.).
Con un grado de versatilidad comparable, un servidor virtual requiere una
inversión tecnológica en infraestructura muy inferior a un servidor dedicado.
Dependiendo de si una máquina física se virtualiza para conseguir dos máquinas
virtuales o diez, por decir unas cifras, la inversión inicial es dos o diez veces inferior
que un servidor dedicado. A esta cantidad, también hay que sumar la cifra procedente
del ahorro del consumo eléctrico y de mantenimiento que supone un número cualquiera
de servidores virtuales frente a su equivalente en dedicados.
La consolidación de servidores no es la única aplicación de la virtualización.
No sólo se pueden alojar en una única máquina aplicaciones antes incompatibles.
Debido a la posibilidad de realizar snapshots (puntos de restauración), ofrece
numerosas ventajas en pruebas de testing y desarrollo, porque la monitorización de las
pruebas de estrés congela el proceso de una máquina virtual en cualquier momento.
16
Incluso puede considerarse una garantía de continuidad de negocio, ya que todo el
contenido de un equipo virtual puede trasladarse a otro fácilmente, si se produce un
incidente en el hardware
La creación de entornos informáticos completamente independientes que no supongan
ningún riesgo para el entorno principal de una máquina supone una ventaja que valora
cualquier administrador de sistemas. Por ejemplo, una empresa podría utilizar una
aplicación corporativa con un sistema operativo conocido estable y probar una nueva
versión de esa misma aplicación para otro sistema operativo. En estos casos, que son
habituales, sólo le quedan dos opciones: virtualizar los equipos o contratar varios
servidores.
Beneficios de la virtualización
Eficiencia: Gracias a la virtualización se pueden aprovechar la totalidad de los
recursos de un ordenador. Dado que las máquinas actuales suelen tener varios
núcleos o procesadores, la virtualización es la oportunidad idónea para explotar
al máximo esta potencia y no infrautilizar los recursos informáticos.
Ahorro: La consolidación reduce el número de máquinas físicas, y como
consecuencia, se reducen también los costes de inversión en equipos, de
mantenimiento, consumo energético y de espacio, generando ahorros de hasta
un 40% sólo en la inversión anual destinada a la adquisición de nuevo
hardware.
Flexibilidad: Una sola máquina física puede dar lugar a varias máquinas
virtuales, en función de las necesidades del usuario. Además, el equipo virtual
se crea con las características de CPU, memoria, disco y red necesarias para
asegurar su correcto funcionamiento, según el uso que se le vaya a dar.
17
Seguridad: Era uno de los inconvenientes que achacaban a la virtualización
hace años, pero esta tecnología ya se encuentra lo suficientemente madura para
garantizar una seguridad similar a un servidor dedicado. Cada máquina virtual
funciona de forma aislada e independiente del resto, con las que sólo comparte
un equipo físico.
Hasta tal punto que los recursos del servidor físico asignados a cada máquina virtual
sólo están disponibles para una máquina virtual concreta, no se comparten. Además,
ante cualquier fallo físico de hardware, basta “copiar y pegar” la máquina virtual en
otro equipo, eliminando un buen número de incidencias técnicas de seguridad.
Agilidad: La virtualización agiliza las tareas, dado que el proceso de creación
de un equipo virtual es muy rápido, inmediato desde la toma de decisión. No
es necesario pasar por todas las fases de adquisición de un nuevo servidor:
elección del modelo, disponibilidad, configuración…
Portabilidad: A través de la copia de los ficheros que forman la máquina
virtual, se puede clonar la información a otro servidor físico sin ningún
problema y rápidamente. De este modo, la virtualización reduce la
indisponibilidad por fallos de hardware.
Como en todas las tecnologías, la virtualización no proporciona el mismo valor para
todas las organizaciones y existen, por lo tanto, escenarios en los que su potencial debe
adecuarse. En la mediana empresa, los departamentos de sistemas están desarrollando
sus propios entornos de virtualización, pero esta operación no sale rentable para una
pyme o un autónomo.
Estos segmentos, que suponen la inmensa mayoría del tejido empresarial español,
pueden comprobar las ventajas de esta tecnología a través de los proveedores, que han
estandarizado las soluciones de virtualización en los denominados Servidores
Virtuales, Servidores Privados o VPS (por las siglas en inglés de Virtual Private
Server).
