ESCUELA POLITÉCNICA NACIONALbibdigital.epn.edu.ec/bitstream/15000/15161/1/CD-6941.pdfPor estar ahí...

ESCUELA POLITÉCNICA NACIONAL

FACULTAD DE INGENIERÍA DE SISTEMAS

DESARROLLO DE UN PLAN DE CONTINUIDAD DE NEGOCIO PARA

EL DEPARTAMENTO DE TI DE EMPRESAS. CASO DE APLICACIÓN

EMPRESARIAL.

PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN

SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN

SANDRA MILENA NAZAMUES QUENGUAN

[email protected]

SANTIAGO ALEJANDRO SANDOVAL HINOJOSA

[email protected]

DIRECTOR: ING. BOLÍVAR OSWALDO PALÁN TAMAYO, MSc.

[email protected]

Quito, Enero 2016

II

DECLARACIÓN

Nosotros, Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval

Hinojosa, declaramos bajo juramento que el trabajo aquí descrito es de nuestra

autoría; que no ha sido previamente presentada para ningún grado o calificación

profesional; y, que hemos consultado las referencias bibliográficas que se incluyen en

este documento.

A través de la presente declaración cedemos nuestros derechos de propiedad

intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según

lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la

normatividad institucional vigente.

Sandra Milena Nazamués

Quenguán

Santiago Alejandro Sandoval

Hinojosa

III

CERTIFICACIÓN

Certifico que el presente trabajo fue desarrollado por Sandra Milena Nazamués

Quenguán y Santiago Alejandro Sandoval Hinojosa, bajo mi supervisión.

Ing. Bolívar Palán

DIRECTOR DE PROYECTO

IV

AGRADECIMIENTOS

Agradezco a Dios por las bendiciones que me ha dado, una de ellas mi familia quien

ha estado presente en cada momento de mi vida apoyándome de manera

incondicional.

A mis padres Milton y Elena por el esfuerzo que han hecho a pesar de los obstáculos

presentados, por sus consejos que han hecho de mí una persona responsable y en

especial por su amor infinito de padres.

A mi hermana Anita por su apoyo incondicional en todos los sentidos, por su amor,

enseñanzas y por inspirarme a ser mejor cada día. Gracias por ser parte de mi vida.

A mis sobrinos Naim y Eduardo por ser mi motivo de inspiración para superarme cada

día.

A Santiago, novio y en especial amigo, gracias por ser mi persona especial, por reír

conmigo en momentos buenos y hacerme reír en los momentos malos, a pesar de las

dificultades presentadas hemos salido adelante juntos.

A mis amigos quienes estuvieron apoyándome y ayudándome a lo largo de la carrera.

A nuestro director Ing. Bolívar Palán, por su colaboración y paciencia como Director

durante la realización de este Proyecto de Titulación.

Milena

V

AGRADECIMIENTOS

Agradezco a mis padres que siempre me han brindado apoyo en todo lo necesario en

especial a mi mami que siempre está a mi lado, gracias por todo mami. A toda mi

familia que siempre están pendientes de mí y un agradecimiento especial al Ing.

Bolívar Palán quien nos ha guiado en el desarrollo de este proyecto de titulación

Santiago

VI

DEDICATORIA

Dedico este trabajo a mis padres y hermana, por enseñarme a salir adelante inclusive

cuando las cosas se ponen difíciles. Por el apoyo brindado en momentos de tristeza e

incertidumbre. Por estar ahí y encontrar en ellos siempre palabras de aliento para salir

adelante.

A mis amigos quienes conocí durante esta etapa universitaria, quienes se convirtieron

en mi segunda familia, gracias por los maravillosos momentos compartidos, por su

confianza y en especial por su apoyo incondicional en esos momentos en los cuales

decaí.

A Santiago por su paciencia, apoyo incondicional en los buenos y malos momentos y

sobre todo mil gracias a su constancia todo ha salido adelante. Gracias por ser parte

de mi vida y estar a mi lado.

Milena

VII

DEDICATORIA

A mis padres Anita y Fernando, a mi hermano Paúl, a mis tíos Fabián y Amelia, a mi

abuelita Fanny, a Milena y a mis hermanos peludos Roger y Woody.

Santiago

VIII

CONTENIDO

CAPÍTULO I ............................................................................................ 1

RECONOCIMIENTO ORGANIZACIONAL .............................................. 1

1.1 DESCRIPCIÓN DE LA ORGANIZACIÓN ..................................................... 1

1.1.1 LA ORGANIZACIÓN EQUIVIDA ............................................................... 1

1.1.2 PRESENCIA DE EQUIVIDA EN ECUADOR ............................................. 2

1.1.3 ESTRUCTURA ORGANIZACIONAL DE EQUIVIDA S.A. ......................... 2

1.1.4 ESTRATEGIA EMPRESARIAL DE EQUIVIDA S.A. .................................. 4

1.1.4.1 Línea de Negocio de EQUIVIDA S.A. ............................................... 5

1.1.4.2 Portafolio de Productos de EQUIVIDA S.A. ...................................... 8

1.2 ESTUDIO DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN ............. 19

1.2.1 SITUACIÓN ACTUAL DE EQUIVIDA S.A. .............................................. 19

1.2.1.1 Análisis FODA de EQUIVIDA S.A. .................................................. 19

1.2.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI ............................. 22

1.2.2.1 Posicionamiento del Departamento de TI ....................................... 22

1.2.2.2 Estructura Organizacional del Departamento de TI ........................ 24

1.2.2.3 Análisis FODA del Departamento de TI .......................................... 25

1.2.2.4 Catálogo de Servicios de TI ............................................................ 27

1.3 LISTADO DE ACTIVOS DE TI .................................................................... 33

1.3.1 APLICACIONES ...................................................................................... 33

1.3.2 INFRAESTRUCTURA ............................................................................. 36

1.3.2.1 Computadoras ................................................................................. 36

1.3.2.2 Switch ............................................................................................. 37

1.3.2.3 Servidores ....................................................................................... 38

IX

1.3.2.4 Topología de Red de EQUIVIDA S.A. ............................................. 40

1.3.3 DATOS .................................................................................................... 41

1.3.4 PERSONAL ............................................................................................. 41

1.3.5 UBICACIÓN ............................................................................................ 43

1.3.6 RESUMEN .............................................................................................. 44

1.4 ANÁLISIS DE VULNERABILIDADES Y RIESGOS ..................................... 46

1.4.1 IDENTIFICACIÓN DE AMENAZAS ......................................................... 46

1.4.2 IDENTIFICACIÓN DE VULNERABILIDADES ......................................... 47

1.4.3 IDENTIFICACIÓN DE RIESGOS ............................................................ 48

1.4.4 ANÁLISIS DE RIESGOS ......................................................................... 51

1.4.4.1 Escalas de Medición del Riesgo ..................................................... 51

1.4.4.2 Categoría del Riesgo ...................................................................... 51

1.4.4.3 Evaluación de Riesgos .................................................................... 51

CAPÍTULO II ......................................................................................... 56

ELABORACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO ........ 56

2.1 ESTUDIO INICIAL ....................................................................................... 56

2.1.1 CLÁUSULA 4: CONTEXTO DE LA ORGANIZACIÓN ............................. 59

2.1.1.1 Entendimiento a la Organización y su Contexto .............................. 59

2.1.1.2 Entendimiento de las Necesidades y Expectativas de las Partes

Interesadas ..................................................................................................... 59

2.1.1.3 Alcance del Plan de Continuidad del Negocio................................. 60

2.2 DEFINICIÓN DE REQUERIMIENTOS Y ESTRATEGIA ............................. 61

2.2.1 CLÁUSULA 5: LIDERAZGO .................................................................... 61

2.2.1.1 Liderazgo y Compromiso ................................................................ 61

2.2.1.2 Compromiso de la Gerencia ............................................................ 62

X

2.2.1.3 Política de Continuidad del Negocio ............................................... 62

2.2.1.4 Roles y Responsabilidades ............................................................. 64

2.2.2 CLÁUSULA 7: APOYO ............................................................................ 66

2.2.2.1 Recursos ......................................................................................... 66

2.2.2.2 Competencia ................................................................................... 66

2.2.2.3 Toma de Conciencia y Comunicación ............................................. 67

2.3 OBJETIVOS DEL PLAN DE CONTINUIDAD .............................................. 68

2.3.1 CLÁUSULA 6: PLANEACIÓN ................................................................. 68

2.3.1.1 Objetivos ......................................................................................... 68

2.3.1.2 Factores Críticos de Éxito ............................................................... 68

2.4 METODOLOGÍA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL

NEGOCIO .............................................................................................................. 69

2.4.1 CLÁUSULA 8: OPERACIÓN ................................................................... 71

2.4.1.1 Análisis de Impacto del Negocio y Evaluación del Riesgo .............. 71

2.4.1.2 Estrategia de Continuidad del Negocio ........................................... 81

2.4.1.3 Procedimientos para Continuidad del Negocio [20] ........................ 83

2.4.1.4 Ejercicios y Ensayos ....................................................................... 89

2.4.2 CLÁUSULA 9: EVALUACIÓN DEL DESEMPEÑO .................................. 91

2.4.2.1 Monitoreo y Medición ...................................................................... 91

2.4.2.2 Análisis y Evaluación ...................................................................... 91

2.4.2.3 Auditoría Interna .............................................................................. 92

2.4.2.4 Revisión Gerencial .......................................................................... 92

2.4.3 CLÁUSULA 10: MEJORAMIENTO .......................................................... 93

2.4.3.1 No Conformidad y Acción Correctiva .............................................. 93

2.4.3.2 Mejora Continua .............................................................................. 93

XI

2.5 GENERACIÓN DEL DOCUMENTO ............................................................ 94

CAPÍTULO III ........................................................................................ 95

APLICACIÓN DEL PLAN DE CONTINUIDAD ...................................... 95

3.1 RECOPILACIÓN DE DATOS DEL CASO DE APLICACIÓN ...................... 95

3.1.1 GESTIÓN DE INCIDENTES .................................................................... 96

3.1.2 GESTIÓN DE CENTRO DE SERVICIO .................................................. 98

3.1.3 GESTIÓN DE CONFIGURACIONES .................................................... 101

3.1.4 GESTIÓN DE NIVELES DE SERVICIO ................................................ 103

3.2 APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO ................ 106

3.2.1 ESCENARIOS DE APLICACIÓN DEL PLAN DE CONTINUIDAD DEL

NEGOCIO ......................................................................................................... 117

3.2.2 CRONOGRAMA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL

NEGOCIO ......................................................................................................... 125

3.3 ANÁLISIS DE RESULTADOS ................................................................... 126

3.3.1 ACEPTACIÓN, COLABORACIÓN Y CUMPLIMIENTO DEL PLAN DE

CONTINUIDAD DEL NEGOCIO ....................................................................... 129

CAPÍTULO IV ...................................................................................... 131

CONCLUSIONES Y RECOMENDACIONES ...................................... 131

4.1 CONCLUSIONES ..................................................................................... 131

4.2 RECOMENDACIONES ............................................................................. 132

BIBLIOGRAFÍA .................................................................................................... 133

ANEXOS .............................................................................................................. 137

XII

ÍNDICE DE FIGURAS

Figura 1. Estructura Organizacional de EQUIVIDA S.A. ............................................. 3

Figura 2. Modelo de Negocio de EQUIVIDA S.A. [3] .................................................. 6

Figura 3. Mapa de Procesos de EQUIVIDA S.A. [3] .................................................... 7

Figura 4. Posicionamiento del Departamento de TI ................................................. 23

Figura 5. Estructura Organizacional del Departamento de TI.................................... 24

Figura 6. Topología de Red de EQUIVIDA S.A. ........................................................ 40

Figura 7. Ubicación del Departamento de TI ............................................................. 43

Figura 8. Categoría del Riesgo .................................................................................. 51

Figura 9. Cláusulas de la ISO 22301 ........................................................................ 58

Figura 10. Ciclo PDCA Aplicado al Proceso de la Continuidad del Negocio ............. 70

Figura 11. Escala de Criticidad .................................................................................. 72

Figura 12. Gestión de Incidentes ............................................................................... 74

Figura 13. Gestión de Centro de Servicios ................................................................ 75

Figura 14. Gestión de Configuraciones ..................................................................... 76

Figura 15. Gestión de Niveles de Servicio ................................................................ 77

Figura 16. Relación entre RPO, RTO, WRT y MTD [17] ........................................... 79

XIII

ÍNDICE DE TABLAS

Tabla 1. Línea de Negocio de EQUIVIDA S.A............................................................. 5

Tabla 2. Seguros para Personas [4] ............................................................................ 8

Tabla 3. Buen Viaje - Seguro para Viaje [4] ................................................................ 9

Tabla 4. Seguro de Becario Senescyt [4] .................................................................. 12

Tabla 5. Seguros para Empresas [4] ......................................................................... 13

Tabla 6. Familia Empresarial [4] ................................................................................ 15

Tabla 7. Empresas Amigas [4] .................................................................................. 16

Tabla 8. Resumen de Productos y Servicios de EQUIVIDA S.A ............................... 18

Tabla 9. Análisis FODA de EQUIVIDA S.A. .............................................................. 20

Tabla 10. Matriz FODA de EQUIVIDA S.A. ............................................................... 21

Tabla 11. Análisis FODA del Departamento de TI ..................................................... 25

Tabla 12. Matriz FODA del Departamento de TI ....................................................... 26

Tabla 13. Catálogo de Servicios de TI ...................................................................... 27

Tabla 14. Listado de Aplicaciones ............................................................................. 33

Tabla 15. Listado de Desktops y Laptops ................................................................. 36

Tabla 16. Listado de Switches ................................................................................... 37

Tabla 17. Listado de Servidores ................................................................................ 38

Tabla 18. Listado del Personal del Departamento de TI ........................................... 41

Tabla 19. Resumen de Activos de TI ........................................................................ 44

Tabla 20. Identificación de Amenazas ....................................................................... 46

Tabla 21. Identificación de Vulnerabilidades ............................................................. 47

Tabla 22. Identificación de Riesgos ........................................................................... 49

Tabla 23. Matriz Escala de Probabilidad x Impacto ................................................... 51

Tabla 24. Evaluación del Riesgo ............................................................................... 52

Tabla 25. Orden para Mitigar las Vulnerabilidades .................................................... 54

Tabla 26. Factores Críticos de Éxito ......................................................................... 69

Tabla 27. Identificación de Procesos Críticos............................................................ 72

Tabla 28. Análisis de Impacto del Negocio ............................................................... 78

Tabla 29. Tiempos de Recuperación ......................................................................... 80

XIV

Tabla 30. Escenarios de Recuperación [18] .............................................................. 82

Tabla 31. Datos del Caso de Aplicación .................................................................... 95

Tabla 32. Estado de las Medidas de Defensa – P. Gestión de Incidentes ................ 97

Tabla 33. Estado de las Medidas de Defensa – P. Gestión de Centro de Servicio . 100

Tabla 34. Estado de las Medidas de Defensa – P. Gestión de Configuraciones .... 102

Tabla 35. Estado de las Medidas de Defensa – P. Gestión de Niveles de Servicio 105

Tabla 36. Medidas de Defensa de Gestión de Incidentes ....................................... 106

Tabla 37. Medidas de Defensa de Gestión de Centro de Servicio .......................... 106

Tabla 38. Medidas de Defensa de Gestión de Configuraciones.............................. 107

Tabla 39. Medidas de Defensa de Gestión de Niveles de Servicio ......................... 108

Tabla 40. Escenario 1: Mal Funcionamiento de los Equipos ................................... 117

Tabla 41. Escenario 2: Fallas de Software .............................................................. 118

Tabla 42. Escenario 3: Fallas de las Aplicaciones .................................................. 118

Tabla 43. Escenario 4: Fallas de los Servicios Contratados (ISP) .......................... 119

Tabla 44. Escenario 5: Fallas Humanas y Organizacionales .................................. 120

Tabla 45. Escenario 6: Desastres Naturales ........................................................... 123

Tabla 46. Escenario 7: Fallas Eléctricas ................................................................. 124

Tabla 47. Cronograma de Aplicación ...................................................................... 125

Tabla 48. Factor Tiempo ......................................................................................... 126

Tabla 49. Factor Financiero..................................................................................... 127

Tabla 50. Indicadores y Nivel de Cumplimiento del BPC ........................................ 129

Tabla 51. Resultados que Garantizan la Continuidad de las Actividades ............... 130

XV

PRESENTACIÓN

Hoy en día muchas organizaciones dependen de la tecnología para el desarrollo de

sus actividades diarias, lo que implica que pueden tener situaciones que provoquen

interrupciones. De esta manera un Plan de Continuidad del Negocio juega un rol

importante en una organización, ya que de este se establecen las estrategias

necesarias para reducir al máximo los riesgos que pueden provocar interrupciones en

las actividades que se llevan a cabo en el negocio.

El objetivo principal de un Plan de Continuidad del Negocio es reducir el impacto de

cualquier imprevisto que afecte las operaciones del negocio. Para la ejecución de este

proyecto se toma como referencia la Norma ISO 22301:2012, la cual provee una guía

completa para el desarrollo y aplicación del Plan de Continuidad en una organización.

Para una correcta elaboración del Plan de Continuidad se debe conocer a profundidad

el caso de estudio, y así aplicar las cláusulas de la norma las cuales deben alinearse

con los objetivos del negocio, de esta manera se verán reflejados los resultados

esperados el finalizar la aplicación del Plan de Continuidad.

El presente documento se encuentra estructurado de la siguiente manera, en el

Capítulo I se realiza el reconocimiento organizacional teniendo como objetivo principal

conocer la situación actual tanto de la organización como del Departamento de TI.

En el Capítulo II tomando como base la Norma ISO 22301:2012 se desarrolla el Plan

de Continuidad enfocándose en las cláusulas que presenta la norma.

En el Capítulo III se describen los escenarios donde toma lugar la aplicabilidad del Plan

de Continuidad a través de los procedimientos detallados para posteriormente obtener

el análisis de resultados.

Finalmente en el Capítulo IV se describen las conclusiones y recomendaciones

obtenidas una vez culminado el desarrollo y aplicación del Plan de Continuidad.

1

CAPÍTULO I

RECONOCIMIENTO ORGANIZACIONAL

En este capítulo se realizará una descripción general de la empresa EQUIVIDA S.A.,

y las respectivas funciones del departamento de tecnología en donde se aplicará el

Plan de Continuidad del Negocio.

1.1 DESCRIPCIÓN DE LA ORGANIZACIÓN

1.1.1 LA ORGANIZACIÓN EQUIVIDA

EQUIVIDA S.A. es una empresa que forma parte del Grupo Futuro y se ubica como

líder en el mercado de seguros de vida tanto individual como colectivo.

El Grupo Equinoccial y Suramericana de Seguros de Colombia, establecen en el

Ecuador una sociedad anónima cuyo principal objetivo social fue la operación en el

campo de los seguros de vida y decidieron llamar EQUIVIDA a la nueva compañía. Es

así que el 09 de mayo de 1994 nace oficialmente EQUIVIDA S.A., que funcionó en el

edificio de Seguros Equinoccial empresa que también pertenece al Grupo Futuro. Se

utilizó el sistema AS-400 para el manejo de las pólizas y se trabajó con computadores

personales rentados, lo que motivó a crear el Departamento de Sistemas.

EQUIVIDA S.A. cuenta con el respaldo de importantes reaseguradoras de prestigio

mundial como son: Swiss Re, Hannover Rückversicherung AG, General Reinsurance

AG (Gen Re), Mapfre Re, entre otras, con una larga trayectoria en el mercado nacional

e internacional. Estas empresas cuentan con una fuerte solidez financiera y

principalmente poseen una flexibilidad comercial que nos permite acceder a nuevos

mercados. Este respaldo le permite a la empresa brindar a los clientes la tranquilidad,

de que en caso de siniestro, estos serán cubiertos inmediatamente y sin

inconvenientes [1].

2

1.1.2 PRESENCIA DE EQUIVIDA EN ECUADOR

EQUIVIDA S.A. es una empresa con 20 años en Ecuador, brindando solidez y

confianza a sus clientes con soluciones de protección que buscan proveer una vida

plena, tranquila y libre de preocupaciones.

En estas dos décadas EQUIVIDA S.A. ha forjado un equipo con talento y de alto

desempeño, ético y responsable. Preocupados por el ser humano detrás de cada

colaborador, EQUIVIDA S.A. se compromete en impulsar su desarrollo personal y

profesional así como ir mejorando las condiciones laborales permanentemente. Por

estas y otras razones EQUIVIDA S.A. se ha merecido también el reconocimiento de

ser una de las mejores empresas para trabajar en Ecuador [1].

1.1.3 ESTRUCTURA ORGANIZACIONAL DE EQUIVIDA S.A.

3

Fig

ura

1. E

str

uc

tura

Org

an

iza

cio

nal

de

EQ

UIV

IDA

S.A

.

Fu

en

te:

EQ

UIV

IDA

S.A

. [2

]

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

4

1.1.4 ESTRATEGIA EMPRESARIAL DE EQUIVIDA S.A.

La empresa EQUIVIDA S.A. posee un plan estratégico [3], del cual a continuación se presentan los siguientes elementos:

· Misión

La razón de ser de Equivida es descubrir las incertidumbres de nuestros clientes

y del mercado y ofrecer soluciones de protección y respaldo que sean

consideradas valiosas.