18
Estos servicios virtuales empaquetan los recursos informáticos de los servidores
de última generación para racionalizar su capacidad y adecuarla a las necesidades más
concretas de cada proyecto web. La virtualización supone un cambio radical en la
evolución de los entornos informáticos y es sólo la primera piedra de una tendencia que
se está implantando: utilizar la tecnología como servicio y pagar exclusivamente por
los recursos que se necesitan. Exactamente igual que sucede con el agua corriente: los
usuarios pagamos por lo que consumimos, no por un depósito concreto.
Tipos de Virtualización
Virtualización a nivel de Sistema Operativo
Los sistemas invitados comparten el mismo sistema operativo que el anfitrión.
Realmente, todos utilizan el mismo kernel y es el kernel el que se ocupa de determinar
para quién trabaja en un momento determinado.
Desventajas
No están disponibles opciones avanzadas de virtualización
Usualmente el sistema operativo Host no está optimizado para la virtualización
Ventajas
Funciona sobre plataformas tanto Windows como Linux
FIGURA : 13VIRTUALIZACIÓN
19
Virtualización Asistida por Hardware
Virtualización Completa
El host emula lo suficientemente bien el hardware como para que los sistemas
invitados puedan ser ejecutados de forma nativa, es decir, sin cambios en el
kernel y además de forma completamente aislada.
Paravirtualización
Usa un Hypervisor que es una capa de software que funciona directamente
sobre el hardware del computador, remplazando al sistema operativo,
permitiendo correr múltiples sistemas operativos invitados al mismo tiempo.
Este tipo no emula ningún hardware pero utiliza una API que permite a los
sistemas acceder a los recursos de la máquina.
Los sistemas invitados corren de forma aislada y segura de forma tal que no se afectan
en caso de problemas. Para su correcto funcionamiento deben modificar su kernel para
detectar el hardware del sistema anfitrión.
Ventajas
▪ Hypervisor optimizado para la virtualización.
FIGURA : 14 HIPERVISOR
20
Herramientas más relevantes
Figura : 15 Cuadrante magico 2011, herramientas de virtualizacion
Figura : 16 Cuadro comparativo Competitividad
Según Gartner, la solución de virtualización de Microsoft es percibida como la menos
estable menos y madura si la comparamos con otras alternativas y destaca a VMware,
21
con la con mejor ventaja. Aunque en la número de instalaciones Microsoft, se
posiciona en el segundo lugar unos 7%(50.000)
Figura : 17 Comparativo Hipervisor
En este segundo grafico que el hipervisor de VMware supera con creces las otras alternativas,
pero en precio VMware es la de menor calificación, pero más adelante en el documento se
realiza un análisis costo/beneficio, debe indicar la mejor alternativa.
VMWare ESX (vmware, 2012)
Con VMware ESX permite el crecimiento a escala, gracias a la consoidacion de servidores
en entornos Entel/AMD, gracias a la virtualización del haredware, permitiendo convivir
diferentes maquinas y diferentes SO,.
VMware es una empresa fabricante de Software especializada en productos basados en
tecnología de virtualización de servidores. Distribuye tres productos: VMware Workstation;
VMware Virtual Server y VMware Virtual Infraestructure (ESX Server).
El ESX Server, es en sí mismo un sistema operativo montado directamente sobre el hardware,
con lo que el rendimiento y gestión de recursos está mucho más optimizado. Adicionalmente,
existe un acuerdo entre IBM y VMware para desarrollo conjunto de ESX, asegurando el
22
perfecto comportamiento de cualquier componente hardware de un servidor xSeries con
VMware ESX (siempre y cuando dicho servidor esté certificado).
24
Arquitectura general
Finalmente lo que se busca con la virtualización se 4 objetivos muy importantes.
El particionado de las maquinas, para optimizar los recursos y ejecutar
múltiples maquinas virtuales al mismo tiempo.
Aislamiento que cada maquina este aislada y no afecte el correcto
funcionamiento de las otras.
Encapsulamiento que las maquinas virtuales contengas todo lo necesario para
permitir la replicación de maquinas y respaldos en un solo archivo.
Independencia del Hardware poder ejecutar las maquinas en cualquier servidor
sin necesidad de ser modificadas
Figura : 18 Características de la virtualización
Figura : 19 ARQUITECTURA MAQUINAS VIRTUALES
25
Empresa
Descripción de la Empresa
COEXCA S.A. es una empresa productora, exportadora y faenadora de carne, formada por
7empresas/empresarios productores de cerdo de la zona centro sur de Chile, que se agruparon
en forma estratégica para comercializar sus productos, tanto en el mercado interno como en el
de exportación.
Tabla 2 Accionistas
Misión y Visión Corporativa
Misión:
Posibilitar que las familias de Chile y el mundo disfruten de alimentos nutritivos,
sabrosos y variados. Nos comprometemos a cumplir con pasión los más altos
estándares de seguridad alimentaria, de calidad de servicio y cuidado del medio
ambiente.
Visión:
Ser reconocidos como líderes en la en la industria alimenticia mundial.
26
Valores Compartidos:
Orientación al cliente, orientación a resultados, cumplimiento de compromisos, trabajo
en equipo e integridad y ética.
Figura : 20 Estructura organización
Participación de Mercado
A pesar de tener menos de diez años en el mercado, Coexca se ha convertido en el
cuarto productor de carnes de cerdo del país, considerando el indicador % de cerdos
faenados, con una participación de mercado del 5,2%, superado por el líder indiscutido
de la industria, empresas Agrosuper, que cuenta con un 71,3% del mercado, seguido
por MAXAGRO y Friosa, quienes tienen una participación del 8,4% y 7,8%,
respectivamente.
27
Situación inicial y problemática
Actualmente Coexca S.A. cuenta con servicio de TI, que abarcar en forma transversal los
procesos productivos y financieros, así también comerciales, entre los que se destacan
Servicios de producción (Faena y Desposte), soportado por desarrollos propios, administración
y finanzas, soportado por el ERP Oracle E-Business Suite y otros servició de TI, como
internet, correo electrónico, Intranet, sistemas de punto de ventas, Recursos compartidos de
Disco, control de asistencia casino y otros.
Figura : 21 Cadena de Valor
Para estos servicios Coexca trabaja con 3 arquitecturas RISC , X86 y x64 , en este documento
el objetivo es la arquitectura X86 y X64,basada en servidores DELL r515y 2 DELL r310.
La plataforma tecnológica actual es de 10 PC x86 , Pcs de escritorios utilizados para soportar
servicios de TI. Este es un riesgo enorme además del costo de mantenimiento, refrigeración y
explotación
28
Desarrollo
Definición de propuesta preliminar
La propuesta debe satisfacer los requerimientos identificar en la empresa los servicios y
proceso críticos, evaluar económicamente los costos asociados a eventos, iniciar un proceso de
políticas de inversión en tecnología, Reducción del riesgo de interrupción de servicios y
disponer de las herramientas para asegurar la continuidad del negocio, centralizar la gestión de
los servidores, disminuir costos de mantenimiento.
Evaluación puntos críticos a través del BIA
Diagrama de la Solución
Para este proyecto involucró el implantar el Sistema de Gestión de Análisis de Impacto del
Negocio (SGAIN) como un servicio más al interior de la red corporativa de Coexca S.A., el
cual permitió mantener un registro de información en línea mediante la utilización de un
cuestionario el que recopiló los datos ingresados desde todas las unidades departamentales
participantes en este proyecto. Una vez que que finalizó este proceso de recopilación de
información se realizaron las etapas de análisis y evaluación de la información, las cuales
fueron validadas por el Jefe del Departamento de Informática.
29
Figura : 22 Diagrama SGAIN
Fuentes de información
La principal fuente de información para realizar el proceso de Análisis de Impacto del
Negocio fueron las respuestas al cuestionario realizadas por el responsable de cada unidad
departamental, y que en esta oportunidad se realizó a las siguientes personas:
31
Clasificación de las unidades organizacionales más críticas de la empresa
Esta sección identifica a cada una de las unidades organizacionales según el nivel de impacto
que esta presenta de acuerdo a los criterios especificados para estos fines como; Impacto Alto,
Impacto Medio, Impacto Bajo.
Impacto
Los niveles de impactos de las unidades se aplican para cada evento que involucre la no
disponibilidad de los sistemas informáticos y de comunicaciones para su utilización al interior
de la empresa. A continuación se presenta una tabla que describe cada uno de los impactos:
Impacto Alto Las funciones de estas unidades son identificadas como críticas. La pérdida
de la capacidad de procesar información, sin el uso de sistemas informáticos,
produciría un impacto inmediato y fuerte en la capacidad de la organización
para mantener los servicios que proporciona a sus usuarios
Impacto
Medio
La pérdida de la capacidad de procesar información, sin el uso de sistemas
informáticos, tendrían un fuerte impacto en la capacidad de la organización
para operar con efectividad
Impacto Bajo Se incluyen las unidades en que la perdida de la capacidad para procesar
información, sin el uso de sistemas informáticos, no tendría impacto
inmediato ni severo en la organización.