· Visión

Ser tu elección de respaldo y tranquilidad en la vivencia de una vida plena.

· Valores Corporativos

o Respetamos a los demás

o Compromiso con la sostenibilidad del medio ambiente

o Autosuperación

o Generosidad y Solidaridad

o Actuamos éticamente

o Damos lo mejor de nosotros

o Humildad

· Maniobras clave

o Colaboradores talentosos y enamorados de EQUIVIDA S.A.

o Profundo conocimiento de nuestros clientes y construcción de soluciones

o Venta consultiva

o Procesos eficientes enfocados en el cliente

o Herramientas tecnológicas flexibles

5

1.1.4.1 Línea de Negocio de EQUIVIDA S.A.

Dentro del campo de los seguros de vida, EQUIVIDA S.A. básicamente está dirigida a

dos líneas de negocio, seguros de vida para personas y seguros de vida para

empresas (ver Tabla 1).

Tabla 1. Línea de Negocio de EQUIVIDA S.A.

Personas Empresas

- Individual

- Familia empresarial

- MGA

- Corporativo

- Masivo tradicional

Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa

Las razones principales de la existencia de estas dos líneas de negocio en EQUIVIDA

S.A. son por las necesidades de los clientes, ya que estas difieren tanto para

individuales como para empresas y además los enfoques y las estrategias son

especializadas para cada una de las líneas.

EQUIVIDA S.A. a partir de su planeación estratégica se plantea que la meta hasta el

2017 sea tener su línea de negocio de manera equitativa, es decir, 50% en individual

y 50% en corporativo.

· Modelo de Negocio de EQUIVIDA S.A.

EQUIVIDA S.A. cuenta con un equipo de colaboradores que ayudan a la conformación

de líderes internos con alto desempeño, para mantener a la compañía como líder en

el mercado, con base en la propuesta de valor [3].

EQUIVIDA S.A. transforma las incertidumbres en seguridad por medio de:

· Detección/Creación de incertidumbres (necesidades)

· Gestión del cliente

· Generación de ofertas innovadoras

· Gestión de procesos claves

· Contar con una plataforma tecnológica flexible

6

Fig

ura

2.

Mo

de

lo d

e N

eg

oc

io d

e E

QU

IVID

A S

.A.

[3]

7

·

Ma

pa

de

Pro

ces

os

de

EQ

UIV

IDA

S.A

.

Fig

ura

3. M

apa

de

Pro

ce

sos

de

EQ

UIV

IDA

S.A

. [3

]

MP

– 0

10

MA

RK

ET

ING

MP

– 0

20

GEST

ION

CO

MER

CIA

L

MP

– 0

40

SER

VIC

IO A

L

CLIE

NT

E Y

CA

NA

LES

MP

– 0

30

GEST

ION

DE

CO

NT

RA

TO

S

MP

– 1

20

GEST

ION

CO

NT

AB

LE

-FIN

AN

CIE

RA

MP

– 1

30

GEST

ION

DE R

IESG

O

TEC

NIC

O

MP

– 1

10

GEST

ION

DEL

TA

LEN

TO

HU

MA

NO

MP

– 1

40

GEST

ION

DE

PR

OV

EED

OR

ES

MP

– 1

50

TEC

NO

LO

GIA

DE

INFO

RM

AC

ION

MP

– 1

60

AP

OY

O L

OG

IST

ICO

MP

– 2

10

GEST

ION

EST

RA

TEG

ICA

MP

– 2

20

GEST

ION

DE L

A

CA

LID

AD

Y

MEJO

RA

MIE

NT

O

MER

CA

DO

Y

CLIE

NT

ES

PR

OC

ES

OS

PR

IMA

RIO

S

PR

OC

ES

OS

DE

AP

OY

O

PR

OC

ES

OS

DE

GES

TIO

N

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

8

1.1.4.2 Portafolio de Productos de EQUIVIDA S.A.

EQUIVIDA S.A. presenta sus productos de acuerdo a las necesidades de sus clientes,

por lo que se encuentran divididos de la siguiente manera:

· Personas

· Empresas

· Familia empresarial

· Beneficios con empresas amigas

· Seguros para Personas

Tabla 2. Seguros para Personas [4]

NOMBRE DEL

PRODUCTO

COBERTURA

PRINCIPAL

EDAD DEL

ASEGURADO

COBERTURAS

ADICIONALES

FORMAS DE

PAGO

Plan de

Educación

Muerte por cualquier

causa

18 - 69 años Muerte y/o

desmembración

accidental

Incapacidad total y

permanente

Enfermedades graves

Gastos médicos por

Accidente

Renta Diaria por

Hospitalización

Asistencia en viajes

Exequial

Mensual

Trimestral

Semestral

Anual

Futuro Pleno 0 - 69 años

Protección

Familiar

18 - 69 años

Accidentes

Personales

Muerte y/o

desmembración por

accidente

Incapacidad total y

permanente

Gastos médicos por

Accidente

Renta Diaria por

Hospitalización


9

Tabla 3. Buen Viaje - Seguro para Viaje [4]

NOMBRE DEL PLAN TOTAL TURISTA PLUS TURISTA INTELIGENTE

Ideal para

Para Visa

Schengen

Viajes a Europa

Protección Total

Ecuador

Ejecutivos Alta

Gerencia dentro y

fuera del Ecuador

Viajeros

Frecuentes

Ejecutivos dentro

y fuera del

Ecuador

Cobertura Smart al

mejor precio dentro

y fuera del Ecuador

Asistencia médica Hasta $ 50.000 Hasta $ 20.000 Hasta $ 15.000 Hasta $ 12.500

Consulta urgencia médica

(incluye caso de

preexistencias)

Hasta $ 1.500 Hasta $ 1.000 Hasta $ 1.000 Hasta $ 1.000

Pérdida de equipaje ($ 50

por Kg.) Hasta $ 1.500 Hasta $ 1.200 Hasta $ 900 Hasta $ 600

Reembolso de gastos por

vuelo cancelado o

demorado

Hasta $ 1.500 Hasta $ 1.000 Hasta $ 750 Hasta $ 600

Seguro de vida por muerte

accidental Hasta $ 10.000 Hasta $ 10.000 Hasta $ 10.000 Hasta $ 2.500

Gastos médicos u

hospitalarios por accidente

en el exterior


Gastos médicos u

hospitalarios por

enfermedad en el exterior


Gastos de medicamentos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 1.000 Hasta $ 750

Exámenes diagnósticos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500

Gastos odontológicos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500

Ambulancia terrestre Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500

Localización y transporte

de equipaje y efectos

personales

Sí Sí Sí Sí

Gastos por demora de

equipaje a partir de 24

horas

No No No No

10



equipaje a partir de 48

horas

Hasta $ 500 Hasta $ 400 Hasta $ 250 Hasta $ 200


equipaje superior a 8 días Hasta $ 1.000 Hasta $ 600 Hasta $ 500 Hasta $ 400

Indemnización

complementaria a la línea

aérea por pérdida de

equipaje ($50 por Kg.

registrado)

Hasta $ 1.500 Hasta $ 1.200 Hasta $ 900 Hasta $ 600

Anticipo/Préstamo de

dinero (solo en el exterior) Hasta $ 5.000 Hasta $ 2.000 Hasta $ 1.000 Hasta $ 500

Traslado Sanitario

(repatriación de enfermo o

accidentado)

Sí Sí Sí Sí

Traslado del acompañante Boleto Boleto Boleto Boleto

Repatriación de menores

(sin exclusiones) Sí Sí Sí Sí

Repatriación de restos

mortales Sí Sí Sí Sí

Traslado ambulancia

aérea Sí Sí Sí Sí

Regreso anticipado por

siniestro grave en el

domicilio (incendio o robo)

No No No No

Seguro de vida por muerte

cualquier causa No No No No

Terapia de recuperación

física Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500

Gastos de hotel por

convalecencia máximo 10

días

Hasta $ 150 por

día

Hasta $ 100 por

día

Hasta $ 100 por

día Hasta $ 75 por día

Traslado del acompañante

para Terapias Boleto Boleto Boleto Boleto

11


Gastos de estancia para

acompañante 10 días

Hasta $ 150 por

día

Hasta $ 100 por

día

Hasta $ 100 por

día Hasta $ 75 por día

Asistencia PC. On Line Sí Sí Sí Sí

Informaciones previas de

viaje Sí Sí Sí Sí

Concierge Buen Viaje

(informaciones de

restaurantes, shows)

Sí Sí Sí Sí

Mi camino seguro Sí Sí Sí Sí

Interrupción del viaje por

muerte de un familiar

(Regreso anticipado)

Sí Sí Sí Sí

Transmisión de mensajes

urgentes Sí Sí Sí Sí

Atención en 4 idiomas Sí Sí Sí Sí

Adelanto de Fianza $ 5.000 $ 2.000 $ 1.000 $ 500

Asistencia Legal $ 5.000 $ 2.000 $ 1.000 $ 500

Asistencia en caso de

robo o extravío de

documentos

No No No No

Transferencia de fondos No No No No

Orientación legal

telefónica (En caso de

haber sufrido robo o

sufrido un accidente)

No No No No

Hogar protegido Hasta $ 150 Hasta $ 200 Hasta $ 100 Hasta $ 100


12

Tabla 4. Seguro de Becario Senescyt [4]

BECARIO SENESCYT

DESCRIPCIÓN DEL PRODUCTO

El seguro Becario Senescyt no paga deducible, cuenta con Asistencia Médica mundial 24/7 durante todo el

año y con un costo único de $1.200 dólares al año.

COBERTURA

Asistencia médica y hospitalaria

Consulta por urgencia médica (incluye enfermedades existentes). Hasta $ 1.000

Gastos médicos u hospitalarios por Accidente. $ 40.000

Gastos médicos u hospitalarios por Enfermedad. $ 40.000

Gastos de medicamentos de hospitalización. Sí

Gastos de medicamentos. $ 2.000

Gastos Odontológicos. $ 1.000

Vuelos demorados y pérdida de equipajes

Reembolso de gastos por vuelo cancelado o demorado por más de 6 horas. $ 200

Localización y transporte de equipaje. Sí

Gastos por demora de equipaje a partir de 24 horas. $ 500

Indemnización por pérdida de equipaje ($ 40 por Kg. registrado). $ 1.300

Traslados y repatriaciones

Traslado de un acompañante en caso de enfermedad o accidente. Boleto

Gastos de transporte y repatriación sanitaria. Hasta $ 40.000

Repatriación de restos mortales. $ 40.000

Regreso anticipado por incendio o robo en el domicilio. Siempre que no haya un

responsable viviendo en Ecuador.

Boleto

Seguro de vida por muerte por cualquier causa. $ 20.000

Coberturas de recuperación y terapias

Gastos de hotel por convalecencia máximo 10 días. Hasta $ 300

Gastos de estadía para acompañante 10 días. Hasta $ 300

Coberturas Complementarias para el viaje

Interrupción del viaje por muerte de un familiar (Regreso anticipado). Boleto

Transmisión de mensajes urgentes. Sí

Atención en 4 idiomas (Español, Inglés, Portugués, Francés). Sí

Adelanto de fianza. $ 3.000

Asistencia legal. $ 2.000

Asistencia en caso de robo o extravío de documentos. Sí

Transferencia de fondos. Hasta $ 1.000


13

· Seguros para Empresas

Tabla 5. Seguros para Empresas [4]

PRODUCTO DESCRIPCIÓN CARACTERÍSTICAS COBERTURA

Se

gu

ro d

e v

ida

El seguro de vida corporativo

o grupal brinda protección

los colaboradores y sus

beneficiarios para que en

caso de fallecimiento reciban

la suma asegurada

contratada.

Este producto no genera

intereses ni ahorro, y no

permite solicitar préstamos.

Plan 1 año:

· Edad de

Contratación:

Personas desde 18

hasta 65 años de edad.

· Edad de

Permanencia: Este

seguro da cobertura

hasta los 70 años

cumplidos.

· Forma de Pago:

Mensual

· Cobertura Mínima:

$50.000

· Prima Mínima Anual:

$180

Plan 5 - 10 - 20 años:

· Edad de

Contratación:

Personas desde 18


· Edad de

Permanencia: Este

seguro da cobertura

hasta los 70 años

cumplidos.

· Muerte por cualquier

causa

Se puede contratar

protección adicional con

más coberturas que

mejoran el seguro

· Muerte y/o

desmembración

accidental

· Incapacidad total y

permanente

· Enfermedades

graves

· Gastos médicos por

Accidente

· Renta Diaria por

Hospitalización

· Asistencia en viajes

· Sepelio

14


· Forma de Pago:

Anual, semestral,

trimestral o mensual.

· Cobertura Mínima:

$40.000

· Prima Mínima Anual:

$180

Vid

a -

Des

gra

vam

en

El desgravamen es un

seguro para personas que

contraen una deuda,

mediante el cual, en caso de

muerte del deudor, Equivida

cubre la misma hasta el

monto contratado.




· Edad de Contratación:

Personas desde 18


· Este seguro protege

al contratante en

caso de muerte del

deudor asegurado,

durante el plazo del

crédito concedido.

Se puede contratar


más coberturas que

mejoran el seguro.


permanente

· Exención de pago de

primas por

Incapacidad

· Desempleo e

Incapacidad

· Cobertura de

Préstamos

· Sepelio

Acc

ide

nte

s P

ers

on

ale

s

Protege a empleados y

familias en caso de muerte a

consecuencia de un

accidente.

Cuenta con coberturas

adicionales que permiten

extender la protección en

caso de sufrir una invalidez

total y permanente, recibir un




· Edad de

Contratación:

Personas desde 18


· Muerte y/o

desmembración por

accidente

Se puede contratar


más coberturas que

mejoran el seguro

15


reembolso de gastos

médicos o una renta diaria

por hospitalización, siempre

que las mismas estén

originadas por un accidente.

· Forma de Pago:

Mensual


permanente por

accidente o

enfermedad (no pre-

existente)

· Gastos médicos por

Accidente

· Renta Diaria por

Hospitalización

· Asistencia en viajes

· Sepelio por

accidente


· Familia Empresarial

Tabla 6. Familia Empresarial [4]

Productos Vida Familiar y Salud Familiar

Descripción Programa con seguros voluntarios e individuales, a los que el colaborador podrá acceder a

través de la organización como complemento a los beneficios de ley.

Características

Beneficios para la empresa:

· Cubrir con beneficios adicionales al colaborador y su familia.

· Incrementar la fidelidad y bienestar del personal.

· Al ser un convenio entre el colaborador y EQUIVIDA S.A., el mismo no implica ninguna

responsabilidad posterior para la organización.

· Oportunidad de aprovechar campañas de salud preventiva u otras, que EQUIVIDA S.A.

ofrece para las empresas asociadas, sin costo alguno.

Beneficios para el colaborador y su familia:

· Excelentes coberturas de seguros de vida, renta familiar, incapacidad para trabajar,

anticipo por enfermedad terminal y servicio exequial.

· Precios únicos en el mercado, gracias a una alianza entre la empresa y EQUIVIDA S.A.

· Pago rápido de siniestros (5 días hábiles).

· Opción de contratar coberturas para cónyuge, hijos, padres y hermanos.

· Fácil contratación, no se requiere exámenes médicos.

· Protección internacional.

16

Productos Vida Familiar y Salud Familiar

Cobertura

· Seguro de vida.

· Renta Familiar mensual por muerte por cualquier causa.

· Incapacidad total y permanente por accidente.

· Anticipo por enfermedad terminal.

· Servicio exequial.

No cubre

La Compañía no cubre el suicidio del Asegurado durante los dos (2) primeros años de haber

estado amparado ininterrumpidamente.


· Beneficios con Empresas Amigas

Tabla 7. Empresas Amigas [4]

SOLUCIONES DESCRIPCIÓN COBERTURA

Clientes

Produbanco

Tarjeta Blindada: es una solución que asegura la

tarjeta de débito Produbanco contra robo,

clonación y muchas más coberturas que puedes

revisarlas abajo en el apartado.

· Uso fraudulento

· Clonación

· Atraco y/o Robo

· Uso indebido de PIN

· Skimming en cajero (robo de

información de tarjeta)

· Hurto luego de 30 minutos de

retiro de dinero del cajero

· Daños accidentales a las compras

· Compras fraudulentas en

establecimientos

· Gastos médicos por asalto en

cajero (límite $500)

· Muerte accidental en cajero (límite

$3,500)

· Asistencia Exequial por muerte

por cualquier causa (límite $2,000)

· Gastos por robo de documentos y

llaves (límite $100)

· Asistencia legal vía telefónica

· Agregado anual hasta $1,200

17

SOLUCIONES DESCRIPCIÓN COBERTURA

Clientes

Transferunión

Este Producto en convenio con

TRANSFERUNION permite recuperar su dinero

en caso de robo hasta 2 horas posteriores al

cobro. Las personas protegidas por este contrato

son las personas naturales que sean clientes

titulares o beneficiarios de las remesas o pagos

de la red de servicios activa de Transferunion

que retiren dinero en efectivo y que hayan

aceptado voluntariamente adherirse a esta

póliza.

Los límites de edad son a partir del día que

cumplan 18 años de edad y hasta el día que

cumplan 70 años de edad. A su vez el límite

temporal es de 1 evento cada 6 meses.

En caso de ser afectado, se debe avisar del

siniestro hasta 24 horas posteriores al robo de

dinero y hasta 30 días en caso de muerte

accidental como consecuencia del evento.

· Muerte y/o desmembración

accidental

· Atraco por retiro en ventanilla

(caja)

· Reembolso por pérdida de

documentos por atraco

· Orientación legal telefónica por

atraco

· Ambulancia por atraco

· Deducible de la cobertura de

atraco por retiro en ventanilla:

10% del monto asegurado

Clientes Banco

Finca

Tarjeta Blindada: es una solución que asegura la

tarjeta de débito MASTERCARD BANCO FINCA

contra robo, clonación y muchas más coberturas

que puedes revisarlas abajo en el apartado.

· Atraco en cajero

· Robo y uso fraudulento de tarjeta

o Uso fraudulento por robo o

pérdida de la tarjeta

o Uso fraudulento por falsificación

(clonación) de la tarjeta:

§ adulteración del plástico

§ adulteración de banda

magnética.

· Uso fraudulento por P.O.S.

· Muerte y/o desmembración

accidental

Clientes

Artefacta

Planes diseñados para cubrir accidentes

personales o enfermedades graves y

complementados con un seguro exequial para

estar protegidos de la mejor forma ante estos

riesgos.


18

En resumen, EQUIVIDA S.A. es un negocio financiero de seguros que brinda

protección y seguridad para personas, siguiendo su línea de negocio, seguros de vida

individuales y colectivos (ver Tabla 8).

Tabla 8. Resumen de Productos y Servicios de EQUIVIDA S.A

Tipo Número de

Productos

Productos y

Servicios Descripción

Individual 9

Plan de Educación Seguro de vida más fondo para una mejor

educación

Futuro Pleno Seguro de vida más fondo para gozar de un retiro

placentero

Accidentes

Personales

Seguro de vida para personas activas y de

aventura

Seguro para viaje Cobertura de asistencia mundial

Becario Senescyt Seguro que cumple con los requisitos para

obtener beca en el Senescyt

Clientes

Produbanco Solución para asegurar la tarjeta de débito

Clientes

Transferunion Recuperación del dinero en caso de robo

Clientes Banco

Finca

Solución para asegurar la tarjeta de débito

Mastercard

Clientes Artefacta Plan para cubrir accidentes personales o

enfermedades graves

Colectivo 6

Protección Familiar Seguro de vida para dar estabilidad y tranquilidad

a la familia

Seguro de Vida Protección para colaboradores y beneficiarios

Vida -

Desgravamen Seguro para personas que contraen una deuda

Accidentes

Personales

Seguro para colaboradores en caso de un

accidente

Vida Familiar Seguro de vida voluntario para colaboradores

Salud Familiar Planes voluntarios de medicina ambulatoria para

colaboradores


19

1.2 ESTUDIO DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN

1.2.1 SITUACIÓN ACTUAL DE EQUIVIDA S.A.

Actualmente la empresa se encuentra regulada por la Superintendencia de Bancos del

Ecuador, lo que mantiene a la empresa en la obligación de cumplir todas las

normativas y brindar un servicio de calidad. EQUIVIDA S.A se encuentra más de 20

años en el mercado de los seguros de vida.

Internamente la empresa se maneja por la gestión de los diferentes departamentos

que se encuentran dentro de la misma. EQUIVIDA S.A. cumple todas las regulaciones

de las leyes ecuatorianas en lo que se refiere a los códigos laborales brindando un

ambiente laboral adecuado para sus empleados.

Con el objetivo de identificar el estado de la situación actual de EQUIVIDA S.A. se

procede a realizar un análisis FODA.

1.2.1.1 Análisis FODA de EQUIVIDA S.A.

Con el análisis FODA no solo se trata de identificar las fortalezas, debilidades,

oportunidades y amenazas, sino cómo generar valor para la empresa. En la Tabla 9

se muestra un análisis tanto interno como externo [5] para proceder con la matriz

FODA.

20

Tabla 9. Análisis FODA de EQUIVIDA S.A.

ANÁLISIS INTERNO

FORTALEZAS - Crear un gran ambiente laboral para

un mejor desempeño de las

actividades dentro de la empresa.

- Evaluar y mejorar los procesos de

contratación de Recursos Humanos.