TABLA 4: DEFINICION DE IMPACTO
32
Nivel de Impacto General
Se identifica el impacto generar que presenta las unidades frente a la interrupción de los
sistemas informáticos.
Nivel de Impacto Financiero
Se identifica el impacto financiero que tiene la unidad frente a una interrupción de los sistemas
informáticos.
TABLA 5 IMPACTO GENERAL
TABLA 6 IMPACTO FINANCIERO
33
Nivel de Impacto Operacional
Se identifica el impacto operacional que tiene la unidad frente a una interrupción de los
sistemas informáticos.
Tabla 7 Impacto Operacional
Nivel de Impacto con el Cliente
Se identifica el impacto con el cliente que tiene la unidad frente a una interrupción de los
sistemas informáticos.
Tabla 8 Impacto con el cliente
34
Nivel de Impacto de Dependencia
Se identifica el impacto sujeto a la dependencia de la información necesaria para que la
unidad pueda ejercer su función.
Nivel de Impacto la Infraestructura
Se identifica el impacto sujeto a los procedimientos de respaldo de información, como también
los recursos que son necesarios para que la unidad pueda ejercer la función.
TABLA 9 IMPACCTO DE DEPENDENCIAS
TABLA 10 IMPACTO DE INFRAESTRUCTURA
35
Cálculo del Objetivo de Tiempo de Recuperación (RTO)
Este resultado tiene el objetivo de identificar la interrupción máxima en la que puede incurrir
una unidad departamental de la empresa sin que afecte o impacte el bienestar general de la
organización.
Tabla 11 Calculo RTO
36
Reporte de costes estimados por la no realización de las operaciones dela empresa.
Este reporte incluye los costes extras que debe incurrir cada una de las unidades al presentarse
una interrupción prolongada de su operación y las cuales deben ser absorbidas por la empresa.
FIGURA : 23 COSTOS X INTERRUPCION
37
Evaluación económica delas Herramientas de Virtualización
Evaluación Multicriterio
Para evaluar las distintas alternativas de software, se han confeccionado matrices multicriterio
que permiten comparar cada una de ellas con todas las demás y así poder considerar cual es la
que mejor se desempeña. Este análisis se basa en la medición de aspectos técnicos para cada
uno de los factores a ser considerados. Luego de evaluar estas matrices multicriterio, se
obtiene un puntaje total y se compara con los costos de cada alternativa para poder discriminar
cuál es la más adecuada según un cálculo de razón beneficio (dado por el porcentaje de
cumplimiento) y el costo (dado por cada proveedor). (Anderson, 1998)
Dentro de los aspectos que se medirán se considera 4 principales factores respecto a cada uno
del software en competencia:
Requerimientos Funcionales
Los cuales se dividen en MUY DESEABLES y DESEABLES, dentro de la primera categoría
se mide:
Hypervisor
Compatible con LINUX
Reporte rendimiento
Configuración en caliente
Restricción de recursos
38
Cuadro superior derecho de Gartner
Sin SO en el host(HiperVisor)
Fácil Configuración
Alertas e-mail
En la segunda categoría (DESEABLES), se mide:
Gratuitos
Una vez evaluados los software se dispone a evaluar cada una de las alternativas midiendo si
cumple o no con el requerimiento y dando una ponderación de 90% a los requerimientos
MUY DESEABLES y un 10% a los requerimientos DESEABLES. Los resultados se muestran
en la tabla 11.
MATRIZ DE EFECTIVIDAD
Funcionalidades del Sistema Ponderación Actual VMWare VirtualBox XEN
MUY DESEABLES (%
cumplimiento) 90% 44% 100% 44% 89%
Hypervisor
0 1 0 1
Compatible con LINUX 0 1 1 1
Reporte rendimiento 1 1 0 1
Configuración en caliente 1 1 1 1
Restricción de recursos 0 1 1 1
Cuadro superior derecho de
Gartner 0 1 0
1
39
Sin SO en el host 0 1 0 1
Fácil Configuración 1 1 1 0
Alertas e-mail 1 1 0 1
DESEABLES (%
cumplimiento) 10% 50% 100% 50% 50%
Sin Licencamiento
1 0 1 1
TOTAL 100% 45% 90% 45% 85%
Tabla 12 : Resultados Matriz de Efectividad (Requerimientos Funcionales).
La evaluación consta de justificar la alternativa asignando un 1 en caso de poseer el
requerimiento y un 0 en caso contrario. Se aprecia que VMware cumple con el 100% de los
Requisitos muy deseables, pero como es el único con licenciamientos Libre.
40
Plataforma Tecnológica
Otra característica importante de evaluación es la de la plataforma tecnológica con que la
solución cuenta, dentro de las cuales se evaluaron las siguientes:
Confidencialidad: Protección a la distribución no autorizada de información.
Integridad: Precisión y suficiencia de la información.
Disponibilidad: Acceso a la información fácil con bajos tiempos de respuesta.
Confidencialidad Integridad Disponibilidad
Confidencialidad 1 0
Integridad 1 0
Disponibilidad 0 0
Tabla 13 Matriz de Efectividad
Luego se evalúa la plataforma tecnológica con el mismo método de la matriz de
efectividad, los resultados se muestran en la tabla 13
Aspectos Técnicos Sistema Ponderador Actual VMWare VirtualBox XEN
Confidencialidad (% cumplimento) 33% 100% 100% 0% 100%
Registro de usuarios 1 1 0 1
Limitación de acceso 1 1 0 1
Integridad (% cumplimiento) 33% 0% 100% 100% 100%
Sistema robusto y práctico 0 1 1 1
Datos (ante caídas de sistema) 0 1 1 1
Disponibilidad (% cumplimiento) 33% 100% 100% 50% 100%
Snapshot 1 1 1 1
Respaldo Snapshot en caliente 1 1 0 1
TOTAL 100% 66% 100% 50% 100%
Tabla 14 Matriz de ponderación
En este punto se puede ver como ya se va descartando la situación actual y Virtualbox,
que cayo fuertemente el punto relacionado con la seguridad.
41
Calidad Técnica
Este punto tiene que ver con aspectos técnicos de la solución propiamente tal, más allá de la
plataforma en la cual se basa. El objetivo es asegurar que la implementación de las
herramientas disponibles en la plataforma tecnológica seleccionada cumpla con los criterios
deseados. Esta evaluación consta de los siguientes criterios a ser medidos:
Portabilidad: Compatibilidad con otras plataformas.
Escalabilidad: Posibilidad de hacer la solución en forma local o remota.
Escalabilidad Accesibilidad Portabilidad
Escalabilidad 1 0
Portabilidad 1 1
Tabla 15 : Matriz de efectividad Tecnica
Aspectos Técnicos Sistema Ponderador Actual VMWare VirtualBox XEN
Portabilidad (% cumplimiento) 67% 0% 100% 100% 100%
Compatibilidad con diferente Hardware 0 1 1 1
Capacidad de exportar datos 0 1 1 1
Escalabilidad (% cumplimiento) 33% 50% 100% 100% 100%
Posibilidad de Actualizarse 0 1 1 1
Integración de nuevas versiones 1 1 1 1
TOTAL 100% 17% 100% 100% 100%
Tabla 16:Matriz de Ponderación Técnica
En este punto se destaca la poca calidad técnica de la situación actual, esto confirma la
necesidad de optar por una herramienta de virtualización.
42
Respaldo Técnico
Corresponde a las soluciones de respaldo entregadas por el proveedor del software, facilitando
la utilización robusta del software y asegurando que este cumpla con su vida útil
correctamente. Para evaluar esto se debe confeccionar una matriz con los siguientes criterios:
Mantenimiento: Buena documentación del programa y mantención.
Garantías: Como plazos de entrega, soporte, ampliaciones y otros.
Prestigio: Presencia en el mercado, servicios, rentabilidad.
Ubicación del soporte: Local o garantizado mediante redes para determinar calidad.