- Incentivar una cultura organizacional,

tener valores y compromisos.

- Definir claramente las funciones y los

procesos que se llevan día a día dentro

de la empresa.

- Implementar jornadas de capacitación

para los trabajadores operativos,

administrativos y gerenciales de la

empresa.

1. Experiencia de 20 años en el campo de los seguros de vida.

2. Calidad en el servicio corporativo.

3. Creación de productos innovadores y de alta calidad.

4. Especialistas en el campo de seguros y reaseguros.

5. Contar con un buen ambiente para trabajar.

6. Formar parte del Grupo FUTURO.

DEBILIDADES

1. Carencia de capacitación para el personal en áreas específicas del

negocio.

2. Cartera por cobrar alta.

3. Falta de interés del personal en la participación de diferentes

actividades dentro de la empresa.

4. Falta de habilidades y capacidades clave.

ANÁLISIS EXTERNO

OPORTUNIDADES - Contar con un Plan Estratégico

adecuado para el funcionamiento de la

empresa.

- Implementar un plan de acción en el

caso de que los factores económicos,

sociales o políticos puedan afectar a la

empresa.

- Tomar en cuenta la participación

activa de los clientes externos para que

se puedan mejorar los productos y

servicios ofertados por la empresa.

- Mantener una constante renovación

de imagen dentro del mercado, para

poder tener una clara ventaja sobre los

competidores en los diferentes

segmentos del mercado.

1. Los clientes tienen la necesidad de adquirir los productos ofertados.

2. Productos únicos diferentes de la competencia.

3. Mejora continua de la calidad de nuestros productos.

4. Entrar a nuevos segmentos de mercado.

AMENAZAS

1. Reformas en las normativas de las entidades reguladoras.

2. Problemas internos en recursos humanos.

3. Constante entrada y salida de personal.

4. Productos con precios altos.

5. Entrada de nuevos competidores.


21

· Matriz FODA de EQUIVIDA S.A.

Tabla 10. Matriz FODA de EQUIVIDA S.A.

FODA

FORTALEZAS DEBILIDADES 1. Experiencia de 20 años en el campo de los seguros de vida. 2. Calidad en el servicio corporativo. 3. Creación de productos innovadores y de alta calidad. 4. Especialistas en el campo de seguros y reaseguros. 5. Contar con un buen ambiente para trabajar. 6. Formar parte del Grupo Futuro.

1. Carencia de capacitación para el personal en áreas específicas del negocio. 2. Cartera por cobrar alta. 3. Falta de interés del personal en la participación de diferentes actividades dentro de la empresa. 4. Falta de habilidades y capacidades clave.

OP

OR

TU

NID

AD

ES

1. Los clientes tienen la necesidad de adquirir los productos ofertados. 2. Productos únicos diferentes de la competencia. 3. Mejora continua de la calidad de nuestros productos. 4. Entrar a nuevos segmentos de mercado.

ESTRATEGIAS (FO) 1. Incrementar el mercado mediante publicidad en varios medios de comunicación para atraer a clientes potenciales. 2. Crear nuevas líneas de productos con el objetivo de ampliar el mercado para diferentes sectores. 3. Ofrecer mejores beneficios a los clientes para ser siempre su primera opción al momento de adquirir un producto.

ESTRATEGIAS (DO) 1. Fortalecer los productos y aprovechar que son únicos en el mercado. 2. Fortalecer los lazos de comunicación con los clientes. 3. Crear un plan de capacitación continuo para el personal de la empresa. 4. Consolidar un plan estratégico empresarial.

AM

EN

AZ

AS

1. Reformas en las normativas de las entidades reguladoras. 2. Problemas internos en recursos humanos. 3. Constante entrada y salida de personal. 4. Productos con precios altos. 5. Entrada de nuevos competidores.

ESTRATEGIAS (FA) 1. Aumentar la calidad de los productos ofertados. 2. Desarrollar actividades en conjunto para el personal para crear un ambiente laboral tranquilo. 3. Hacer un estudio y sectorización de mercado. 4. Reducir los costos de los productos para obtener un mayor número de clientes.

ESTRATEGIAS (DA) 1. Crear políticas internas para las actividades que se llevan a cabo dentro de la empresa. 2. Fomentar la ética y buen comportamiento entre el personal de la empresa. 3. Consolidar una fuerte estructura organizacional para gestionar la empresa de la mejor manera.


22

Una vez realizado el análisis, se debe tratar de explotar al máximo las oportunidades

para generar estrategias de valor, de esta mantener a la empresa como líder en el

mercado dentro de su línea de negocio. Adicionalmente es importante tener un control

sobre las amenazas con el fin de evitar acciones que perjudiquen a la empresa, ya que

estas podrían llegar a liquidar totalmente a la organización.

Es importante mencionar que las debilidades descritas anteriormente se pueden

convertir en fortalezas. En la Tabla 10 podemos notar que en base a este análisis se

plantean las diferentes estrategias para originar ventajas competitivas y preparar a la

empresa contra las amenazas tomando en cuenta los factores que las originan.

La empresa presenta problemas que pueden ser muy graves, uno de los principales

es la entrada y salida constante del personal. Otro de los problemas que pueden

afectar a largo plazo es que la empresa no controla de la mejor manera los problemas

internos, debido a que no cuentan con políticas bien definidas.

1.2.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI

La Gerencia de Innovación y Desarrollo Tecnológico equivalente al Departamento de

TI, es un área clave [6] dentro de EQUIVIDA S.A. ya que tiene responsabilidades que

básicamente se enfocan en cuatro campos que son: infraestructura, aplicaciones,

operaciones y servicio a los clientes internos tales como soporte al usuario, servicios

de red y mantenimiento preventivo.

1.2.2.1 Posicionamiento del Departamento de TI

El Departamento de TI en EQUIVIDA S.A. se encuentra principalmente bajo cuatro

dependencias: Junta de accionistas, Directorio, Gerencia General y Gerencia de

Administración Financiera en el caso de la toma de decisiones en los aspectos de

mejoras tecnológicas para la empresa.

23

Fig

ura

4.

Po

sic

ion

amie

nto

de

l D

epa

rtam

en

to d

e T

I

Fu

en

te:

EQ

UIV

IDA

S.A

. [2

]

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

24

1.2.

2.2

Est

ruct

ura

Org

aniz

acio

nal

del

Dep

arta

men

to d

e T

I

F

igu

ra 5

. Es

tru

ctu

ra O

rga

niz

ac

ion

al d

el

De

pa

rtam

en

to d

e T

I

QA

Serv

icio

s &

Ou

tsou

rcin

g (

Gabr

iela

Cast

ro)

Jefe

de

Ser

vici

os

de T

I (

Paul

ina O

viedo)

Jefe

de

Arq

uite

ctura

de S

erv

icio

s de

TI

Isve

l López

Direct

or G

est

ión E

stra

tégic

a y

O

per

ativ

a (

Jim

my

Rodr

iguez)

Anal

ista

s de

Gest

ión

E&

O(

Paúl

Casa

nova

Rony

Barr

a)

Arq

uite

cto d

e

Serv

icio

s de

In

form

ació

n (

Kath

erin

e

Flo

res)

Ger

enci

a d

e In

no

vaci

ón

y D

esar

rollo

T

ecn

oló

gic

o (

Mar

ìa Is

abel

Qu

iro

z)

PM

OP

or

Contr

ata

r

Arq

uite

cto d

e

Serv

icio

s de

A

plic

aci

ón

(Ja

vier

Chic

aiz

a)

Coord

inador

de

Se

rvic

ios

de

Infr

aest

ruct

ura

(J

osé

Alm

eida)

Gest

or

de S

erv

icio

s de T

I L

uis

Sandov

al

Dia

na C

ruz

Desa

rrolla

dor

Senio

r de

Ser

vici

os

TI

(R

osa

Leòn

Josè

Quin

tana

)

Coord

inador

de

Serv

icio

s de

C

om

uni

caci

ón

(

Cesa

r P

ico)

Arq

uite

cto d

e D

ato

s/D

BA

(Iv

an

Nobo

a)

Asi

stent

e d

e G

ere

nci

a T

I (

Monic

a S

alin

as)

Ofic

ial d

e S

egurida

d

Info

rmát

ica y

Aplic

ativ

a (

Ma

. Au

gust

a L

una)

Test

er

Pab

lo M

iño

Desa

rrolla

dor

de

Serv

icio

s T

I (

Joge O

rtiz

Juan A

ndré

s S

alc

edo

Karin

a Q

uim

biu

lco)

Gest

or

de P

roducc

ión

(G

ust

avo

Ord

iz)

Asi

stent

e d

e

Gere

nci

a T

I (

Andr

ea O

ña)

Pro

yect

ista

s (

Jorg

e O

rtiz

Pat

rici

a C

astr

oD

iana V

illac

isA

ndr

és

Pove

da

Die

go V

elo

z

Fu

en

te:

Grá

fico

pro

po

rcio

nado

po

r G

ab

riela

Ca

stro

, A

ud

itor

QA

de

EQ

UIV

IDA

S.A

25

1.2.2.3 Análisis FODA del Departamento de TI En la Tabla 11 se muestra un análisis interno y externo del Departamento de TI.

Tabla 11. Análisis FODA del Departamento de TI

ANÁLISIS INTERNO

FORTALEZAS - Enfatizar políticas de buen uso de

los recursos de tecnología para

mejorar el desempeño laboral de los

trabajadores del área de TI.

- Dar a conocer a los empleados el

funcionamiento de toda la empresa

para que tengan conocimiento de los

procesos y se pueda realizar un

mejor trabajo.

- Mantener la constante actualización

de los recursos tecnológicos,

teniendo en cuenta altos estándares

de calidad.

1. Adaptación a nuevas tecnologías.

2. Capacitación de calidad para el personal del Departamento de TI.

3. Personal competitivo capaz de brindar rápidas soluciones.

4. Contar con un Data Center.

DEBILIDADES

1. Falta personal para gestionar los aplicativos y equipos del

Departamento de TI.

2. El personal del Departamento de TI no tiene conocimiento completo

del negocio y actividades específicas del negocio.

3. Falta de un ERP para integrar todos los procesos que se llevan a cabo

dentro de la organización.

ANÁLISIS EXTERNO

OPORTUNIDADES - Mejorar la calidad de servicio a

todas las áreas del negocio.

- Tener un control sobre las

actividades que deben ser

administradas por el Departamento

de TI de la empresa.

- Llevar una correcta gestión de los

proveedores para tener un óptimo

control de calidad y así evitar fallas

en los productos y servicios que son

contratados.

1. Los clientes tanto internos como externos requieren usar los servicios

proporcionados por el Departamento de TI.

2. Los diferentes sectores laborales se centran en el Departamento de

TI.

3. Capacitación y adaptación de nueva infraestructura tecnológica.

AMENAZAS

1. El sitio Web no es gestionado por el Departamento de TI.

2. Fallas de los aplicativos y servicios que se encuentran tercerizados.


26

· Matriz FODA del Departamento de TI

Tabla 12. Matriz FODA del Departamento de TI

FODA

FORTALEZAS DEBILIDADES

1. Adaptación a nuevas tecnologías. 2. Capacitación de calidad para el personal del Departamento de TI. 3. Personal competitivo capaz de brindar rápidas soluciones. 4. Contar con un Data Center.

1. Falta personal para gestionar los aplicativos y equipos del Departamento de TI. 2. El personal del Departamento de TI no tiene conocimiento completo del negocio y actividades específicas del negocio. 3. Falta de un ERP para integrar todos los procesos que se llevan a cabo dentro de la organización.

OP

OR

TU

NID

AD

ES

1. Los clientes tanto internos como externos requieren usar los servicios proporcionados por el Departamento de TI. 2. Los diferentes sectores laborales se centran en el Departamento de TI. 3. Capacitación y adaptación de nueva infraestructura tecnológica.

ESTRATEGIAS (FO) 1. Fortalecer el servicio de soporte por medio de capacitaciones permanentes y atender de mejor manera al cliente interno. 2. Hacer inversiones en la mejora de las aplicaciones que se utilizan para llevar a cabo los procesos de la empresa de una manera eficiente. 3. Aprovechar las nuevas tecnologías para mejorar el servicio y los procesos.

ESTRATEGIAS (DO) 1. Planificar capacitaciones para que el personal tenga conocimiento de los procesos del negocio. 2. Centralizar los procesos en el Departamento de TI para gestionarlos de una mejor manera.

AM

EN

AZ

AS

1. El sitio Web no es gestionado por el Departamento de TI. 2. Fallas de los aplicativos y servicios que se encuentran tercerizados.

ESTRATEGIAS (FA) 1. Tener todos los servicios y aplicaciones dentro del Departamento de TI para evitar tercerizar y así no depender del tiempo de respuesta de los proveedores. 2. Desarrollar un plan de capacitación para gestionar las actividades dentro del Departamento de TI.

ESTRATEGIAS (DA) 1. Realizar informes semanales para evaluar los procesos que se realizan dentro del Departamento de TI. 2. Realizar evaluaciones de desempeño al personal del Departamento de TI para controlar el desarrollo de sus actividades diarias.


27

Con el análisis realizado al Departamento de TI se puede obtener un diagnóstico de la

situación actual. Esto permitirá permite tomar las mejores decisiones en base a los

elementos descritos en la Tabla 12, con el fin de mejorar las falencias del

departamento y posicionarlo en lo más alto dentro de la empresa.

Adicionalmente se deben reducir al máximo las debilidades [5] y proteger al

departamento de las amenazas que actualmente afectan a las operaciones. Las

estrategias descritas fortalecen no solo al departamento, sino también a la

organización entera ya que las funciones que lleva a cabo la empresa son en base al

Departamento de TI.

En consecuencia, se determina que el Departamento de TI no juega un papel

importante al momento de toma de decisiones tecnológicas, ya que depende de la

aprobación del departamento financiero ya sea para adquisición o mejora de la

infraestructura tecnológica de la empresa.

1.2.2.4 Catálogo de Servicios de TI

En la Tabla 13 se presenta el Catálogo de Servicios de TI con los que cuenta

EQUIVIDA S.A. [7].

Tabla 13. Catálogo de Servicios de TI

MACROPROCESO SUBPROCESO SERVICIO DE TI

Marketing

Gestión Comercial

Gestión de Contratos

Servicio al cliente y canales

Gestión del Cliente

Cliente Único

Consultas y reportes de listas reservadas

Administración de clientes jurídicos

Carga Automática de Vidas (ABM)

Carga Manual de Vidas (ABM)

Postventa

Gestión de atención al cliente

Retención - Mantenimiento

Rehabilitación

28


Rentabilización

Servicios en Línea

Chat

Mail

Portal Institucional

Micrositio Buen Viaje

Consulta en línea


Administración de Contratos

Empresas

Emisión Empresas

Endosos contractuales

Cancelación de pólizas

Renovación de pólizas

Administración de Contratos

Personas

Emisión VI

Emisión Personas

Cancelación manual

Cancelación automática

Rehabilitaciones

Endosos contractuales

Renovación manual

Renovación automática

AON

ABM

Administración de vidas

Certificados

Disponibilidad

Producto

Recaudo

Reportes

Ventas

Facturación

Facturación Empresas

Facturación Buen Viaje

Facturación Personas

Facturación Individual

Facturación VI

Anulación de Facturas

Rehabilitación de facturas

Certificados GPC

Eliminación de endosos

Certificados Buen Viaje

Recaudos Generación de débitos

29


Aplicación de débitos

Generación de planillas

Aplicación de planillas

Toma de ahorro

Caja y Cartera

Ingresos de caja

Aplicaciones

Aplicaciones de recibos

Aplicaciones de prima con ahorro

Aplicación masiva

Aplicación primas

Boletas de depósito

Cruce de endosos

Endosos gemelos

Cartera

Primas

Beneficios y Prestaciones

Reservas

Liquidaciones

Préstamos

Retiros y Rescates

Servicio al cliente y canales Comisiones

Fuerza de ventas

Agentes independientes

WSM

Brokers

Directores comerciales

Honorarios por uso de red

Gestión de Riesgo Técnico Gestión de Reaseguros

Primas

Siniestros

Facultativos

Registros contables

Administración de contratos

Gestión Contable Financiera

Pagos

Órdenes de pago

Retenciones en la fuente

Transferencias

Cheques

Gestión Contable Asientos diarios

Acreditación de intereses

30


Conciliación bancaria

Activos fijos

Administración de proveedores

Cierre de mes

Producción

Cobranzas

Deducción

Contabilidad diaria

Reclamos

Reaseguros

Reserva de riesgos en curso

Balances

Reserva matemática

Gestión del Talento Humano Gestión de Colaboradores

Gestiónate

Administración de colaboradores

Conozca a su empleado

Nómina

Loncherito

Pausas activas

Intranet

Marketing

Gestión Comercial



Gestión del Talento Humano


Gestión de Riesgo Técnico

Gestión de Proveedores

Tecnología de Información

Apoyo Logístico

Procesos varios

Salto de políticas

Procesos batch

Impresión de pólizas, facturas, endosos

contractuales

Integración de aplicaciones

Marketing

Gestión Comercial



Gestión del Talento Humano


Gestión de Procesos

Administración de Procesos

Procesos de negocio

Procesos TI

Flujos de procesos Vector

Gestión de la Información Organismos de control

Superintendencia de Bancos

31


Gestión de Riesgo Técnico

Gestión de Proveedores

Tecnología de Información

Apoyo Logístico

Gestión Estratégica

Gestión de Calidad y

Mejoramiento

Listas reservadas (RCS)/ 312/ S01, S02/

S03/ 302, 303, 304, 305/ S07, S08/ E50/

E51/ Comisiones/ Contribuciones/

Seguro social Campesino/

S09/Reservas/ Estructura Super-UAF

E04

Servicio de Rentas Internas

Anexo Transaccional/ Archivo de

numeradores/ Autorizaciones de

autoimpresores

Control interno

Auditoría interna

Auditoría externa

Reportes

Consultas

Sigmed

Presupuesto y Control presupuestario

Siniestralidad

Actualización de datos

Gestión documental

Documentación organizacional

Documentación clientes

Asesoría y Consultoría

Servicios Profesionales

Capacitación en los servicios

Asesoría en el uso de la tecnología

Servicios Personales

Consultas

Servicio en equipos personales

Equipos de Trabajo

PC

Laptop

Perfiles y Accesos

Impresión

Mantenimiento de equipos

Circuito de cámaras

32


Solicitud de visualización

Preparación de equipos

Laptop

Desktop

Tablets

Celulares

Comunicaciones y Conectividad

Correo electrónico

Carpetas compartidas (Red)

Telefonía

Bases celulares

Central telefónica

Herramientas de telefonía

Líneas

Teléfonos celulares

Teléfonos convencionales

Conexiones

Citrix

FTP

VPN

Red LAN

Red física

Red inalámbrica

Red WAN

Enlaces de datos

Enlace de internet

Videoconferencia

Chat

Internet

Infraestructura

Servidores

Almacenamiento de información

Servicio de almacenamiento de

información

Bases de Datos

BD2/ SYBASE/ SQL SERVER/ MY SQL

Mantenimiento

Data Center

33


UPS/ DPU/ Switch/ Aire acondicionado/

Racks/ Sistema contra incendios

Utilitarios

Ofimática/ PDF/ Compresión de archivos

Inventario de equipos

Cableado eléctrico

Antivirus

Firewall

Control de acceso (tarjetas)

Remodelación, creación de puestos de

trabajo

Cambio estándar


1.3 LISTADO DE ACTIVOS DE TI

En las Tablas 14 – 18 se presenta un listado de activos clasificados por: aplicaciones,

infraestructura, datos y personal [8].

1.3.1 APLICACIONES

Tabla 14. Listado de Aplicaciones

NOMBRE DE LA

APLICACIÓN

DESCRIPCIÓN DE LA

APLICACIÓN TIPO DE SISTEMA

DATA CLEANING Verificación de la validez de

información básica del cliente. AIX 6.1 Power 6

CLIENTE ÚNICO

Plataforma para captura y

mantenimiento de información

consistente de clientes.

AIX 6.1 Power 6

GPC Aplicación para la generación en

línea de certificados de seguro.

Servidor: Microsoft Windows 2008

Server, IIS Cliente: Internet

Explorer 7.0 o superior Internet Explorer

7.0 o superior

34

NOMBRE DE LA

APLICACIÓN

DESCRIPCIÓN DE LA


BUEN VIAJE Aplicación para la venta en línea de

seguros de viaje.




7.0 o superior

BIORED Aplicación para servicios dentales.




7.0 o superior

VECTOR Sistema de modelamiento, control y

seguimiento de procesos.




7.0 o superior

INTRANET Portal de comunicación interna.




7.0 o superior

MANTIS Sistema para seguimiento de tickets

de servicio al cliente. Apache

ADAM Sistema que administra la nómina de

la compañía.


Server, IIS

BUXIS

Sistema de Talento Humano que

administra la gestión organizativa, el

desarrollo y capacitación del

personal.

Microsoft

MONITOR PLUS

ACRM

Sistema para la prevención de

lavado de activos basado en la

administración de riesgos.

Microsoft

RISK CONTROL

SERVICE

Herramienta de control que tiene

como objetivo minimizar el riesgo de

establecer vínculos con posibles

involucrados o señalados en

actividades ilícitas como lavado de

activos, narcotráfico o terrorismo.