Mantenimiento Garantías Prestigio Ubicación Soporte
Mantenimiento 1 1 1
Garantías 0 1 1
Prestigio 0 1 1
Ubicación Soporte 1 1 1
Tabla 17:Matriz de efectividad respaldo tecnico
Criterio Ponderador Actual VMWare VirtualBox XEN
Mantenimiento 30,0% 60% 100% 90% 95%
Garantías 20,0% 80% 95% 80% 90%
Prestigio 20,0% 60% 100% 90% 95%
TOTAL 70% 46% 69% 61% 66%
Tabla 18:Matriz de ponderación respaldo técnico
Se observa que ninguna de las opciones esta al 100%, pero pese a los valores bajos lo
esperado, aun se destaca VMware como una solución viable.
43
MATRIZ DE EFICIENCIA
Finalmente se debe construir una matriz que permita comparar todos los aspectos
anteriormente señalados asignando ponderadores a cada uno de ellos. Los procedimientos para
asignar los ponderadores a los parámetros de esta matriz son iguales a los mencionados
anteriormente y se muestran en la tabla 9.
Requisitos
Funcionales
Plataforma
TecnológicaCalidad Técnica Respaldo Técnico
Requisitos Funcionales 1 1 1
Plataforma Tecnológica 0 0 1
Calidad Técnica 0 1 0
Respaldo Técnico 0 0 1
TABLA 19: MATRIZ DE EFECTIVIDAD DE EFICIENCIA
Factor Evaluación Ponderación Actual VMWare VirtualBox XEN
Requisitos Funcionales 50% 45% 90% 45% 85%
Plataforma Tecnológica 17% 66% 100% 83% 100%
Calidad Técnica 17% 17% 100% 100% 100%
Respaldo Técnico 17% 46% 69% 61% 66%
PUNTAJE 100% 44,00% 89,78% 63,19% 86,69%
TABLA 20: MATRIZ DE PONDERACIÓN MULTICRITERIO
De esta matriz de deduce que VMWARE es mas eficiente con un 89.78%, seguido por XEN
con un 86.69%,ambas opciones hasta el momento son candidatas a ser elegidas y descartando
de plano la situación actual y VirtualBox.
44
Evaluación de la factibilidad económica
Cálculo de razón costo/eficiencia
Para realizar el cálculo de las razones costo/eficiencia de las alternativas, es necesario
considerar los costos correspondientes a cada una de ellas, proyectándolos a una cierta
cantidad de años y actualizando estos costos según una tasa de descuento dada, luego todo esto
se divide por los valores de los puntajes obtenidos en para cada alternativa. A continuación en
la fórmula 1, se muestra el método para el cálculo de la razón costo eficiencia.
Fórmula 1: Método para cálculo de la razón costo eficiencia.
Donde,
j: Valor actual de los costos en el periodo j.
i: alternativas, donde i corresponde a las alternativas :VMWare,VirtualBOX,XEN
Costos a considerar en la evaluación
Inversión (I): Corresponde al monto de compra de las licencias de cada alternativa.
Costo de Operación Anual (CO): Son costos asociados a la operación del software por parte
de la empresa.
Costo Mantención Anual (CM): Es un costo que se debe pagar al proveedor de la solución
para efectos de mantención y actualizaciones del software.
Vida Útil del Sistema (t): Corresponde a los años que se evaluará el software.
Tasa de Descuento (r): Tasa utilizada para actualizar los flujos futuros de la inversión,
en este caso se fijó en un 10%.
Factor de Recuperación del Capital: Se calcula como se muestra en la fórmula 2.
45
Fórmula 2: Cálculo del factor de recuperación del capital.
Costo Anual Equivalente: Producto del factor de recuperación por el valor actual de
cada alternativa.