Microsoft

35

NOMBRE DE LA

APLICACIÓN

DESCRIPCIÓN DE LA


SISE

Sistema Integrado de Seguros. Este

sistema soporta el core del negocio

y la parte administrativa financiera,

tiene módulos de:

Emisión/Facturación Individual y

Colectivo, Reaseguros, Siniestros,

Generación Intereses, Retiros y

Préstamos, Caja Ingresos, Caja

Egresos, Contabilidad, Cierres

Mensuales, Consultas, Informática.

Servidor: AIX 6.1, Servidor Power 6.

Cliente: Windows XP o 7.

iSISE Aplicación para la venta en línea de

certificados de seguro.

Winserver para servidores de BD y

App. El cliente solo necesita Internet

Explorer de cualquier versión.

BAIS Aplicación para la venta en línea de

certificados de seguro.

Servidor: Windows Server 2008, IIS 7.

Cliente: Windows XP o 7.

CRM

Sistema automatizado para el

control de la fuerza de ventas

individual.

Linux, Apache

PORTAL WEB Portal diseñado para la prestación

de servicios online. Expression Engine

ACTIVOS FIJOS

Sistema automatizado para el

control de los activos fijos de la

compañía.

Microsoft

PIVOTAL CRM para gestión de clientes. Microsoft

Exchange Online

Plan 1

ExchgOnlnPlan1 ShrdSvr ALNG

SubsVL MVL PerUsr. Microsoft

Office 365 Plan E1 Off365PE1 ShrdSvr ALNG SubsVL

MVL PerUsr. Microsoft





Fuente: Datos proporcionados por Javier Chicaiza, Arquitecto de Servicios de Aplicación de EQUIVIDA S.A.


36

1.3.2 INFRAESTRUCTURA

1.3.2.1 Computadoras

Tabla 15. Listado de Desktops y Laptops

Tipo de

Producto Cantidad Marca Modelo Cantidad Descripción

Desktop 80 Lenovo

ThinkCentre A70z 8

Intel® Core™ 2 Duo E7500 2,93

GHz

HDD 320 GB

RAM 2 GB

ThinkCentre

M55E 1

Intel® Core ™ 2 Duo Processor

E6600

HDD 160 GB

RAM 2 GB

ThinkCentre M70z 4

Intel® Core™ i3-550 1,3 GHz

HDD 160 GB

RAM 2 GB

ThinkCentre M71z 29

Intel® Core™ i5 2400S 2,5 GHz

HDD 500 GB

RAM 4 GB

ThinkCentre M72z 5


HDD 500 GB

RAM 4 GB

ThinkCentre M73z 33


HDD 500 GB

RAM 8 GB

Laptops 142 Lenovo

ThinkPad Helix 1

Intel® Core™ i7 3667U 2,0 GHz

HDD 180 GB

RAM 8 GB

ThinkPad T410 18

Intel® Core™ i5 M540 2,53 GHz

HDD 320 GB

RAM 4 GB

ThinkPad T420 30

Intel® Core™ i5 2520M 2,50

GHz

HDD 500 GB

RAM 4 GB

37

Tipo de

Producto Cantidad Marca Modelo Cantidad Descripción

ThinkPad T430 19

Intel® Core™ i5 3320M 2,6 GHz

HDD 500 GB

RAM 4 GB

ThinkPad T440p 2

Intel® Core™ i5 4300M 3,30

GHz

HDD 500 GB

RAM 16 GB

ThinkPad T440s 30


HDD 500 GB

RAM 4 GB

ThinkPad X1

Carbon 2nd 10


HDD 320 GB

RAM 8 GB

ThinkPad X100e 9

AMD® Athlon™ MV40 1,6 GHz

HDD 160 GB

RAM 4 GB

ThinkPad X120e 5

AMD® Athlon™ MV40 1,6 GHz

HDD 320 GB

RAM 4 GB

ThinkPad X121e 17

AMD® Fusion E-240 1,5GHz

HDD 320 GB

RAM 8 GB

ThinkPad X131e 1

AMD® Vision E1-1200 1,6 GHz

HDD 320GB

RAM 8 GB

Fuente: Datos proporcionados por Gustavo Ortiz, Coordinador de Servicios de Infraestructura de EQUIVIDA S.A.


1.3.2.2 Switch

Tabla 16. Listado de Switches

TIPO CÓDIGO DETALLE MARCA MODELO IP SERIE

SW

ITC

H UIO1ESWITCH001 Servidores 3COM 4500G 10.10.30.128 YEYFC6R259480

UIO1ESWITCH002 LAN 1 Sub 3COM 4500G 172.16.1.1 YEYFC4PE17500

UIO1ESWITCH003 Core 1 Sub 3COM 5500G 172.16.1.2 9KAFA1MDB5880

38

TIPO CÓDIGO DETALLE MARCA MODELO IP SERIE

UIO1ESWITCH004 LAN 2 Sub 3COM 2900G 172.16.1.3 926FD7S0A05B7

UIO1ESWITCH005 LAN 1 Pb 3COM 4500G 172.16.1.4 YEYFC4PE17E00

UIO1ESWITCH006 LAN 2 Pb 3COM 4500G 172.16.1.5 YEYFC4PE1EC80

UIO1ESWITCH007 LAN 3 Pb 3COM 4500G 172.16.1.6 YECF71HC1E680

UIO1ESWITCH008 LAN 4 Pb 3COM 4500G 172.16.1.7 YEYFC4PE18E80

UIO1ESWITCH009 LAN 5 Pb 3COM 4500G 172.16.1.8 YECF7RHF253C0

UIO1ESWITCH010 LAN 6 Pb 3COM 4500G 172.16.1.9 YEDF9FL41FF40

UIO1ESWITCH011 LAN 7 Pb HP HPV1910 172.16.1.10 CN17BX24ZM

UIO1ESWITCH012 LAN 3 Sub HP HPV1910 172.16.1.11 CN17BX24L3



1.3.2.3 Servidores

Tabla 17. Listado de Servidores

SERVIDOR IP TIPO HERRAMIENTA PLATAFORMA

ADAM 10.10.30.5 Virtual VLK 2000 Server

CENTRAL TELEFÓNICA 10.10.30.17 Físico OEM 2003 Server

AIX SONIC - BLADE 2 10.10.30.26 Físico IBM - VIOS AIX

AIX PRUEBAS 10.10.30.202 Físico IBM - AIX AIX

DATAQUALITY - BLADE 6 10.10.30.30 Físico IBM - VIOS AIX

SERVIDORES DE RESPALDOS 10.10.30.16 Físico VLK 2003 Server

SISE - BLADE 3 10.10.30.25 Físico IBM - VIOS AIX

UIOESX01 - BLADE 4 10.10.30.141 Físico VmWare ESX VMWARE

UIOESX02 - BLADE 5 10.10.30.142 Físico VmWare ESX VMWARE

UIOESX03 - FIREWALL 172.16.1.21 Físico VmWare ESXi VMWARE

UIOESX04 - BLADE 1 10.10.30.143 Físico VmWare ESXi VMWARE

UIOESX05 - Eserver x255 10.10.30.166 Físico VmWare ESXi VMWARE

ARANDA 10.10.30.167 Virtual VLK 2003 Server

DVR UIO 1 (PB) 10.10.30.29 Físico DVR

DVR UIO 2 (SB) 10.10.30.133 Físico DVR

AD VIRTUAL 1 10.10.30.27 Virtual VLK 2008 Server

BELARC 10.10.30.7 Virtual VLK 2003 Server

WSUS 10.10.30.9 Virtual VLK 2003 Server

SYMANTEC 10.10.30.11 Virtual VLK 2003 Server

39

SERVIDOR IP TIPO HERRAMIENTA PLATAFORMA

CITRIX VIRTUAL 1 10.10.30.13 Virtual VLK 2003 Server

GPC BV DESARROLLO 10.10.30.20 Virtual VLK 2008 Server

VCENTER 10.10.30.140 Virtual VLK 2008 Server

VMWARE DATA RECOVERY 10.10.30.28 Virtual Linux LINUX

MANTIS (fa1708) 10.10.30.8 Virtual VLK 2003 Server

BIORED DESARROLLO 10.10.30.15 Virtual VLK 2003 Server

GLOBAL BV Y GPC 200.31.26.222 Físico VLK 2000 Server

SQL 2008 Y VECTOR 10.10.30.167 Virtual VLK 2003 Server

AD VIRTUAL 2 10.10.30.10 Virtual VLK 2003 Server

BIORED 192.168.1.3 Físico VLK 2003 Server

SUBVERSION 10.10.30.21 Virtual Linux LINUX

CUMPLIMIENTO - FLAMENCO 10.10.30.22 Virtual VLK 2008 Server



40

1.3.

2.4

Top

olog

ía d

e R

ed d

e E

QU

IVID

A S

.A.

F

igu

ra 6

. To

po

log

ía d

e R

ed

de

EQ

UIV

IDA

S.A

.

F

ue

nte

: D

iag

ram

a p

ropo

rcio

nad

o p

or

Cé

sar

Pic

o,

Coo

rdin

ado

r d

e S

erv

icio

s d

e C

omu

nica

ció

n, E

QU

IVID

A S

.A.

41

1.3.3 DATOS

La información crítica que maneja y archiva EQUIVIDA S.A. se cataloga de la siguiente

manera:

- Bases de datos

- Contratos

o Talento Humano

o Adquisición de productos y servicios

- Acuerdos

o Publicitarios

o Tercerizados

- Formularios

o Siniestros

o Suscripciones

- Reportes

- Manuales de usuario de las aplicaciones desarrolladas

- Manuales de procedimientos

- Compendios

- Información archivada

o Inventarios

o Documentación general de EQUIVIDA S.A.

- Balances contables

1.3.4 PERSONAL

Tabla 18. Listado del Personal del Departamento de TI

N° NOMBRE DEL PERSONAL DE TI CARGO O FUNCIÓN

1 Albuja Silverio Rafael Gestor del Centro de Servicios

2 Almeida Galarraga José Rafael Arquitecto de Infraestructura

3 Bandera Torres Andrea Lizeth Especialista de Proyectos

4 Barra Galarraga Ronny Felipe Líder de Gestión

42

N° NOMBRE DEL PERSONAL DE TI CARGO O FUNCIÓN

5 Casanova Guamantica Nelson Paúl Líder de Gestión

6 Castro Acosta Gabriela Patricia Auditor QA

7 Castro Quiñonez Patricia Alexandra Líder de Proyectos

8 Chávez Chamorri Mery Yannira Analista BI

9 Chicaiza Gómez Javier Santiago Arquitecto de Servicios de Aplicación

10 Cruz Rosales Diana Elizbeth Gestor del Centro de Servicios

11 Flores Mina Katherine Johanna Arquitecto de Información

12 Karina Quimbuilco Desarrollador de Servicios

13 León Analuisa Rosa Elena Desarrollador Senior de Servicios

14 López López Isvel Jefe de Arquitectura

15 Lozada Chávez Karen Paulina Gestor de CRM

16 Luna Viveros María Augusta Oficial de Seguridad Informática y Aplicativa

17 Miño Robalino Pablo Andrés Gestor del Centro de Servicios

18 Muñoz Salinas Carina Alexandra Gestor de Servicios TI

19 Noboa Tapia Iván Alfredo Arquitecto de datos

20 Oña Villagómez Andrea Alejandra Asistente de Gestión

21 Ortiz Moyano Jorge Aníbal Líder de Proyectos

22 Ortiz Torres Gustavo Guillermo Coordinador de Servicios de Infraestructura

23 Oviedo Vallejo Mónica Paulina Jefe de Servicios de Tecnología

24 Padilla Cevallos Sabrina Nataly Gestor de Servicios TI

25 Pico Delgado Cesar Enrique Coordinador de Servicios de Comunicación

26 Poveda Chauvín Andrés Hernán Líder de Proyectos

27 Quintana Cruz José Alexander Desarrollador Senior de Servicios

28 Quiroz Vallejo María Isabel Gerente de Innovación y Tecnología

29 Rodríguez Herrera Jimmy Christian Jefatura de gestión Estratégica y operativa

30 Salcedo Suscal Juan Andrés Desarrollador de Servicios

31 Salinas Escobar Mónica Cecilia Asistente de Gerencia IT

32 Sandoval Mereci Luis Andrés Gestor del Centro de Servicios

33 Tamayo Rosero Camilo Enersto Programador Diseñador Web

34 Veloz Galarza Diego Fernando Líder de Proyectos

35 Villacís Ramos Diana Michelle Líder de Proyectos

Fuente: Datos proporcionados por Gabriela Castro, Auditor QA de EQUIVIDA S.A.


43

1.3.5 UBICACIÓN EQUIVIDA S.A. se encuentra ubicada en el Centro Comercial “El Globo” en la Av.

Amazonas y Av. Gaspar de Villaroel, cuenta con dos plantas donde el Departamento

de TI se encuentra ubicado en el subsuelo, con una superficie de 200m2(ver Figura

7), lo que causa inconvenientes debido a la cantidad de personal que ocupa ésta área.

Figura 7. Ubicación del Departamento de TI

Fuente: EQUIVIDA S.A.

44

1.3.

6 R

ES

UM

EN

T

ab

la 1

9.

Res

um

en d

e A

cti

vos

de

TI

MA

CR

OP

RO

CE

SO

A

PL

ICA

CIO

NE

S

INF

RA

ES

TR

UC

TU

RA

D

AT

OS

P

ER

SO

NA

S

SE

RV

IDO

RE

S

EQ

UIP

OS

MP

-01

0 M

AR

KE

TIN

G

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkC

en

tre

A7

0z

Th

inkP

ad

X1

00

e

Th

inkP

ad

T4

20

Acu

erd

os

Rep

ort

es

Com

pe

ndio

s In

form

aci

ón

a

rch

iva

da

Javi

er

Chi

caiz

a

MP

-02

0

GE

ST

IÓN

C

OM

ER

CIA

L

BU

EN

VIA

JE

Fís

ico

, V

LK

, 2

003

Se

rve

r T

hin

kCen

tre

M5

5E

T

hin

kCen

tre

M7

2z

Rep

ort

es

Arc

hiv

os

Com

pe

ndio

s Ja

vie

r C

hica

iza

MP

-03

0

GE

ST

IÓN

D

E

CO

NT

RA

TO

S

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkC

en

tre

M7

1z

Th

inkP

ad

T4

10

Th

inkP

ad

T4

40p

Con

tra

tos

A

cue

rdo

s

Javi

er

Chi

caiz

a

VE

CT

OR

V

irtu

al,

VL

K, 2

00

3 S

erv

er

Javi

er

Chi

caiz

a

MA

NT

IS

Vir

tua

l, V

LK

, 20

03

Se

rve

r Ja

vie

r C

hica

iza

MP

-04

0

SE

RV

ICIO

A

L C

LIE

NT

E Y

CA

NA

LE

S

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkP

ad

Hel

ix

Th

inkC

en

tre

M7

3z

Th

inkP

ad

X1

20

e

Th

inkP

ad

X1

31

e

Fo

rmul

ario

s R

ep

ort

es

Javi

er

Chi

caiz

a

BIO

RE

D

Fís

ico

, V

LK

, 2

003

Se

rve

r V

irtu

al,

VL

K, 2

00

3 S

erv

er

Javi

er

Chi

caiz

a

VE

CT

OR

V

irtu

al,

VL

K, 2

00

3 S

erv

er

Javi

er

Chi

caiz

a

MA

NT

IS

Vir

tua

l, V

LK

, 20

03

Se

rve

r Ja

vie

r C

hica

iza

CR

M

Fís

ico

, V

LK

, 2

003

Se

rve

r A

nd

rea

Ba

nd

era

CLIE

NT

E Ú

NIC

O

Fís

ico

, V

LK

, 2

003

Se

rve

r K

ath

erin

e F

lore

s

MP

-11

0

GE

ST

IÓN

D

EL

TA

LE

NT

O H

UM

AN

O

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkC

en

tre

A7

0z

T

hin

kPa

d T

41

0

Con

tra

tos

A

cue

rdo

s R

ep

ort

es

Com

pe

ndio

s

Javi

er

Chi

caiz

a

AD

AM

V

irtu

al,

VL

K, 2

00

0 S

erv

er

Javi

er

Chi

caiz

a

BU

XIS

V

irtu

al,

VL

K, 2

00

0 S

erv

er

Ma

ría

Au

gu

sta

L

un

a

45

MA

CR

OP

RO

CE

SO

A

PL

ICA

CIO

NE

S

INF

RA

ES

TR

UC

TU

RA

D

AT

OS

P

ER

SO

NA

S

SE

RV

IDO

RE

S

EQ

UIP

OS

MP

-12

0

GE

ST

IÓN

C

ON

TA

BL

E F

INA

NC

IER

A

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkC

en

tre

M7

0z

Th

inkP

ad

T4

20

Rep

ort

es

Ba

lanc

es

con

tab

les

Javi

er

Chi

caiz

a

MP

-13

0

GE

ST

IÓN

D

E

RIE

SG

O T

ÉC

NIC

O

RIS

K C

ON

TR

OL

SE

RV

ICE

V

irtu

al,

VL

K, 2

00

8 S

erv

er

Th

inkC

en

tre

M7

1z

T

hin

kPa

d T

43

0

Rep

ort

es

Ma

ría

Au

gu

sta

L

un

a

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Javi

er

Chi

caiz

a

MP

-14

0

GE

ST

IÓN

D

E

PR

OV

EE

DO

RE

S

MO

NIT

OR

PL

US

AC

RM

V

irtu

al,

VL

K, 2

00

8 S

erv

er

Th

inkC

en

tre

M7

2z

Th

inkC

en

tre

M7

3z

Th

inkP

ad

T4

40s

Con

tra

tos

Acu

erd

os

Rep

ort

es

Ma

ría

Au

gu

sta

L

un

a

MP

-15

0

TE

CN

OL

OG

ÍA

DE

IN

FO

RM

AC

IÓN

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkC

en

tre

M7

3z

Th

inkP

ad

T4

40s

T

hin

kPa

d X

12

1e

Ba

ses

de

da

tos

Rep

ort

es

Ma

nu

ale

s de

u

sua

rio d

e la

s a

plic

acio

nes

de

sarr

olla

das

M

an

ua

les

de

pro

ced

imie

nto

s In

ven

tario

s

Javi

er

Chi

caiz

a

VE

CT

OR

V

irtu

al,

VL

K, 2

00

3 S

erv

er

Javi

er

Chi

caiz

a

PO

RT

AL

WE

B

Fís

ico

, V

mW

are

ES

Xi,

VM

WA

RE

A

nd

rea

Ba

nd

era

MP

-16

0 A

PO

YO

LO

GÍS

TIC

O

DA

TA

CL

EA

NIN

G

Vir

tua

l, V

LK

, 20

03

Se

rve

r T

hin

kCen

tre

M7

1z

Th

inkP

ad

X1

C

arb

on

2n

d

Acu

erd

os

Rep

ort

es

Ivá

n N

ob

oa

MP

-21

0

GE

ST

IÓN

E

ST

RA

TÉ

GIC

A

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkC

en

tre

M7

1z

Th

inkP

ad

X1

21

e

Rep

ort

es

Ma

nu

ale

s de

p

roce

dim

ient

os

Javi

er

Chi

caiz

a

MP

-22

0

GE

ST

IÓN

D

E

CA

LID

AD

Y M

EJO

RA

MIE

NT

O

SIS

E

BL

AD

E 3

, F

ísic

o,

IBM

-V

IOS

, A

IX

Th

inkC

en

tre

M7

3z

Th

inkP

ad

T4

40s

Rep

ort

es

Ma

nu

ale

s de

p

roce

dim

ient

os

Javi

er

Chi

caiz

a

VE

CT

OR

V

irtu

al,

VL

K, 2

00

3 S

erv

er

Javi

er

Chi

caiz

a

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

46

1.4 ANÁLISIS DE VULNERABILIDADES Y RIESGOS

En esta sección se realiza el análisis de riesgos y vulnerabilidades. En las Tablas 20

- 25 se muestra el proceso, para el cual se tomará como referencia la Norma NTE

ISO/IEC 27005 [9].

1.4.1 IDENTIFICACIÓN DE AMENAZAS

De acuerdo al estudio de los procesos empresariales y tomando en cuenta los recursos

de TI utilizados, existen amenazas en el orden técnico, humano, naturales,

estructurales y organizacionales los cuales se encuentran detallados en la Tabla 20.

Tabla 20. Identificación de Amenazas

ORIGEN DE LA AMENAZA

AMENAZA CONSECUENCIAS DE LA AMENAZA

TÉCNICAS

Mal funcionamiento de los equipos Atasco en las operaciones de la empresa

Pérdida de información

Software sin licencias Software malicioso

Filtro de información confidencial

Fallas de las aplicaciones Pérdida de información

Demora en los cronogramas de actividades

Falla de los servicios contratados (ISP)

Atasco en las operaciones de la empresa

Fallos de los sistemas

HUMANAS

Hacking Atentado a la integridad de la información

Atentado a la confidencialidad de la información

Divulgación de información confidencial

Estafas

Extorsión

Terrorismo Daño potencial a los equipos informáticos

Sabotaje a las operaciones de la empresa

Negligencia en el manejo de activos de TI

Daño potencial a los equipos informáticos

Libre acceso a la información

NATURALES

Terremotos Daño potencial a los equipos informáticos

Accidentes para el personal de la empresa

Tormentas eléctricas Daño potencial a los equipos informáticos

Fallos en las conexiones eléctricas

Inundaciones Daño potencial a los equipos informáticos


47

ORIGEN DE LA AMENAZA

AMENAZA CONSECUENCIAS DE LA AMENAZA

ESTRUCTURALES

Incendios Daño potencial a los equipos informáticos


Mal estado de las instalaciones Daño potencial a los equipos informáticos

Fallas en las operaciones de la empresa

Fallas eléctricas Daño potencial a los equipos informáticos

Atasco en las operaciones de la empresa

ORGANIZACIONALES

Flujo de personal Pérdida de información

Ventaja competitiva

Falta de políticas Mal desempeño de las funciones

Libre acceso a la información

Falta de gestión de seguridad informática

Filtro de infomación confidencial

Fallos en los activos de TI

Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, basado en la

Norma NTE ISO/IEC 27005

1.4.2 IDENTIFICACIÓN DE VULNERABILIDADES

Una vez identificadas las amenazas para poder determinar las vulnerabilidades se ha

realizado un análisis detallado de los impactos de cada una de dichas amenazas y sus

consecuencias en caso de que lleguen a ocurrir. En la Tabla 21 se detalla una lista de

vulnerabilidades relacionadas con las amenazas identificadas en el punto anterior.

Tabla 21. Identificación de Vulnerabilidades

AMENAZAS VULNERABILIDADES

Mal funcionamiento de los equipos Falta de mantenimiento preventivo a los equipos

Falta de control en la configuración de los equipos

Software sin licencias Software ampliamente distribuido

Se filtra información confidencial

Fallas de las aplicaciones Interfaz de usuario compleja

Configuraciones mal realizadas

Falla de los servicios contratados (ISP) Conexiones de red pública sin protección

Tráfico de información sensible sin protección

Hacking Infraestructura de red insegura

Información sin encriptar

Divulgación de información confidencial No existe un control de medios extraíbles

No existen acuerdos de confidencialidad

Terrorismo Mal funcionamiento de las cámaras de seguridad

48

AMENAZAS VULNERABILIDADES

Falta de personal de seguridad para resguardar la empresa

Negligencia en el manejo de activos de TI Inducción incompleta al personal nuevo

Uso indebido de los recursos tecnológicos

Terremotos Estructuras en mal estado

Materiales de construcción de mala calidad

Tormentas eléctricas Variaciones en los voltajes

Falta de control de calidad en los UPS

Inundaciones No se revisa el estado de los drenajes

Falta de control de calidad en las instalaciones

Incendios No se cuenta con salidas de emergencia

No se revisan los extintores con frecuencia

Mal estado de las instalaciones No se realiza un control de las instalaciones

No se mejora las estaciones en mal estado

Fallas eléctricas No se revisa el estado de las conexiones eléctricas

Falta de mantenimiento a la planta de energía de respaldo

Flujo de personal Falta de procedimientos para el registro y retiro de usuarios

Procedimientos inadecuados de contratación

Falta de políticas Falta de auditorías para controlar los procesos de TI

Falta de procesos disciplinarios en caso de incumplimiento

Falta de gestión de seguridad informática Falta de control sobre el uso de activos de TI de la empresa

Ausencia de un Oficial de Seguridad Informática

Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, basado en la

Norma NTE ISO/IEC 27005

Es importante tomar en cuenta cuales son las vulnerabilidades críticas que pueden

tener un mayor impacto sobre la empresa. Principalmente las vulnerabilidades que son

ocasionadas por amenazas naturales y las provocadas por las amenazas de tipo

organizacional.

1.4.3 IDENTIFICACIÓN DE RIESGOS

Determinadas las amenazas y vulnerabilidades se procede con la identificación de los

riesgos que pueden darse en función de estos dos factores, los cuales se encuentran

detallados en la Tabla 22.

49

Ta

bla

22

. Id

en

tifi

ca

ció

n d

e R

ies

go

s

OR

IGE

N D

E L

A

AM

EN

AZ

A

AM

EN

AZ

AS

V

UL

NE

RA

BIL

IDA

DE

S

RIE

SG

O

TÉ

CN

ICA

S

Mal

func

ion

am

ient

o d

e lo

s equ

ipos

Falta

de

m

ant

eni

mie

nto

pre

vent

ivo

a

los

equ

ipos

D

años

en lo

s act

ivos

de T

I F

alta

de

cont

rol

en

la

conf

igur

aci

ón

de

los

equ

ipos

Soft

ware

sin

lice

ncia

s S

oft

ware

am

plia

ment

e d

istr

ibu

ido

D

ocu

ment

os

dig

itale

s pu

ed

en

ser

dañ

ados

y n

o r

ecu

pera

dos

Se f

iltra

info

rmaci

ón

conf

idenc

ial

Falla

s de

las

aplic

aci

ones

In

terf

az

de u

suario

com

ple

ja

Mal

mane

jo d

e la

info

rmac

ión

y m

al u

so d

e la

s ap

licaci

one

s C

onfig

uraci

on

es

mal r

eal

izada

s

Falla

de

los

serv

icio

s co

ntra

tad

os

(IS

P)

Conex

ione

s de

red p

úblic

a s

in p

rote

cció

n

Info

rmaci

ón

fáci

l de a

ccesa

r T

ráfic

o d

e in

form

aci

ón

sen

sible

sin

pro

tecc

ión

HU

MA

NA

S

Hack

ing

Infr

aes

truct

ura

de

red in

seg

ura

In

form

aci

ón

clasi

ficada

pue

de

ser

acc

esa

da

Info

rmaci

ón

sin e

ncrip

tar

Div

ulg

ació

n d

e in

form

aci

ón

co

nfid

enci

al

No e

xist

e u

n co

ntr

ol d

e m

edio

s ext

raíb

les

Docu

ment

os

priva

dos

al

alc

anc

e

de

todos

N

o e

xist

en a

cuerd

os

de c

onfid

enci

alid

ad

Terr

orism

o

Mal

fu

ncio

nam

ient

o

de

la

s cá

mara

s de

se

gurid

ad

A

cceso

a

cualq

uier

áre

a

de

la

em

pre

sa s

in r

est

ricci

ón

F

alta

de p

erso

nal d

e s

eg

uri

dad

par

a r

esg

uar

dar

la

em

pre

sa

Neglig

enc

ia e

n e

l mane

jo

de

act

ivos

de

TI

Indu

cció

n in

com

ple

ta a

l pers

ona

l nue

vo

Las

act

ivid

ades

no

se

cum

ple

n sa

tisfa

ctoria

ment

e

Uso

indeb

ido

de

los

recu

rsos

tecn

oló

gic

os

NA

TU

RA

LE

S

Terr

emoto

s E

stru

ctura

s en

mal e

sta

do

D

año

en

lo

s e

qui

pos

R

etr

aso

en

las

act

ivid

ade

s de

la

em

pre

sa

Pérd

idas

eco

nóm

icas

Bajo

dese

mpeñ

o

Mat

eri

ale

s de

const

rucc

ión

de

mala

calid

ad

Torm

ent

as

elé

ctric

as

Vari

aci

on

es

en

los

volta

jes

Falta

de

contr

ol d

e ca

lida

d e

n lo

s U

PS

Inun

dac

iones

N

o s

e r

evi

sa e

l est

ad

o d

e lo

s dre

naj

es

Falta

de

contr

ol d

e ca

lida

d e

n la

s in

stala

cion

es

50

OR

IGE

N D

E L

A

AM

EN

AZ

A

AM

EN

AZ

AS

V

UL

NE

RA

BIL

IDA

DE

S

RIE

SG

O

ES

TR

UC

TU

RA

LE

S

Ince

ndio

s N

o s

e c

ue

nta

co

n s

alid

as

de e

merg

enci

a

No s

e r

evi

san lo

s ext

into

res

con

frecu

enci

a

Mal

est

ad

o d

e la

s in

sta

laci

ones

No s

e r

ea

liza

un

contr

ol d

e la

s in

stala

cion

es

No s

e m

ejo

ra la

s est

aci

one

s en

mal e

stado

Falla

s elé

ctric

as

No

se

revi

sa

el

est

ado

de

las

con

exi

ones

elé

ctric

as

Falta

de

mant

eni

mie

nto

a l

a p

lant

a d

e ene

rgía

de

resp

ald

o

OR

GA

NIZ

AC

ION

AL

ES

Flu

jo d

e p

erso

nal

Falta

de p

roce

dim

ient

os

pa

ra e

l reg

istr

o y

retir

o

de u

suarios

A

cceso

lib

re

a

la

info

rmac

ión,

in

cum

plim

ient

o e

n lo

s pro

ceso

s P

roce

dim

ient

os

inade

cuad

os

de

con

trata

ción

Falta

de

pol

ític

as

Falta

de

au

dito

rías

para

co

ntr

ola

r lo

s pro

ceso

s de

TI

Los

pro

ceso

s org

aniz

aci

on

ale

s se

lle

van a

ca

bo

sin c

ont

rol a

lgun

o

Falta

de

pro

ceso

s d

isci

plin

ario

s en

caso

de

in

cum

plim

ient

o

Falta

de

ges

tión

de

segu

rid

ad

info

rmátic

a

Falta

de c

ontr

ol s

obr

e e

l uso

de a

ctiv

os

de

TI d

e

la e

mpre

sa

Gra

n flu

jo d

e in

form

aci

ón d

e g

ran

im

por

tanc

ia p

ara

la e

mpre

sa

Ause

ncia

d

e

un

Ofic

ial

de

Seg

urid

ad

In

form

átic

a

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

51

1.4.4 ANÁLISIS DE RIESGOS

1.4.4.1 Escalas de Medición del Riesgo

Los resultados obtenidos del análisis de riesgos serán evaluados en base a la Norma

NTE ISO/IEC 27005 [9].

Tabla 23. Matriz Escala de Probabilidad x Impacto

MATRIZ PxI ESCALA DE PROBABILIDAD

MUY IMPROBABLE IMPROBABLE POSIBLE PROBABLE MUY PROBABLE 1 2 3 4 5

IMP

AC

TO

BAJO 1 1 x 1 2 x 1 3 x 1 4 x 1 5 x 1

MEDIO 2 1 x 2 2 x 2 3 x 2 4 x 2 5 x 2

ALTO 3 1 x 3 2 x 3 3 x 3 4 x 3 5 x 3


1.4.4.2 Categoría del Riesgo Se plantean tres categorías del riesgo:

· Bajo: 1 - 5

· Medio: 6 - 10

· Alto: 11 - 15

Figura 8. Categoría del Riesgo


1.4.4.3 Evaluación de Riesgos Una vez definidas las amenazas y vulnerabilidades que afectan a la empresa se

aplicará la definición para calcular el riesgo: Riesgo = Probabilidad x Impacto.

Es importante recategorizar los riesgos de acuerdo al valor obtenido durante el análisis

ya que algunos obtuvieron el mismo valor, por lo que se debe analizar cuál de ellos es

el que más afecta a la empresa y así en ese orden tener un control sobre estos riesgos.

52

Ta

bla

24

. E

valu

ació

n d

el

Rie

sg

o

AM

EN

AZ

AS

V

UL

NE

RA

BIL

IDA

DE

S

PR

OB

AB

ILID

AD

IM

PA

CT

O

VA

LO

R D

EL

R

IES

GO

C

AT

EG

OR

ÍA D

EL

R

IES

GO

Div

ulg

aci

ón

de

info

rmac

ión

con

fide

ncia

l N

o

exi

ste

u

n

con

tro

l de

m

edio

s e

xtra

íble

s 5

3

1

5 A

LTO

So

ftw

are

sin

lice

ncia

s S

e f

iltra

info

rma

ció

n c

onf

iden

cia

l 4

3

1

2 A

LTO

Div

ulg

aci

ón

de

info

rmac

ión

con

fide

ncia

l N

o

exi

ste

n

acu

erd

os

de

con

fide

ncia

lida

d

4

3

12

ALT

O

Fa

lta d

e g

est

ión

de

se

guri

dad

in

form

átic

a A

use

ncia

d

e u

n

Ofic

ial

de

Se

gu

rida

d In

form

átic

a

4

3

12

ALT

O

Ince

nd

ios

No

se

cue

nta

con

sa

lidas

d

e e

me

rge

nci

a

3

3

9

ME

DIO

Ma

l fu

nci

ona

mie

nto

de

los

eq

uip

os

Fa

lta d

e m

ante

nim

ien

to p

reve

ntiv

o a

los

equ

ipos

4

2

8

M

ED

IO

Fa

lta d

e co

ntr

ol e

n la

co

nfig

ura

ció

n d

e lo

s eq

uip

os

4

2

8

ME

DIO

Fa

lla d

e lo

s se

rvic

ios

con

tra

tado

s (I

SP

) T

ráfic

o d

e in

form

aci

ón

sen

sib

le s

in

pro

tecc

ión

4

2

8

ME

DIO

Fa

lta d

e p

olít

icas

F

alta

de

au

dito

ría

s pa

ra c

on

tro

lar

los

pro

ceso

s de

TI

4

2

8

ME

DIO

Fa

lta d

e g

est

ión

de

se

guri

dad

in

form

átic

a F

alta

de

con

tro

l so

bre

el

uso

de

act

ivos

de

TI

de la

em

pre

sa

4

2

8

ME

DIO

Fa

llas

de la

s ap

licac

ion

es

Con

figu

raci

on

es m

al r

ea

liza

das

3

2

6

M

ED

IO

Fa

lla d

e lo

s se

rvic

ios

con

tra

tado

s (I

SP

) C

on

exi

on

es

de

re

d

pú

blic

a si

n p

rote

cció

n

3

2

6

ME

DIO

Neg

lige

nci

a e

n e

l ma

ne

jo d

e a

ctiv

os d

e T

I U

so

ind

ebid

o d

e lo

s re

curs

os

tecn

oló

gico

s 2

3

6

M

ED

IO

Te

rre

mo

tos

Est

ruct

ura

s e

n m

al e

sta

do

2

3

6

ME

DIO

Ma

teri

ale

s de

co

nst

rucc

ión

de

ma

la c

alid

ad

2

3

6

ME

DIO

Inu

nda

cio

nes

F

alta

de

con

trol

de

ca

lida

d e

n l

as

inst

ala

cion

es

3

2

6

ME

DIO

Flu

jo d

e p

ers

on

al

Fa

lta

de

p

roce

dim

ien

tos

para

e

l re

gis

tro

y r

etir

o d

e u

sua

rios

3

2

6

ME

DIO

53

AM

EN

AZ

AS

V

UL

NE

RA

BIL

IDA

DE

S

PR

OB

AB

ILID

AD

IM

PA

CT

O

VA

LO

R D

EL

R

IES

GO

C

AT

EG

OR

ÍA D

EL

R

IES

GO

Pro

cedi

mie

nto

s in

ad

ecu

ados

d

e

con

tra

taci

ón

3

2

6

M

ED

IO

Fa

lta d

e p

olít

icas

F

alta

de

pro

ceso

s d

isci

plin

ario

s e

n ca

so d

e in

cum

plim

ien

to

3

2

6

ME

DIO

Hack

ing

Infr

aes

truc

tura

de

re

d in

seg

ura

2

2

4

B

AJO

Info

rma

ció

n s

in e

ncri

pta

r 2

2

4

B

AJO

Te

rro

rism

o

Ma

l fu

nci

ona

mie

nto

de

la

s cá

ma

ras

de

se

guri

dad

2

2

4

B

AJO

Fa

lta

de

pe

rso

na

l d

e

segu

rida

d p

ara

res

gua

rda

r la

em

pre

sa

2

2

4

BA

JO

Neg

lige

nci

a e

n e

l ma

ne

jo d

e a

ctiv

os d

e T

I In

duc

ció

n i

ncom

ple

ta a

l p

ers

on

al

nu

evo

2

2

4

B

AJO

Fa

llas

elé

ctric

as

No

se

revi

sa

el

est

ad

o

de

las

con

exi

on

es e

léct

ricas

2

2

4

B

AJO

Fa

lta d

e m

ante

nim

ien

to a

la p

lan

ta

de

ene

rgía

de

re

spa

ldo

2

2

4

B

AJO

So

ftw

are

sin

lice

ncia

s S

oft

wa

re a

mpl

iam

en

te d

istr

ibui

do

3

1

3

B

AJO

To

rme

nta

s e

léct

ricas

V

ari

aci

one

s e

n lo

s vo

ltaje

s 3

1

3

B

AJO

Fa

llas

de la

s ap

licac

ion

es

Inte

rfa

z de

usu

ario

co

mpl

eja

2

1

2

B

AJO

Inu

nda

cio

nes

N

o

se

revi

sa

el

est

ad

o

de

los

dre

na

jes

2

1

2

BA

JO

Ince

nd

ios

No s

e r

evi

san

los

ext

into

res

con

fre

cue

nci

a

1

2

2

BA

JO

Ma

l est

ad

o d

e la

s in

sta

laci

one

s

No

se

rea

liza

un

con

tro

l d

e la

s in

sta

laci

one

s 2

1

2

B

AJO

No

se

me

jora

la

s e

sta

cio

nes

en

m

al e

sta

do

2

1

2

B

AJO

To

rme

nta

s e

léct

ricas

F

alta

de

con

trol

de

ca

lida

d e

n l

os

UP

S

1

1

1

BA

JO

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

54

En la Tabla 24 se observa que al momento de obtener la valoración del riesgo, algunos

de dichos valores son iguales, por lo que se debe organizar para saber cuál de ellos

tratar primero tomando en cuenta cual puede afectar en mayor magnitud a la empresa.

En la Tabla 25 se muestra el orden de prioridad establecido para mitigar las

vulnerabilidades.

Tabla 25. Orden para Mitigar las Vulnerabilidades

VALOR DEL RIESGO VULNERABILIDADES

15 No existe un control de medios extraíbles

12

No existen acuerdos de confidencialidad

Se filtra información confidencial

Ausencia de un Oficial de Seguridad Informática

9 No se cuenta con salidas de emergencia

8

Tráfico de información sensible sin protección

Falta de mantenimiento preventivo a los equipos

Falta de control en la configuración de los equipos

Falta de control sobre el uso de los activos de TI de la

empresa

Falta de auditorías para controlar los procesos de TI

6

Conexiones de red pública sin protección

Uso indebido de los recursos tecnológicos

Falta de procedimientos para el registro y retiro de usuarios

Configuraciones mal realizadas

Procedimientos inadecuados de contratación

Falta de procesos disciplinarios en caso de incumplimiento

Falta de control de calidad en las instalaciones

4

Infraestructura de red insegura

Información sin encriptar

Inducción incompleta al personal nuevo

Falta de mantenimiento a la planta de energía de respaldo

No se revisa el estado de las conexiones eléctricas

55

Falta de personal de seguridad para resguardar la empresa

Mal funcionamiento de las cámaras de seguridad

3 Software ampliamente distribuido

Variaciones en los voltajes

2 Interfaz de usuario compleja

No se revisa el estado de los drenajes

1 Falta de control de calidad en los UPS


Una vez definido el orden de prioridad, la empresa puede aplicar controles apropiados

para mitigar las vulnerabilidades.

El Departamento de TI tiene la necesidad de mantener operativas sus funciones y

proteger los activos en caso de un imprevisto. Realizado el análisis de vulnerabilidades

y riesgos, se determina que el Departamento de TI es susceptible a interrupciones en

sus actividades, por lo que nace la necesidad de desarrollar un Plan de Continuidad

del Negocio.

56

CAPÍTULO II

ELABORACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

En este capítulo se desarrolla el Plan de Continuidad del Negocio, en cada sección se

describen los aspectos más relevantes establecidos por la Norma ISO 22301:2012

definidos por cada una de las siete cláusulas.

Dentro del estudio inicial se describe al Departamento de TI, de esta manera se obtiene

el Alcance del Plan de Continuidad del Negocio. Por medio de los requerimientos se

definen roles y responsabilidades, el compromiso de la gerencia y así llegar a realizar

la Política de Continuidad.

Se definen los objetivos del Plan de Continuidad con sus respectivos factores críticos

de éxito, también los recursos necesarios para llevar a cabo el Plan de Continuidad.

Posteriormente se describe la metodología de desarrollo del Plan de Continuidad,

finalizando con las estrategias y procedimientos para la Continuidad del Negocio y la

elaboración del documento.

2.1 ESTUDIO INICIAL El estudio inicial comprende una parte importante para la elaboración del Plan de

Continuidad del Negocio. En este estudio se detallan los aspectos más relevantes de

la norma como cada una de las cláusulas con sus respectivas entradas, actividades y

salidas, las cuales serán aplicadas al Departamento de TI.

La Norma ISO 22301 consta de 7 cláusulas [10] claves con las que se lleva a cabo la

Gestión de la Continuidad del Negocio:

- Cláusula 4: Contexto de la Organización

- Cláusula 5: Liderazgo

- Cláusula 6: Planeación

- Cláusula 7: Soporte

57

- Cláusula 8: Operación

- Cláusula 9: Evaluación del desempeño

- Cláusula 10: Mejoramiento

Esta norma fue elegida porque abarca los aspectos de gestión como un sistema,

permitiendo enfocarse en la revisión de riesgos para posteriormente poder estar

preparados ante cualquier desastre y minimizar el impacto, sin que la interrupción de

las actividades sea a largo plazo o a gran escala.