Primeramente se muestran los costos asociados a cada alternativa:
Valor USD 480,59
Valor UF 21.478,39
USD CLP USD UF CLP
ACTUAL - - - - -
VMWare 500 240.295 1.420 - 682.438
VirtualBox - - 1.420 - 682.438
XEN 1.000 480.590 1.420 - 682.438
ACTUAL
VMWare
VirtualBox
XEN 0 USD -----> - CLP
ACTUAL -
VMWare 2.941.440
VirtualBox 2.893.381
XEN -
20% del valor licencia desde 1er año
20% del valor licencia desde 2do año
AlternativaCosto Licencia Costo Capacitación
Costos Mantención
20% del valor licencia desde 1er año
TABLA 21: CALCULOS COSTOS DE LICENCIAMIENTO
46
En las tablas siguientes se muestran los valores asociados a los costos operativos, proyectados
en 5 periodos anuales, cabe destacar los valores muy similares, por lo tanto al decisión final se
hará, por la relación Costo/beneficios
Periodo 1 3 4 5 Sub Total
Costo Operación Anual ($) 13.860.155 13.860.155 13.860.155 13.860.155
Valor Actual CO (TREMA 10%) ($) 12.600.141 10.413.340 9.466.672 8.606.066 52.540.892
Costo Mantención Anual ($) - - - -
Valor Actual CM (TREMA 10%) ($) - - - - -
Total 52.540.892
Periodo 1 3 4 5 Sub Total
Costo Operación Anual ($) 10.702.175 10.702.175 10.702.175 10.702.175
Valor Actual CO (TREMA 10%) ($) 9.729.250 8.040.702 7.309.730 6.645.209 40.569.663
Costo Mantención Anual ($) 48.059 48.059 48.059 48.059
Valor Actual CM (TREMA 10%) ($) 43.690 36.107 32.825 29.841 182.181
Total 40.751.845
Periodo 1 3 4 5 Sub Total
Costo Operación Anual ($) 10.702.175 10.702.175 10.702.175 10.702.175
Valor Actual CO (TREMA 10%) ($) 9.729.250 8.040.702 7.309.730 6.645.209 40.569.663
Costo Mantención Anual ($) - - - -
Valor Actual CM (TREMA 10%) ($) - - - - -
Total 40.569.663
Periodo 1 3 4 5 Sub Total
Costo Operación Anual ($) 10.702.175 10.702.175 10.702.175 10.702.175
Valor Actual CO (TREMA 10%) ($) 9.729.250 8.040.702 7.309.730 6.645.209 40.569.663
Costo Mantención Anual ($) - - - -
Valor Actual CM (TREMA 10%) ($) - - - - -
Total 40.569.663
Costos Actual
Costos VMWare
Costos VirtualBox
Costos XEN
TABLA 22: CALCULOS COSTOS OPERACIONALES
La siguiente tabla concentra los costos y la puntuación final, para de esta forma calcular la
relación costo eficiencia de la aplicación.
47
Concepto Variable VMWare VirtualBox XEN
Inversión ($) I 2.210.943 2.210.943 2.210.943
Costo Capacitación ($) CC 682.438 682.438 682.438
Costo Operación Anual Total ($) CO 40.569.663 40.569.663 40.569.663
Costo Mantención Total ($) CM 182.181 - -
Vida Util del Sistema (Años) t 5 5 5
Tasa de Descuento (%) r 10% 10% 10%
Factor Recuperación FR 0,26380 0,26380 0,26380
Valor Actual Costos ($) VAC $ 43.645.226 $ 43.463.044 $ 43.463.044
Costo Anual Equivalente ($) CJ 11.513.501 11.465.442 11.465.442
Puntuación Eficiencia (%) PE 90% 63% 87%
Razón Costo Eficiencia RC 12.824.444 18.143.116 13.225.117
TABLA 23: MATRIZ DE CALCULO PARA RELACION COSTO EFICIENCIA
48
ANÁLISIS
De la tabla 23 se puede evidenciar que la alternativa con mejor costo eficiencia es VMWARE. Esto debido
principalmente, a su ventajas funcionales, Tecnológicos, Calidad y respaldo.otra alternativa viable es XEN, ya
que su relación de eficiencia esta muy cerca de VMWARE.
VirtualBox queda totalmente descartado, pese a ser un software de bastante madures, pero esta falto de seguridad
y confidencialidad, punto claves para este tipo de implementación
49
Conclusiones
Con la evolución de los sistemas informática y dependencia que existe entre estos y el
negocio. Los departamentos de TI, han adoptado normas para la estandarización de proceso
uno de estos es la Gestión de la continuidad del negocio, que no solo tiene que ver con la
recuperación ante un desastre, si que además debe ser proactivo y anticipar eventos o
situaciones peligrosas, que pueden afectar la continuidad operacional o financiera.
Para lograr una buena orientación de las necesidades y costos del negocio, fue fundamental la
aplicación de las encuestas de BIA(anexo2), que permitió tener muy claro las áreas criticas y
los costos asociados a posible perdidas de servicio.
Como parta de los procesos de mejora continua, se debe implementar métodos de medición y
control, para oriental eficientemente la gestión de los recursos hacia los procesos críticos de la
empresa. Para lograr estos objetivos una muy buena alternativa es la virtualización de los
servidores junto con un plan evaluación y control. Se debe tener siempre presente que los
recursos de las empresas son escasos y deben ser racionalmente administrados.