En la Figura 9 se explica de forma gráfica las entradas, actividades y salidas de cada

cláusula de la Norma ISO 22301.

58

Fig

ura

9.

Clá

usu

las

de

la I

SO

22

30

1

ISO

22

30

1

4.

CO

NTE

XTO

DE

LA

O

RG

AN

IZA

CIÓ

N

6.

PLA

NIF

ICA

CIÓ

N

7.

SO

PO

RTE

8.O

PE

RA

CIÓ

N9

. E

VA

LU

AC

IÓN

DE

L

DE

SE

MP

EÑ

O

10

. M

EJO

RA

MIE

NTO

En

tra

da

s

Acti

vid

ad

es

Sa

lid

as

Alc

an

ce

de

l BC

P

Ide

nti

fica

r p

rod

ucto

s y

serv

icio

s

Ide

nti

fica

r a

cti

vos

crí

tico

s

5.

LID

ER

AZ

GO

En

tra

da

s

Act

ivid

ad

es

Sa

lida

s

Ro

les

y re

sp

on

sab

ilid

ad

es

Ga

ran

tiza

r e

l co

mp

rom

iso

de

la

a

lta

dir

ecci

ón

Po

lític

a d

e

co

nti

nu

ida

d

En

tra

da

s

Act

ivid

ad

es

Sa

lida

s

Op

ort

un

ida

de

s y

ri

esg

os

De

term

ina

r lo

s

ob

jeti

vos

estr

até

gic

os

Ob

jeti

vos d

e

co

nti

nu

ida

d d

el

ne

go

cio

En

tra

da

s

Act

ivid

ad

es

Sa

lida

s

Re

curs

os

To

ma

de

co

ncie

nci

a

y co

mu

nic

ació

n

Info

rma

ció

n

do

cu

me

nta

da

En

tra

da

s

Act

ivid

ad

es

Sa

lida

s

Pro

ceso

s crí

tico

s

BIA

Eva

lua

ció

n d

e

rie

sgo

s

Estr

ate

gia

s d

e

co

nti

nu

ida

d d

el

ne

go

cio

En

tra

da

s

Act

ivid

ad

es

Sa

lida

s

BIA

Mo

nit

ore

o

Me

dic

ión

An

ális

is

Eva

lua

ció

n

Re

sult

ad

os d

e

au

dit

orí

a in

tern

a

En

tra

da

s

Act

ivid

ad

es

Sa

lida

s

Estr

ate

gia

s y

pro

ce

dim

ien

tos d

e

co

nti

nu

ida

d d

el

ne

go

cio

To

ma

de

acc

ion

es

pre

ven

tiva

s y

co

rre

cti

vas

Me

jora

Co

nti

nu

a

Pro

du

cto

s y

se

rvic

ios

Fu

ncio

ne

s

Pro

ceso

s d

e T

I

Fu

en

te:

ISO

22

301

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

59

2.1.1 CLÁUSULA 4: CONTEXTO DE LA ORGANIZACIÓN

Como el proyecto se enfoca en el Departamento de TI, se procederá a tratar las

cláusulas de la Norma ISO 22301:2012 [11] haciendo referencia a dicho departamento.

2.1.1.1 Entendimiento a la Organización y su Contexto

Este punto se encuentra descrito en el apartado 1.2.2 y 1.2.2.1 de este documento

donde se hace referencia al Departamento de TI.

2.1.1.2 Entendimiento de las Necesidades y Expectativas de las Partes Interesadas

· Partes Interesadas

Los principales interesados al momento de establecer el Plan de Continuidad son:

o Directorio

o Gerente General

o Gerente de Innovación y Desarrollo Tecnológico

o Gerente Actuarial y Riesgos

· Entendimiento de las Necesidades de la Continuidad

Dentro de la empresa se tiene la necesidad de establecer un Plan de Continuidad del

Negocio, ya que puede presentarse algún imprevisto que provoque desastres y

paralice las actividades del Departamento de TI. Por ser una empresa aseguradora no

puede detener sus funciones, debido a esto es necesario tener un respaldo

principalmente para los activos de TI como es el caso de los servidores, donde se

encuentra el núcleo de la empresa porque se almacena todo tipo de información, tanto

de los clientes como información para las actividades diarias de la empresa.

El Plan de Continuidad del Negocio aporta con varios procedimientos, que permiten

hacer frente a los imprevistos y buscar una pronta solución para continuar con

60

normalidad las actividades dentro del Departamento de TI y satisfacer las necesidades

de los clientes tanto internos como externos.

2.1.1.3 Alcance del Plan de Continuidad del Negocio

Para determinar el alcance del Plan de Continuidad del Negocio, se considera el

Macroproceso MP-150 Tecnología de Información (ver Figura 3), a partir del cual se

obtienen los procesos críticos involucrados en el Plan de Continuidad del Negocio.

Dentro del alcance del Plan de Continuidad se involucra a las siguientes personas:

· Gerente General

· Gerente de Innovación y Desarrollo Tecnológico

· Gerente del Macroproceso

· Líder del proceso

· Personal de TI involucrados en las actividades del proceso

Los activos de TI que se ven involucrados son:

· Aplicaciones

o SISE

o VECTOR

o Risk Control Service

o Intranet

o Correo exchange

· Infraestructura

o Equipos de escritorio

§ ThinkCentre M71z

§ ThinkCentre M73z

o Laptops

§ ThinkPad T440s

§ ThinkPad X121e

61

o Equipos de red

o Servidores

§ BLADE 3, Físico, IBM-VIOS, AIX

§ Virtual, VLK, 2003 Server

§ Físico, VmWare ESXi, VMWARE

§ Virtual, VLK, 2008 Server

2.2 DEFINICIÓN DE REQUERIMIENTOS Y ESTRATEGIA

La determinación de los requerimientos es un componente esencial al momento de

determinar el nivel de reacción del Departamento de TI ante una interrupción en las

operaciones [12] respectivas del negocio y los costos que esto implica.

El Departamento de TI como principal requerimiento de continuidad necesita mantener

operativas sus actividades a pesar de la ocurrencia de un evento inesperado, con la

finalidad de mantener una buena imagen a nivel corporativo.

El Departamento de TI debe reanudar sus actividades lo antes posible, es aquí donde

el Plan de Continuidad del Negocio entra en acción determinando los procedimientos

claves para seguir brindando los servicios a los clientes tanto internos como externos

que dependen de él para realizar sus actividades correspondientes.

2.2.1 CLÁUSULA 5: LIDERAZGO

2.2.1.1 Liderazgo y Compromiso

La Gerencia General de EQUIVIDA S.A. y el Departamento de TI deben involucrarse

en todas las actividades que se lleven a cabo dentro del Plan de Continuidad del

Negocio, tomando en cuenta que se debe nombrar una comisión que debe estar a

cargo de monitorear las actividades que constan en él, de esta manera se obliga a las

demás partes interesadas a formar parte del proceso y obtener los resultados

esperados de la mejor manera con la colaboración de todo el personal.

62

El Directorio y el líder principal del equipo deben conocer cómo se llevan a cabo las

actividades para mantener informados a todos los involucrados. El líder del Plan de

Continuidad del Negocio, será el encargado de formar comisiones para que hagan un

seguimiento, monitoreo, evaluación y correcciones en caso de haberlas, todo esto con

la finalidad de cumplir con los objetivos del Plan de Continuidad del Negocio.

2.2.1.2 Compromiso de la Gerencia

La Gerencia está comprometida a ser partícipe de las actividades del Plan de

Continuidad del Negocio, aportando con los recursos necesarios tanto financieros

como no financieros para la planificación, implementación y mejora continua.

2.2.1.3 Política de Continuidad del Negocio

· Introducción

La Política de Continuidad se desarrolla con el objetivo de garantizar la continuidad en

las actividades de los procesos críticos de TI en caso que un evento inesperado pueda

afectar la continuidad de las operaciones.

· Alcance

La Política de Continuidad aplica para el Departamento de TI de la empresa EQUIVIDA

S.A. en las instalaciones de la ciudad de Quito.

· Objetivo

Elaborar un Plan de Continuidad con la finalidad de estar prevenidos ante eventos

inesperados para recuperar y mantener operativas las actividades que se llevan a cabo

en el Departamento de TI.

· Declaración de la Política

La Política de Continuidad garantiza lo siguiente:

63

o Es prioridad proteger al personal del Departamento de TI ante cualquier

eventualidad, por lo que los brigadistas de la empresa están comprometidos

a brindar protección a través de simulacros con el fin de estar prevenidos.

o Los procesos críticos deben continuar operativos ante un evento inesperado.

Se debe comunicar a los involucrados en las actividades y proveer

permanentemente recursos ya sean financieros, humanos y materiales para

asegurar la recuperación del nivel operativo de las actividades de los

procesos críticos.

o Creación de la Comisión de Continuidad para que sea la encargada de

realizar el monitoreo, evaluación y mejora del Plan de Continuidad del

Negocio.

o Realizar jornadas de capacitación sobre continuidad a las partes interesadas

y colaboradores.

o El tiempo de recuperación ante cualquier eventualidad debe ser el que se

encuentra establecido en el Plan de Continuidad del Negocio.

o Tomar en cuenta las mejores prácticas con el fin de asegurar la mejora

continua de acuerdo a lo establecido en la Norma ISO 22301.

· Vigencia de la Política

La duración de la política se encuentra definida por la Comisión de Continuidad, la cual

dura un año desde la fecha de aprobación o hasta que exista algún cambio en el plan

o en la comisión.

· Incumplimiento de la Política

Las partes involucradas están comprometidas a cumplir estrictamente los puntos

detallados en la declaración de la política, en caso de no cumplir, la empresa tiene la

potestad de sancionar de acuerdo al nivel de impacto que tenga el incumplimiento

debido a que se toman en cuenta aspectos tanto operacionales como legales.

64

· Glosario

BCP; Plan de Continuidad del Negocio por sus siglas en inglés Business Continuity

Plan: plan para recuperar y mantener operativas las funciones de una empresa.

DRP; Plan de Recuperación de Desastres por sus siglas en inglés Disaster Recovery

Plan: plan para recuperar y mantener operativas las actividades referentes a

tecnología.

BIA; Análisis de Impacto del Negocio por sus siglas en inglés Business Impact

Analysis: elemento que se utiliza para calcular la estimación de la afectación que

podría padecer una empresa a consecuencia de algún incidente o un desastre.

RTO; Tiempo Objetivo de Recuperación por sus siglas en inglés Recovery Time

Objective: es el tiempo objetivo de recuperación.

RPO; Punto Objetivo de Recuperación por sus siglas en inglés Recovery Point

Objective: cantidad de información que la empresa puede perder.

WRT; Tiempo de Trabajo de Recuperación por sus siglas en inglés Work Recovery

Time: tiempo necesario para verificar la integridad del sistema y/o los datos.

MTD; Tiempo de Inactividad Máximo Tolerable por sus siglas en inglés Maximun

Tolerable Downtime: tiempo máximo que la empresa puede tolerar la no disponibilidad

de una función o proceso.

2.2.1.4 Roles y Responsabilidades

Por medio del Departamento de Talento Humano se deben realizar una serie de

pruebas para seleccionar al personal adecuado para conformar la Comisión de

Continuidad con lo que se pueden determinar los siguientes roles y responsabilidades:

· Coordinador de Continuidad del Negocio

o Programar y evaluar cambios en el Plan de Continuidad del Negocio.

o Reportar el estado del Plan de Continuidad del Negocio a la alta

dirección.

65

o Evaluar el desempeño de cada miembro de la Comisión de Continuidad.

o Programar reuniones continuas con los líderes de cada equipo.

· Coordinador Alterno de Continuidad del Negocio

o Reemplazar al Coordinador en caso de ausencia.

o Brindar soporte en las actividades del Coordinador.

· Equipo de Gestión de Riesgos

o Realizar análisis de riesgos periódicamente.

o Tomar acciones correctivas y preventivas para mitigar los riesgos

encontrados.

· Equipo de Recuperación

o Restablecer todos los sistemas necesarios.

o Verificar el funcionamiento de los equipos y sistemas.

· Equipo de Brigadistas

o Preparar al personal en caso de un desastre.

o Planificar simulacros.

· Equipo de Apoyo

o Dar soporte en las actividades a los diferentes equipos que conforman la

Comisión de Continuidad.

Una vez definidos los roles la Comisión como equipo tiene las siguientes

responsabilidades:

· Asegurar el cumplimiento de la Política de Continuidad.

· Realizar evaluaciones de riesgo constantes para determinar nuevas amenazas

y descartar las que ya han sido mitigadas.

· Asegurar el cumplimiento de las responsabilidades asignadas a los miembros

de la Comisión y el Equipo de Apoyo.

· Mantener actualizado el Plan de Continuidad del Negocio por medio de la

mejora continua.

· Garantizar una pronta recuperación de las operaciones de los procesos críticos.

66

· Garantizar la socialización del Plan de Continuidad con los empleados del

Departamento de TI.

· Capacitar al personal para que se mantengan al tanto de las acciones que se

llevan a cabo dentro del Plan de Continuidad.

2.2.2 CLÁUSULA 7: APOYO

2.2.2.1 Recursos

La alta dirección debe estar comprometida con la asignación de los recursos para

llevar a cabo el Plan de Continuidad del Negocio. Oportunamente debe destinar

recursos financieros, humanos, técnicos y materiales [13], para que el equipo que lleva

a cabo las actividades y controles del Plan de Continuidad del Negocio pueda

desempeñar sus funciones con normalidad.

2.2.2.2 Competencia

Para seleccionar las personas que se encuentran a cargo del Plan de Continuidad se

define lo siguiente:

· Coordinador de Continuidad del Negocio

o Experiencia laboral mínima de 2 años dentro del Departamento de TI de

la empresa

o Haber recibido capacitaciones referentes a Continuidad del Negocio por

entidades reconocidas.

· Coordinador Alterno de Continuidad del Negocio

o Experiencia laboral mínima de 2 años dentro del Departamento de TI de

la empresa

o Haber recibido capacitaciones referentes a Continuidad del Negocio por

entidades reconocidas.

· Equipo de Gestión de Riesgos

o Personal capacitado en metodologías de gestión de riesgos

o Experiencia laboral en el campo mínima de 1 año

67

o Conocimientos de las normas de la familia ISO 27001

· Equipo de Recuperación

o Experiencia laboral en el campo mínima de 1 año

o Conocimientos específicos en tareas de recuperación en área de las

TICs

· Equipo de Brigadistas

o Haber recibido capacitaciones por parte de las autoridades competentes

(bomberos, defensa civil, equipo de paramédicos)

o Capacidad de reacción ante desastres naturales inesperados

· Equipo de Apoyo

o Experiencia laboral en el área de TICs mínima de 1 año

o Conocimiento de las operaciones del Departamento de TI de la empresa

o Proactivo

2.2.2.3 Toma de Conciencia y Comunicación

El equipo que conforma la Comisión de Continuidad debe conocer la Política de

Continuidad, con la finalidad de hacer cumplir la declaración que se encuentra en ella

y tomar acciones contra el personal que no la cumpla. A su vez, cada miembro de la

Comisión de Continuidad debe estar consciente del rol que desempeña dentro del

equipo y estar siempre preparado ante cualquier eventualidad para dar una breve

solución a cualquier incidente que llegara a suceder o a su vez evitar que dicho

incidente ocurra con las acciones necesarias.

La Comisión de Continuidad también se debe encargar de transmitir información

relevante sobre las actividades que se desarrollan en el Plan de Continuidad del

Negocio, a través de capacitaciones para el personal del Departamento de TI, quienes

son los principales involucrados. Adicionalmente, para el personal entrante se debe

brindar inducción con la finalidad de que todos puedan cumplir de manera satisfactoria

las cláusulas definidas en el Plan de Continuidad del Negocio.

68

2.3 OBJETIVOS DEL PLAN DE CONTINUIDAD

2.3.1 CLÁUSULA 6: PLANEACIÓN

2.3.1.1 Objetivos Es necesario definir los objetivos que se pretenden alcanzar con la aplicación del Plan

de Continuidad del Negocio.

· Mantener el nivel operativo de las funciones de los procesos críticos del

Departamento de TI.

· Reducir la posibilidad de pérdida y divulgación de información sensible.

· Proteger al personal, clientes y terceras partes en caso de que un evento

inesperado cause daños.

· Garantizar la protección de los activos críticos del Departamento de TI.

· Garantizar y optimizar las acciones a realizar ante un desastre.

· Mantener la imagen corporativa del Departamento de TI.

Se deben tomar en cuenta todos los riesgos que pueden causar inconvenientes a la

operatividad de las funciones del Departamento de TI. Con una mitigación efectiva de

los mismos, las operaciones críticas del departamento no se verán afectadas. La

planificación se la debe realizar de manera rigurosa para cumplir a cabalidad los

objetivos antes mencionados, todo esto con el compromiso constante de las partes

interesadas.

2.3.1.2 Factores Críticos de Éxito En base a los objetivos planteados se realiza un análisis y en la Tabla 26 se presentan

los factores críticos de éxito por cada uno de ellos.

69

Tabla 26. Factores Críticos de Éxito

OBJETIVOS FACTORES CRÍTICOS DE ÉXITO

Mantener el nivel operativo de las

funciones de los procesos críticos

del Departamento de TI.

Implementar un centro de datos alterno que almacene el sistema core

SISE, así como la información utilizada por el mismo.

Subir el sistema a la nube y solicitar al proveedor del servicio una

disponibilidad de 99.99% (“4 nueves”) mensual.

Reducir la posibilidad de pérdida y

divulgación de información

sensible.

Implementar acuerdos de confidencialidad.

Controles de medios extraíbles.

Proteger al personal, clientes y

terceras partes en caso de que un

evento inesperado cause daños.

Realizar simulacros planificados ante desastres naturales, terrorismo y

fallas técnicas.

Garantizar la protección de los

activos de TI que son esenciales

para el desarrollo de las

actividades del Departamento de

TI.

Implementar un centro de datos alterno que almacene el sistema "core"

SISE, así como la información utilizada por el mismo.

Subir el sistema a la nube y solicitar al proveedor del servicio del 95%

mensual.

Garantizar y optimizar las acciones

a realizar ante un desastre. Definir roles y responsabilidades.

Mantener la imagen corporativa

del Departamento de TI. Crear políticas que garanticen confidencialidad, integridad y disponibilidad.


2.4 METODOLOGÍA DE DESARROLLO DEL PLAN DE CONTINUIDAD

DEL NEGOCIO

El estándar ISO 22301:2012 “Seguridad Social: Sistemas de Continuidad del Negocio

- Requisitos” es un estándar internacional para la Gestión de la Continuidad del

Negocio, el cual fue desarrollado con la finalidad de ayudar a las organizaciones a

minimizar el riesgo ante desastres. Actualmente el estándar ISO 22301 reemplaza a

la Norma BS 25999. Los requerimientos especificados en la ISO 22301 son genéricos

y pueden ser aplicables para todo tipo de organización independiente de su tamaño o

naturaleza.

El estándar ISO 22301 aplica el ciclo PDCA (Plan, Do, Check, Act por sus siglas en

inglés) a la planeación, establecimiento, implementación, operación, monitoreo,

70

revisión, ejercicios, mantenimiento y mejora continua de la efectividad del Sistema de

Gestión de Continuidad del Negocio de una organización. El estándar ISO 22301 tiene

como referencias consistentes a otros estándares como son: ISO 9001:2008, ISO

14001:2004, ISO/IEC 27001:2005 e ISO/IEC 20000-1:2005 [30].

Figura 10. Ciclo PDCA Aplicado al Proceso de la Continuidad del Negocio

Fuente: Norma ISO 22301:2012


El PDCA aplicado a la Continuidad del Negocio [14] se puede describir de la siguiente

manera:

- PLAN: es esta sección se aplican las cláusulas 4, 5, 6 y 7 de la Norma

correspondientes a Contexto de la Organización, Liderazgo, Planeación y

Soporte.

- DO: en esta fase se aplica la cláusula 8 correspondiente a Operación.

- CHECK: en esta fase se aplica la cláusula 9 que corresponde a Evaluación del

desempeño.

71

- ACT: en esta fase se aplica la cláusula 10 que corresponde al Mejoramiento

Continuo.

2.4.1 CLÁUSULA 8: OPERACIÓN

2.4.1.1 Análisis de Impacto del Negocio y Evaluación del Riesgo

Como parte del proceso de Continuidad del Negocio es necesario realizar un Análisis

de Impacto del Negocio [15] para evaluar los riesgos y su impacto en los procesos

críticos.

· Procesos de TI

Dentro del Departamento de TI existe el Macroproceso Tecnología de Información el

cual consta de los siguientes subprocesos:

o PR-153 Desarrollo e Implementación de Aplicativos

o PR-154 Gestión de Cambio

o PR-155 Gestión de Incidentes

o PR-156 Gestión de Problemas

o PR-1511 Gestión de Centro de Servicio

o PR-1513 Gestión de Configuraciones

o PR-1515 Gestión de Proyectos de TI

o PR-1516 Gestión de Niveles de Servicios

o PR-1517 Selección de Proveedores de TI

o PR-1518 Contratación de Proveedores de TI

o PR-1519 Evaluación de Proveedores

o PR-1520 Seguimiento y Control de Proveedores de TI

o PR-1521 Gestión de Peticiones de Servicios

· Selección de los Procesos Críticos de TI

Un paso para poder determinar el alcance del Plan de Continuidad es determinar los

procesos críticos, de esta manera se establecen indicadores los cuales nos ayudarán

72

a determinar los procesos que tienen un alto impacto dentro de las funciones de la

empresa.

Se toman en cuenta cuatro tipos de indicadores para la selección de los procesos

críticos:

o Suspensión de operaciones

o Pérdida de ingresos

o Necesidad de los clientes/Servicio al cliente

o Confianza de los accionistas

En base a estos criterios se procede a valorar los procesos y determinar su criticidad.

Los valores ponderados son establecidos de acuerdo al impacto que tiene en el

negocio:

o Bajo: 1

o Medio: 2

o Alto: 3

Figura 11. Escala de Criticidad


En la Tabla 27 se muestra el proceso de identificación de los procesos críticos del

Departamento de TI de EQUIVIDA S.A.

Tabla 27. Identificación de Procesos Críticos

CÓDIGO

PROCESO PROCESO

SUSPENSIÓN DE

OPERACIONES

PÉRDIDA DE

INGRESOS

NECESIDADES DE

LOS

CLIENTES/SERVICIO

AL CLIENTE

CONFIANZA

DE LOS

ACCIONISTAS

TOTAL

PR-153

Desarrollo e

Implementación de

Aplicativos

3 1 1 1 6

PR-154 Gestión de Cambio 2 2 1 2 7

73

CÓDIGO

PROCESO PROCESO

SUSPENSIÓN DE

OPERACIONES

PÉRDIDA DE

INGRESOS

NECESIDADES DE

LOS

CLIENTES/SERVICIO

AL CLIENTE

CONFIANZA

DE LOS

ACCIONISTAS

TOTAL

PR-155 Gestión de Incidentes 3 2 3 3 11

PR-156 Gestión de Problemas 2 1 2 2 7

PR-1511 Gestión de Centro de

Servicio 3 2 3 3 11

PR-1513 Gestión de

Configuraciones 3 3 3 2 11

PR-1515 Gestión de Proyectos

de TI 1 2 1 2 6

PR-1516 Gestión de Niveles de

Servicios 3 2 3 3 11

PR-1517 Selección de

Proveedores de TI 1 1 2 2 6

PR-1518 Contratación de

Proveedores de TI 1 1 2 2 6

PR-1519 Evaluación de

Proveedores 1 2 2 2 7

PR-1520 Seguimientos y Control

de Proveedores de TI 1 1 2 2 6

PR-1521 Gestión de Peticiones

de Servicios 1 1 3 1 6


Una vez realizado el análisis se determinan como procesos críticos los siguientes:

o PR-155 Gestión de Incidentes

o PR-1511 Gestión de Centro de Servicio

o PR-1513 Gestión de Configuraciones

o PR-1516 Gestión de Niveles de Servicios

· Diagramas de Flujo de los Procesos Críticos

A continuación, de la Figura 12 - 15 se muestran los diagramas de flujo de cada uno

de los procesos críticos del Departamento de TI que han sido identificados.

74

Fig

ura

12

. G

es

tió

n d

e In

cid

ente

s

Fu

en

te:

EQ

UIV

IDA

S.A

. [3

]

75

Fig

ura

13

. G

es

tió

n d

e C

en

tro

de

Se

rvic

ios

Fu

en

te:

EQ

UIV

IDA

S.A

. [3

]

76

Fig

ura

14

. G

es

tió

n d

e C

on

fig

ura

cio

nes

Fu

en

te:

EQ

UIV

IDA

S.A

. [3

]

77

Fig

ura

15

. G

es

tió

n d

e N

ive

les

de

Se

rvic

io

Fu

en

te:

EQ

UIV

IDA

S.A

. [3

]

78

· Análisis de Impacto del Negocio o Objetivos del BIA

§ Analizar el impacto que causa una interrupción [16] en las actividades

de los procesos críticos del Departamento de TI.

§ Determinar los tiempos y estrategias de recuperación ante cualquier

eventualidad que cause una interrupción en las actividades.

o Impacto Financiero y Estratégico

Para determinar el impacto de cada proceso crítico, se establecen los

valores del impacto financiero e impacto estratégico. Para el impacto

estratégico se toman en cuenta tres criterios de evaluación: efectividad del

servicio, confianza del cliente y satisfacción del cliente. La escala de

medición para cada uno de estos criterios comprende de la siguiente

manera:

§ Bajo: 1

§ Medio: 2

§ Alto: 3

Tabla 28. Análisis de Impacto del Negocio

PROCESO IMPACTO

FINANCIERO (IF)

IMPACTO ESTRATÉGICO (IE) PONDERACIÓN

IF x IE Efectividad del servicio

Confianza del cliente

Satisfacción del cliente

Total

Gestión de Incidentes

3 3 3 2 8 24

Gestión de Centro de Servicio

2 3 3 2 8 16

Gestión de Configuraciones

3 3 2 2 7 21

Gestión de Niveles de Servicios

2 3 3 2 8 16


El criterio de calificación de acuerdo a la escala da un cierto tipo de impacto,

el mismo que cuantifica tanto la parte financiera como la parte estratégica,

por esta razón la ponderación se obtiene del producto de los valores totales

del impacto estratégico por el impacto financiero. Tomando en cuenta los

79

resultados obtenidos se establece el orden de importancia de los procesos

evaluados:

1. Gestión de Incidentes

2. Gestión de Configuraciones

3. Gestión de Niveles de Servicios

4. Gestión de Centro de Servicios

o Determinación del RPO, RTO, WRT y MTD

El primer paso para el desarrollo de la determinación de los tiempos de

recuperación y tolerancia es obtener los procesos críticos y sus actividades

relacionadas. En la Figura 16 se muestra la relación entre el RPO, RTO,

WRT y MTD.

Figura 16. Relación entre RPO, RTO, WRT y MTD [17]

RPO RTO WRT

NormalSe produce el

desastreRecuperación

Reanudar el

proceso

Tiempo

MTD


Para determinar el punto objetivo de recuperación (RPO), el tiempo objetivo

de recuperación (RTO) y el tiempo de trabajo de recuperación (WRT) para

cada uno de los procesos críticos se realiza entrevistas a los responsables

de cada proceso. Esta información nos permitió también obtener las

estrategias de recuperación.

Para obtener el tiempo de inactividad máximo tolerable (MTD) se aplica la

fórmula [17]:

MTD= RTO + WRT.

80

Ta

bla

29

. T

iem

po

s d

e R

ec

up

era

ció

n

Pro

ce

so

A

cti

vid

ad

es

Ac

tivo

s d

e T

I

RP

O

RT

O

WR

T

MT

D=

R

TO

+W

RT

A

plic

acio

nes

Infr

aest

ruct

ura

D

atos

P

erso

nal

Ser

vidor

es

Com

puta

dora

s

Ge

stió

n d

e

Inci

de

nte

s

Rece

pta

r la

sol

icitu

d d

e in

cid

enc

ia

- S

ISE

-

Intr

anet

-

VE

CT

OR

-

Cor

reo

Exc

hang

e

- R

isk

Con

trol

S

ervi

ce

- B

lade

3,

Fís

ico,

IBM

-V

IOS

, AIX

-

Fís

ico,

V

MW

are,

E

SX

i, V

MW

AR

E

- V

irtu

al, V

LK,

2003

Ser

ver

- E

xpre

ssio

n E

ngin

e -

Virtu

al, V

LK,

2008

Ser

ver

- T

hin

kCen

tre

M73

z -

Thin

kPad

T

440

s -

Thin

kPad

X

121e

-

Thin

kCen

tre

M71

z -

Thin

kPad

T

430

- R

epor

tes

- B

ases

de

Dat

os

- M

anua

les

de

Usu

ario

de

las

aplic

acio

nes

- M

anua

les

de

proc

edim

ient

os

- In

vent

ario

s

- Ja

vier

Chi

caiz

a

- A

ndre

a B

ande

ra

0.5

hora

s 0.

5 ho

ras

0.5

hora

s 1

hor

a

An

aliz

ar

la in

cid

enc

ia

Em

itir

un

dia

gnó

stic

o d

e

la in

cid

enc

ia

Reso

lve

r la

inci

de

ncia

Ge

stió

n d

e C

en

tro

d

e S

erv

icio

Reg

istr

ar

la s

olic

itud

del

cl

ien

te in

tern

o

0.5

hora

s 0.

5 ho

ras

0.5

hora

s 1

hor

a

Asi

gna

r la

sol

icitu

d a

un

G

est

or

corr

esp

ond

ien

te

So

luci

ona

r la

sol

icitu

d

Ge

stió

n d

e

Con

figu

raci

on

es

Avi

so d

e a

lta o

ba

ja d

e

ele

me

nto

s de

co

nfig

ura

ció

n

1 h

ora

1

hor

a

2 ho

ras

3 h

ora

s R

eco

pila

r in

form

ació

n

Notif

ica

r la

act

ual

iza

ció

n

vía

ma

il

Mo

nito

rea

r C

MD

B

Act

ual

iza

r C

MD

B

Ge

stió

n d

e N

ive

les

de

Se

rvic

ios

Imp

lem

enta

r a

cció

n d

e

me

jora

de

serv

icio

s

1 h

ora

1

hor

a

1 ho

ra

2 h

ora

s

So

licita

r p

ara

me

triz

aci

ón

de

un

nu

evo

se

rvic

io

An

aliz

ar

el S

LA

Act

ual

iza

r ca

tálo

go

de

se

rvic

ios

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

81

· Evaluación de Riesgos

Esta sección se encuentra detallada en el apartado 1.4.4 de este documento.

2.4.1.2 Estrategia de Continuidad del Negocio

Para determinar las estrategias de Continuidad del Negocio se toman en cuenta los

factores tecnológicos, ambientales, humanos y los servicios que son tercerizados. Las

estrategias de continuidad son aplicadas a los procesos críticos del Departamento de

TI.

· Escenarios de Recuperación

Considerando la magnitud del impacto del incidente se puede tomar en cuenta el tipo

de recuperación que se requiera implementar. A continuación, se describen los

diferentes escenarios de recuperación.

o Hot Site (sitio caliente): es un escenario que tiene el equipo necesario para

que la empresa continúe con el desempeño normal de sus actividades. Este

escenario incluye los espacios necesarios de una oficina, muebles y demás

activos de tecnología, es decir se tiene una réplica del ambiente de

operación.

o Warm Site (sitio cálido): este escenario permite preinstalar los equipos y el

ancho de banda necesario para que en caso de un desastre solamente se

deba configurar el software y restablecer los sistemas del negocio.

o Cold Site (sitio frío): este escenario es un espacio que contiene

instalaciones eléctricas y aire acondicionado pero carece de los equipos

necesarios para restablecer las operaciones de manera inmediata.

o Mirror Site (sitio espejo): este escenario no es más que una réplica de las

estaciones de operación del sitio original, es decir debe ser una copia exacta,

que incluya los mismos equipos, mismas conexiones, etc. Este escenario es

el más usado al momento de realizar un Plan de Continuidad del Negocio.

o Mobile Site (sitio móvil): este escenario contiene los equipos necesarios

para implementar un centro de operación alternativo en caso de un desastre.

82

En la Tabla 30 se muestra un resumen de los escenarios de recuperación con los

indicadores más importantes al momento de tomar una decisión.

Tabla 30. Escenarios de Recuperación [18]

SITIO COSTO HARDWARE TELECOMUNICACIONES TIEMPO LOCALIZACIÓN

Cold Site Bajo No Ninguno 45 días Fijo

Warm Site Medio Parcial Parcial 10 días Fijo

Hot Site Alto Completo Parcial 15 días Fijo

Mobile Site Alto Variable Variable 8 días No fijo

Mirror Site Muy Alto Completo Completo 30 días Fijo


De acuerdo a lo descrito en la Tabla 30, se realiza un análisis en base a los costos y

tiempo estimado que conlleva implementar estos escenarios, determinando que no

son la mejor opción para ser tomados en cuenta.

· Estrategias de Continuidad del Negocio

o Acuerdos recíprocos con otras organizaciones: estos acuerdos

consisten en convenios realizados con otras empresas para que en caso de

un desastre se pueda trasladar ciertos empleados y equipos para continuar

con sus actividades de manera temporal.

o Almacenamiento en la nube: esta es una solución cada vez más atractiva

para las organizaciones ya que los datos residen en la Web. Los

proveedores del servicio de almacenamiento en la nube tienen distintos

centros de almacenamiento de datos con lo que garantizan que la

información se almacene de manera segura y esté disponible siempre que

el usuario lo requiera.

Las características del servicio se definen al momento en que la empresa

firma el contrato con el proveedor del servicio.

o Servicios en la nube [19]

§ Saas (Software as a Service/Software como Servicio): es una solución

en la cual los usuarios usan un navegador para acceder al software con

83

los programas y datos del usuario que residen en la nube. Esta solución

elimina la necesidad de aplicaciones in-house.

§ Paas (Platform as a Service/Plataforma como Servicio): esta solución

provee todas las fuentes requeridas para construir aplicaciones y

servicios directamente desde Internet, sin la necesidad de descargar o

instalar software.

§ Iaas (Infraestructure as a Service/Infraestructura como Servicio): este

servicio ofrece el hardware para que la organización pueda ponerlo en

donde lo necesite. IaaS permite rentar recursos como:

- Servidores

- Equipos de red

- Memoria

- Ciclos de CPU

- Espacio de almacenamiento

· Selección de la Estrategia de Continuidad del Negocio

Una vez analizadas las estrategias, se llega a la conclusión de que las mejores son:

o Acuerdos recíprocos con otras organizaciones

o Almacenamiento en la nube

Estas estrategias han sido elegidas debido a dos factores: los bajos costos de

implementación y aprovechar las diferentes alianzas estratégicas con las empresas

que forman parte del Grupo Futuro. Esto facilita la compartición de recursos tanto de

infraestructura y personal.

2.4.1.3 Procedimientos para Continuidad del Negocio [20]

· Implementación de un Centro de Datos Alterno

Este procedimiento se describe en base a la estrategia “Acuerdos recíprocos

con otras organizaciones”.

1. Establecer términos y condiciones entre las partes interesadas.

84

2. Analizar los términos y condiciones.

3. Firmar el acuerdo.

4. Replicar información del centro de datos una vez al día al finalizar la jornada

laboral.

· Almacenamiento en la Nube

1. Analizar los Acuerdos de Nivel de Servicio (Service Level Agreement, SLA

por sus siglas en inglés) del proveedor.

2. Contratar el servicio.

3. Instalar la aplicación.

4. Subir el contenido a la nube.

5. Mantener la aplicación actualizada.

· Procesar Fallas de Hardware

Para la descripción de este procedimiento serán tomados en cuenta los

siguientes activos:

o Laptops

o Desktops

o Switches

o Servidores

1. Reportar el daño al Departamento de TI.

2. Asignar un técnico al problema reportado.

3. El técnico asignado revisa el equipo y reporta el tipo y la gravedad del daño.

4. Verificar si el equipo cuenta con garantía.

a. Si tiene garantía se reporta el daño al proveedor del equipo donde éste

determina si aplica o no la garantía.

i. Si aplica la garantía el proveedor se encarga de reparar el equipo.

ii. Si no aplica la garantía el técnico del Departamento de TI puede

reparar el equipo o el proveedor lo repara con un costo adicional.

85

b. Si no tiene garantía el técnico del Departamento de TI puede reparar el

equipo o el proveedor lo repara con un costo adicional.

5. En caso de que el tiempo de reparación del equipo sea extenso se procede

al reemplazo del equipo, siempre y cuando sea posible hacerlo, caso

contrario se recurre a la estrategia establecida.

En el paso 4 se menciona “Verificar si el equipo cuenta con garantía”, este paso no

es aplicable para el caso de los switches ya que es factible reparar o sustituir el

equipo de manera inmediata.

· Procesar Fallas de Software

1. Reportar la falla al Departamento de TI.


3. El técnico asignado revisa la falla y en caso de:

a. Sistema operativo

i. Revisar la causa del problema

ii. Si el daño es mayor, se deben obtener los respaldos necesarios y

formatear el equipo.

iii. Instalar el sistema operativo, las aplicaciones y archivos respaldados.

iv. Probar que el problema haya sido solucionado.

b. Software de ofimática y antivirus

i. En caso de que las licencias no se hayan renovado se las debe

adquirir de manera inmediata.

ii. Reinstalar el software.

iii. Verificar su funcionamiento.

· Procesar Fallas de Aplicaciones



3. El técnico asignado revisa la falla y reporta el problema al encargado de la

aplicación.

86

a. Si fallan las aplicaciones en el servidor:

i. Obtener respaldos para proceder a la depuración del servidor.

ii. Reparar el daño.

iii. Instalar las aplicaciones en el servidor.

iv. Configurar el servidor con los respaldos obtenidos.

b. Si fallan las aplicaciones en los equipos personales

i. Detectar la causa del problema.

ii. Solucionar la falla lo más pronto posible.

4. Hacer las pruebas para comprobar que el problema ha sido solventado.

Si el tiempo de reparación del servidor es alto, se recurre a la estrategia establecida

en la sección 2.4.1.2.3 de este documento.

· Procesar Problemas de Energía Eléctrica

El Departamento de TI cuenta con 25 dispositivos de alimentación ininterrumpida

(Uninterruptible Power Supply, UPS por sus siglas en inglés), los cuales mantienen la

energía mientras se activa el generador.

En el caso de una falla de la red eléctrica de la Empresa Eléctrica Quito:

1. Verificar el estado del generador eléctrico

a. El encargado de mantenimiento debe comprobar que se encuentre el

tanque cargado, lo que garantiza 8 horas de energía.

b. Si al generador le hace falta combustible se lo debe llenar de manera

inmediata.

2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el

generador entre en operación.

3. El generador entra automáticamente en funcionamiento en 10 segundos a

partir del corte de energía.

En el caso de que la falla eléctrica sea:

1. Interna

87

a. Reportar la falla a un especialista eléctrico.

b. Los UPS tienen un respaldo de 15 minutos de energía hasta que el

generador entre en operación.

c. El generador entra automáticamente en funcionamiento en 10 segundos

a partir del corte de energía.

d. El especialista eléctrico verifica el origen de la falla.

e. Se procede a reparar la falla

f. Se realiza una revisión del funcionamiento de los equipos.

2. En el caso de una falla interna y no funcionan los UPS

a. Reportar la falla a un especialista eléctrico.

b. El generador entra automáticamente en funcionamiento en 10 segundos

a partir del corte de energía.

c. El especialista eléctrico verifica el origen de la falla y la repara.

d. El técnico del Departamento de TI revisa si algún equipo tuvo daños.

i. Si los equipos tienen alguna falla producida por el corte de energía

se procede a la reparación o sustitución del mismo.

3. Si el daño producido a los equipos es grave y el tiempo de recuperación es

extenso se procede a implementar la estrategia de recuperación elegida.

· Procedimientos ante Desastres Naturales

Dentro de este procedimiento se toman en cuenta los siguientes escenarios:

o Incendios

o Inundaciones

o Terremotos

1. El equipo de brigadistas es el encargado de realizar las siguientes actividades:

a. Reportar el desastre ante las autoridades competentes. (Bomberos)

b. Iniciar el proceso de evacuación de las instalaciones.

c. Controlar el desastre.

88

d. Verificar que los empleados se encuentren en buenas condiciones.

e. Revisar las instalaciones.

f. Reportar al Departamento de TI sobre el estado de los equipos.

2. Los técnicos del Departamento de TI deberán:

a. Revisar el estado de los equipos

b. Reportar los daños

c. Realizar las reparaciones de los equipos en caso de ser posible.

En caso de daño y pérdida total de los equipos se inicia la acción con la estrategia

elegida.

· Procesar Fallas en los Servicios Contratados

Esta falla se refiere a los servicios contratados con el Proveedor de Servicio de Internet

(Internet Service Provider, ISP por sus siglas en inglés).


2. Asignar un técnico para la revisión de la falla.

a. En caso de ser una falla interna el técnico asignado soluciona el

problema.

b. Si es una falla mayor, reporta al proveedor del servicio.

i. Conectar los routers móviles (MiFi) hasta que el problema sea

solucionado.

3. Restablecer el servicio.

· Procesar Fallas Humanas y Organizacionales

Este tipo de fallas hacen referencia a incidentes provocados por el hombre, por lo que

es necesario contar con un Oficial de Seguridad Informática y políticas.

En caso de existir un Oficial de Seguridad.

1. Reportar o anticipar el incidente de seguridad informática al Oficial de

Seguridad.

2. El Oficial de Seguridad analiza el caso.

89

3. Definir acciones tanto preventivas como correctivas.

En caso de no existir un Oficial de Seguridad.

1. Elaboración del perfil para contratación.

2. Llamado a postulación del cargo.

3. Evaluación y entrevista de los postulantes.

4. Notificación de resultados.

5. Contratación.

6. Asumir responsabilidades.

7. En caso de fallas:

a. Reportar o anticipar el incidente de seguridad informática al Oficial de

Seguridad.

b. El Oficial de Seguridad analiza el caso.

c. Definir acciones tanto preventivas como correctivas.

Para la elaboración de políticas.

1. Definición del alcance de la política

2. Creación de las políticas por parte del Oficial de Seguridad.

3. Revisión y aprobación de las políticas.

4. Aplicación de las políticas a través de la socialización de la misma con el

personal.