La Evaluación Multicriterio es una muy buena alternativa, para orientar los recursos hacia una
elección con mayor probabilidad de éxito, gracias a esta evaluación se continuará con la
implementación de los servidores de misión critica en plataformas Virtualizada con VMware
50
Índice de Tablas
Tabla 1 Objetivos de la virtualizacion .................................................................................................................... 14
Tabla 2 Accionistas ................................................................................................................................................. 25
Tabla 3 Fuentes Informacion BIA .......................................................................................................................... 30
Tabla 4: Definicion de Impacto .............................................................................................................................. 31
Tabla 5 Impacto General ......................................................................................................................................... 32
Tabla 6 Impacto Financiero .................................................................................................................................... 32
Tabla 7 Impacto Operacional .................................................................................................................................. 33
Tabla 8 Impacto con el cliente ................................................................................................................................ 33
Tabla 9 Impaccto de dependencias ......................................................................................................................... 34
Tabla 10 Impacto de infraestructura ....................................................................................................................... 34
Tabla 11 Calculo RTO ............................................................................................................................................ 35
Tabla 12 : Resultados Matriz de Efectividad (Requerimientos Funcionales). ........................................................ 39
Tabla 13 Matriz de Efectividad............................................................................................................................... 40
Tabla 14 Matriz de ponderación ............................................................................................................................. 40
Tabla 15 : Matriz de efectividad Tecnica ............................................................................................................... 41
Tabla 16:Matriz de Ponderación Técnica ............................................................................................................... 41
Tabla 17:Matriz de efectividad respaldo tecnico .................................................................................................... 42
Tabla 18:Matriz de ponderación respaldo técnico .................................................................................................. 42
TABLA 19: MATRIZ DE EFECTIVIDAD DE EFICIENCIA ............................................................................. 43
TABLA 20: MATRIZ DE PONDERACIÓN MULTICRITERIO ......................................................................... 43
Tabla 21: Calculos costos de licenciamiento .......................................................................................................... 45
Tabla 22: Calculos costos operacionales ................................................................................................................ 46
Tabla 23: MAtriz de calculo para relacion Costo Eficiencia .................................................................................. 47
51
Índice de Figuras
Figura : 1 marco gobierno ti(ISACA) 6
Figura : 2 Evolucion del estandar 8
Figura : 3 Cadena de Valor 9
Figura : 4 Planeación del proyecto 9
Figura : 5 COMPONENTES GOBIERNO TI 10
Figura : 6 Ciclo del BCM 10
Figura : 7 Clasificacion RPO y RTO 11
Figura : 8 12
Figura : 9 12
Figura : 10 12
Figura : 11 12
Figura : 12 12
Figura : 13Virtualización 18
Figura : 14 Hipervisor 19
Figura : 15 Cuadrante magico 2011, herramientas de virtualizacion 20
Figura : 16 Cuadro comparativo Competitividad 20
Figura : 17 Comparativo Hipervisor 21
Figura : 18 Características de la virtualización 24
Figura : 19 ARQUITECTURA MAQUINAS VIRTUALES 24
Figura : 20 Estructura organización 26
Figura : 21 Cadena de Valor 27
Figura : 22 Diagrama SGAIN 29
Figura : 23 Costos x Interrupcion 36
52
Bibliografía
Anderson, S. y. (1998). Metodos cuantitativos para los negocios.
Hoffer, J. (25 de Junio de 2012). "Backing Up Business - Industry Trend or Event". Health
Management Technology.
News., B. C. (s.f.). BS25999. Recuperado el 01 de 05 de 2012, de ISO 22301 News:
http://www.bs25999.net/
Snedaker, Susan. (2007). Business Continuity & Disaster Recovery. Syngress ISBN:
9781597491723.
vmware. (2012). vmware. Obtenido de www.vmware.cl
Business Continuity Institute 2007 GoodPractice Guidelines 2007 Section 1. BCM policy
&programme management. Version 2007.3 October
2007 disponible en http://www.thebci.org/GPG2008V1%20Section1.pdf
Business Continuity Institute 2002.Understanding your business. Version BCI DJS
1.001/11/02. Disponible en:http://www.auckland.ac.nz/security/images/BCI%20GPG%20-
%20Stage%201.pdf la