2.4.1.4 Ejercicios y Ensayos

La Comisión de Continuidad deberá realizar ejercicios y ensayos para garantizar el

correcto funcionamiento de los procedimientos establecidos [21].

· Ejercicios o Orientación: el propósito de este ejercicio es familiarizar al personal con el

Plan de Continuidad del Negocio de la organización. Este proceso se lo lleva

90

a cabo mediante reuniones de los diferentes departamentos para una mejor

comprensión y coordinación.

o Simulacro: el éxito de los simulacros está determinado por la

retroalimentación de los participantes y el impacto que tiene en la evaluación

y revisión de políticas y procedimientos.

o Ejercicio funcional o de simulación: el propósito de este ejercicio es

probar la capacidad de una organización para responder a un evento

simulado.

o Ejercicio a escala global: prueba la capacidad de respuesta global de

múltiples organizaciones mediante la simulación de un hecho real lo más

cerca posible.

· Ensayos

Es necesario probar los ejercicios mediante ensayos, los cuales se listan a

continuación:

o Discusiones: consiste en realizar reuniones en las cuales cada uno de los

asistentes expresa sus diferentes puntos de vista ante una situación.

o Lluvia de ideas: consiste en planificar sesiones de grupo en las que se

propone ideas al azar sobre un tema o problema determinado para alcanzar

una idea general que aporte a la mejora de los ejercicios.

o Caso de estudio: consiste en presentar casos de aplicación reales, donde

se pueden determinar aciertos y fallas de los procedimientos.

o Talleres de capacitación: consisten en brindar al personal de la empresa

charlas que les permita conocer el funcionamiento de la empresa con el fin

de que los empleados tengan claros los objetivos del negocio.

o Junta básica: los participantes discuten los problemas como un grupo, el

líder resume las conclusiones.

o Junta avanzada: los problemas a resolver necesitan una respuesta rápida,

en esta junta el facilitador guía la discusión.

91

2.4.2 CLÁUSULA 9: EVALUACIÓN DEL DESEMPEÑO

2.4.2.1 Monitoreo y Medición

Las variables [22] a ser tomadas en cuenta para este paso son tiempos, costos y

efectividad.

· Tiempo

o Tiempo de revisión y diagnóstico de los equipos

o Tiempo que el técnico del Departamento de TI tarda en dar el soporte

o Tiempo que el técnico del servicio contratado tarda en dar el soporte

o Tiempo que se tarda en reemplazar el equipo

o Tiempo que se tarda en configurar el equipo nuevo

o Tiempo que toma instalar las aplicaciones

o Tiempo total de los procesos de recuperación

· Costos

o Costos de reparación de los equipos

o Costos de compra de nuevos equipos

o Costos de logística

o Costo total

· Efectividad

o Duración del proceso inactivo

o Fallas en la aplicación del plan

o Tiempo que toma realizar el simulacro

o Consideración de los tiempos RTO, RPO y MTD

2.4.2.2 Análisis y Evaluación

A través de los procedimientos, ejercicios y ensayos establecidos anteriormente, se

realiza un análisis tomando en cuenta los parámetros de medición:

· Tiempo

· Costo

92

· Efectividad

Una vez realizado el análisis se procede a la evaluación [23] donde los resultados

obtenidos pueden ser acertados o fallidos. En caso de ser resultados excelentes se

tendrán reuniones cada mes con la finalidad de mantener actualizados los

procedimientos. En caso de tener errores, estos deben ser corregidos inmediatamente

actualizando los procedimientos. Los procedimientos corregidos serán sometidos a los

procesos de análisis y evaluación tomando en cuenta los parámetros de medición

antes mencionados.

2.4.2.3 Auditoría Interna

La auditoría interna es un proceso que debe estar controlado directamente por la

Gerencia ya que se debe garantizar el cumplimiento de los objetivos de la empresa.

Los encargados de la parte de auditoría interna deben realizar esta actividad de

manera permanente para agregar valor y optimizar el desempeño de las operaciones

dentro del Departamento de TI y a su vez mejorar la eficacia de los procesos que se

llevan a cabo dentro del mismo.

Los auditores internos obtienen información como buenas prácticas, mejoras,

cumplimiento de los requisitos y problemas; y están en la obligación de sugerir el

mejoramiento de los procedimientos que se desarrollan con el Plan de Continuidad en

caso de que sea necesario corregir alguno de estos.

2.4.2.4 Revisión Gerencial

Los auditores internos deben reportar directamente sus actividades a la Gerencia ya

que es oportuno que los directivos conozcan cómo se están llevando a cabo los

procedimientos de Continuidad del Negocio. En base a los resultados obtenidos de la

auditoría se puedan tomar las mejores decisiones que aporten al desarrollo del plan.

93

2.4.3 CLÁUSULA 10: MEJORAMIENTO

2.4.3.1 No Conformidad y Acción Correctiva

Los auditores internos están ligados a este punto ya que son los que evalúan

directamente el cumplimiento de los requisitos. En caso de alguna falta ante ellos se

da la no conformidad. Esta falta puede ser: documentación incompleta, incumplimiento

de las fechas de auditoría, falta de algún requisito de la norma o alguna inconsistencia

en las hojas de ruta. Esto se debe reportar a la gerencia y a su vez proponer las

acciones correctivas dependiendo del requisito que no ha sido cumplido

satisfactoriamente.

2.4.3.2 Mejora Continua

El proceso de mejora continua sigue el ciclo PDCA, lo que garantiza que los objetivos

sean identificados de la mejor manera definiendo los indicadores que van a permitir

establecer el punto inicial de donde se los puede cuantificar [24]. Identificados estos

objetivos, podemos llevar a cabo las acciones planificadas y realizar un análisis de los

resultados, los cuales pueden ser evaluados con los objetivos establecidos y

determinar si se han alcanzado. Caso contrario, se debe analizar el error que no

permitió conseguirlos.

Todo el personal debe estar involucrado con el proceso de mejora continua con la

finalidad de no ocultar información ni acontecimientos que afecten las actividades del

Departamento de TI. El aporte de sus propias experiencias en cuanto a las actividades

que realiza dentro del departamento es fundamental para poder realizar un estudio de

los procesos y procedimientos que se quieren mejorar.

El ciclo de mejora continua no tiene fin ya que cada vez es necesario mantener las

evaluaciones de los procesos para realizar cambios en caso de que existan anomalías

que puedan afectar el desarrollo de las actividades. Esto garantiza un cumplimiento de

los objetivos planificados en la primera fase del Plan de Continuidad del Negocio.

94

2.5 GENERACIÓN DEL DOCUMENTO El documento [25] cuenta con la siguiente estructura:

· Carátula

· Índice de contenidos

· Introducción

· Objetivos

· Política

· Gestión de riesgos

· Análisis de impacto del negocio – BIA

· Estrategias de continuidad

· Grupos para la Continuidad del Negocio

· Auditoría interna

· Mejora continua

· Términos y definiciones

Ver el documento en el Anexo 1.

95

CAPÍTULO III

APLICACIÓN DEL PLAN DE CONTINUIDAD

En este capítulo se recopila información necesaria para proceder a la aplicación del

Plan de Continuidad del Negocio, posteriormente se analizan los resultados y se

realiza una evaluación de la aceptación, colaboración y cumplimiento de los objetivos

del Plan.

3.1 RECOPILACIÓN DE DATOS DEL CASO DE APLICACIÓN

En esta sección se reúnen los datos necesarios como: actividades, activos y medidas

de defensa de cada proceso que es tomado en cuenta para el caso de aplicación.

En la Tabla 31 se resume una ficha técnica con información de la empresa EQUIVIDA

S.A. y el Departamento de TI.

Tabla 31. Datos del Caso de Aplicación

Nombre de la empresa EQUIVIDA S.A. Línea de negocio Seguros de vida para personas

Número de sucursales 3 Sucursal del caso de estudio Quito (Matriz)

Dirección Av. Amazonas N40-100 y Gaspar de Villarroel Teléfono (593)224 66 62

Gerente General Martha Tufiño Número de personas de la empresa 220

Dependencia de aplicación del caso de estudio

Gerencia de Innovación y Desarrollo Tecnológico

Gerente de la dependencia María Isabel Quiroz Número de personas del Departamento de TI 35

Número de laptops instaladas 142 Número de desktops instaladas 80 Número de switches instalados 12

Número de servidores 31 Número de aplicaciones 23

Procesos críticos Gestión de Incidentes

Gestión de Centro de Servicios

96

Gestión de Configuraciones Gestión de Niveles de Servicio

Aplicaciones críticas

SISE Intranet

VECTOR Risk Control Service

Correo Exchange Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa

3.1.1 GESTIÓN DE INCIDENTES

Este proceso resuelve cualquier incidente que cause una interrupción o degradación

en el servicio de manera rápida.

Actividades del proceso

1. Receptar la solicitud de incidencia

2. Analizar la incidencia

3. Emitir un diagnóstico de la incidencia

4. Resolver la incidencia

Aplicaciones que usa el proceso

· SISE

· Intranet

· VECTOR

· Risk Control Service

· Correo Exchange

Activos usados por el proceso

· Laptops

o ThinkPad T440s: Intel® Core™ i5 4300U 1,9 GHz, HDD 500 GB, RAM 4

GB.

o ThinkPad T430: Intel® Core™ i5 3320M 2,6 GHz, HDD 500 GB, RAM 4

GB.

97

· Desktop

o ThinkCentre M73z: Intel® Core™ i5 4570S 2,9 GHz, HDD 500 GB, RAM

8 GB.

· Datos

o Bases de datos

o Reportes

o Manuales de usuario de las aplicaciones desarrolladas

o Manuales de procedimientos

o Inventarios

o Formularios

o Acuerdos

o Información archivada

· Switches

o Switch Marca 3COM Modelo 4500G



o Switch Marca HP Modelo HPV1910

· Personal

o José Almeida, Arquitecto de Infraestructura

o Javier Chicaiza, Arquitecto de Servicios de Aplicación

o Gustavo Ortiz, Coordinador de Servicios de Infraestructura

o Juan Salcedo, Desarrollador de Servicios

o Isvel López, Jefe de Arquitectura

o María Isabel Quiroz, Gerente de Innovación y Tecnología

Medidas de defensa

Tabla 32. Estado de las Medidas de Defensa – P. Gestión de Incidentes

INFRAESTRUCTURA Defensa del perímetro Autenticación Gestión y control

Reglas y filtros de cortafuegos • Usuarios administrativos • Informes sobre incidentes y respuesta •

Antivirus • Usuarios internos •

98

Antivirus - Equipos de escritorio • Directrices de contraseñas • Antivirus - Servidores • Directrices de contraseñas-Cuenta

de administrador •

Sistema de detección de intrusiones (IDS) • Directrices de contraseñas-Cuenta

de usuario •

APLICACIONES Implementación y uso Diseño de aplicaciones

Aplicación y recuperación de datos • Autenticación • Fabricante de software independiente (ISV) • Autorización y control de acceso • Registro • Validación de datos de entrada •

OPERACIONES Entorno Directrices de

seguridad Copias de seguridad y recuperación Host de gestión • Clasificación de datos • Archivos de registro • Uso aceptable • Planificación de recuperación ante

desastres y reanudación de negocio •

Gestión de cuentas de usuarios • Copias de seguridad •

Dispositivos de copia de seguridad • Copias de seguridad y restauración •

PERSONAL Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento

Requisitos de seguridad • Comprobaciones del historial personal • Conocimiento de seguridad • Evaluaciones de seguridad • Directrices de recursos humanos • Relaciones con terceros •

SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar • Carencias severas •

Fuente: Herramienta MSAT


3.1.2 GESTIÓN DE CENTRO DE SERVICIO

Este proceso es el encargado de receptar y direccionar los requerimientos del cliente

interno hacia otros procesos de TI.


1. Registrar la solicitud del cliente interno

2. Asignar la solicitud al gestor correspondiente

3. Atender la solicitud

99


· SISE

· Intranet

· VECTOR


· Correo Exchange


· Laptops


GB.

· Desktop


8 GB.


4 GB.

· Datos

o Bases de datos

o Reportes



o Inventarios

o Formularios

o Acuerdos


· Switches





100

· Personal

o Silverio Albuja, Gestor del Centro de Servicios




o Paulina Oviedo, Jefe de Servicios de Tecnología


o Andrea Bandera, Especialista de Proyectos


Medidas de defensa

Tabla 33. Estado de las Medidas de Defensa – P. Gestión de Centro de Servicio


Reglas y filtros de cortafuegos • Usuarios administrativos • Seguridad física • Antivirus - Equipos de escritorio • Usuarios internos •

Antivirus - Servidores • APLICACIONES

Implementación y uso Diseño de aplicaciones Equilibrio de carga • Autenticación • Aplicación y recuperación de datos • Autorización y control de acceso • Fabricante de software independiente (ISV) • Registro • Validación de datos de entrada •

OPERACIONES Entorno Directrices de

seguridad Gestión de actualizaciones y

revisiones Copias de seguridad y

recuperación Host de gestión • Clasificación de

datos • Documentación de la red • Copias de seguridad • PERSONAL

Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento Requisitos de seguridad • Comprobaciones del historial personal • Conocimiento de seguridad • Evaluaciones de seguridad • Directrices de recursos humanos • Relaciones con terceros •




101

3.1.3 GESTIÓN DE CONFIGURACIONES

Este proceso proporciona información precisa y fiable al resto de la organización de

todos los elementos que conforman la estructura de TI.


1. Aviso de alta o baja de elementos de configuración

2. Recopilar información

3. Monitorear CMDB

4. Actualizar CMDB

5. Notificar la actualización vía correo electrónico


· SISE

· Intranet

· VECTOR


· Correo Exchange


· Laptops

o ThinkPad X121e: AMD® Fusion E-240 1,5GHz, HDD 320 GB, RAM 8

GB.

· Desktop


4 GB.

· Datos

o Bases de datos

o Reportes



102

o Inventarios

o Formularios

o Acuerdos


· Switches





· Personal

o Silverio Albuja, Gestor del Centro de Servicios




o Paulina Oviedo, Jefe de Servicios de Tecnología


o Andrea Bandera, Especialista de Proyectos

o Isvel López, Jefe de Arquitectura

o Carina Muñoz, Gestor de Servicios TI


Medidas de defensa

Tabla 34. Estado de las Medidas de Defensa – P. Gestión de Configuraciones


Reglas y filtros de cortafuegos • Usuarios administrativos • Informes sobre incidentes y respuesta •

Antivirus • Usuarios internos • Seguridad física • Antivirus - Equipos de escritorio • Usuarios de acceso remoto •

Antivirus - Servidores • Directrices de contraseñas •

Acceso remoto • Directrices de contraseñas-Cuenta de administrador •

Sistema de detección de intrusiones (IDS) • Directrices de contraseñas-

Cuenta de usuario •

Cuentas inactivas •

103

APLICACIONES Implementación y uso Diseño de aplicaciones Equilibrio de carga • Autenticación •

Aplicación y recuperación de datos • Directrices de contraseñas • Fabricante de software independiente (ISV) • Autorización y control de acceso •

Registro • Validación de datos de entrada •

Metodologías de desarrollo de seguridad de software •

OPERACIONES

Entorno Directrices de seguridad Gestión de

actualizaciones y revisiones

Copias de seguridad y recuperación

Host de gestión • Clasificación de datos • Documentación de la red • Archivos de registro •

Eliminación de datos • Flujo de datos de la aplicación •

Planificación de recuperación ante

desastres y reanudación de

negocio

•

Protocolos y servicios • Gestión de actualizaciones • Copias de seguridad •

Uso aceptable • Gestión de cambios y configuración • Dispositivos de copia

de seguridad •

Gestión de cuentas de

usuarios • Copias de seguridad y restauración •

Regulación •

Directrices de

seguridad •

PERSONAL Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento Requisitos de seguridad • Comprobaciones del historial

personal • Conocimiento de seguridad •

Evaluaciones de seguridad • Directrices de recursos humanos •

Relaciones con terceros •




3.1.4 GESTIÓN DE NIVELES DE SERVICIO

Este proceso pone la tecnología al servicio de los clientes y vela por la calidad de los

servicios de tecnología alineados a los procesos del negocio.

104


1. Implementación de mejora de servicios

2. Solicitar parametrización de un nuevo servicio

3. Actualizar catálogo de servicios


· SISE

· Intranet

· VECTOR


· Correo Exchange


· Laptops


GB.

o ThinkPad X121e: AMD® Fusion E-240 1,5GHz, HDD 320 GB, RAM 8

GB.

· Desktop


8 GB.


4 GB.

· Datos

o Bases de datos

o Reportes



o Inventarios

o Formularios

105

o Acuerdos


· Switches





· Personal




o Carina Muñoz, Gestor de Servicios TI


Medidas de defensa

Tabla 35. Estado de las Medidas de Defensa – P. Gestión de Niveles de Servicio


Reglas y filtros de cortafuegos • Usuarios administrativos • Seguridad física • Antivirus • Usuarios internos •

Usuarios de acceso remoto • APLICACIONES

Implementación y uso Diseño de aplicaciones Equilibrio de carga • Autenticación • Aplicación y recuperación de datos • Registro • Fabricante de software independiente (ISV) • Validación de datos de entrada •

OPERACIONES

Entorno Directrices de seguridad Gestión de

actualizaciones y revisiones


Host de gestión • Protocolos y servicios • Flujo de datos de la aplicación • Copias de seguridad •

Uso aceptable • PERSONAL

Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento Requisitos de seguridad • Comprobaciones del historial

personal • Conocimiento de seguridad • Evaluaciones de seguridad • Directrices de recursos humanos •

106

Relaciones con terceros •




3.2 APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

Los procesos críticos identificados tienen medidas de defensa que necesitan ser

mejoradas y en otros casos implementadas debido a sus carencias, en las Tablas 36

- 39 se indican las medidas de defensa y posteriormente las mejores prácticas

recomendadas para corregir dichas falencias.

Tabla 36. Medidas de Defensa de Gestión de Incidentes

GESTIÓN DE INCIDENTES

Me

did

as

de

de

fen

sa

Necesitan Mejorar

•

Infraestructura

Defensa del perímetro Reglas y filtros de cortafuegos Autenticación Usuarios internos

Gestión y control Informes sobre incidentes y

respuesta

Aplicaciones Diseño de aplicaciones Registro

Validación de datos de entrada

Operaciones Directrices de seguridad Gestión de cuentas de usuario Copias de seguridad y

recuperación Dispositivos de copia de seguridad

Carencias Severas

•

Infraestructura Defensa del perímetro Sistema de detección de

intrusiones

Aplicaciones

Implementación y uso Aplicación y recuperación de datos

Fabricante de Software independiente

Diseño de aplicaciones Autenticación

Autorización y Control de acceso

Operaciones

Entorno Host de gestión Directrices de seguridad Clasificación de datos


Archivos de registro

Planificación de recuperación ante desastres y reanudación de

negocio

Personal

Requisitos y evaluaciones Requisitos de seguridad

Evaluaciones de seguridad Directrices y

procedimientos Comprobaciones del historial

personal

Formación y conocimiento Conocimiento de seguridad Fuente: Herramienta MSAT


Tabla 37. Medidas de Defensa de Gestión de Centro de Servicio

107

GESTIÓN DE CENTRO DE SERVICIO M

ed

ida

s d

e d

efe

nsa

Necesitan Mejorar

•

Infraestructura Defensa del perímetro Reglas y filtros de cortafuegos

Autenticación Usuarios internos

Gestión y control Seguridad Física



Carencias Severas

•

Aplicaciones Implementación y uso

Equilibrio de carga Aplicación y recuperación de datos

Fabricante de software independiente (ISV)


Autorización y control de acceso

Operaciones

Entorno Host de gestión Directrices de seguridad Clasificación de datos

Gestión de actualizaciones y

revisiones Documentación de la red

Personal


Evaluaciones de seguridad Directrices y

procedimientos Comprobaciones del historial

personal Formación y conocimiento

Conocimiento de seguridad



Tabla 38. Medidas de Defensa de Gestión de Configuraciones

GESTIÓN DE CONFIGURACIONES

Me

did

as

de

de

fen

sa

Necesitan Mejorar

•

Infraestructura

Defensa del perímetro Reglas y filtros de cortafuegos Autenticación Usuarios internos

Gestión y control Informes sobre incidentes

Seguridad física



Operaciones Directrices de seguridad Gestión de cuentas de usuarios Copias de seguridad y

recuperación Dispositivos de copia de

seguridad

Carencias Severas

•

Infraestructura Defensa del perímetro

Sistema de detección de intrusos (IDS)

Autenticación Usuarios de acceso remoto

Aplicaciones

Implementación y uso

Equilibrio de carga Aplicación y recuperación de

datos Fabricante de software

independiente (ISV)

Diseño de aplicaciones

Autenticación Directrices de contraseñas

Autorización y control de acceso Metodologías de desarrollo de

seguridad de software

108

Operaciones

Entorno

Host de gestión Host de gestión-Servidores

Host de gestión - Dispositivos de red

Directrices de seguridad Clasificación de datos Eliminación de datos

Protocolos y servicios

Gestión de actualizaciones y revisiones

Documentación de la red Flujo de datos de la aplicación

Gestión de actualizaciones


Archivos de registro Planificación de recuperación

ante desastres y reanudación de negocio

Personal


Evaluaciones de seguridad

Directrices y procedimientos Comprobaciones del historial

personal Formación y conocimiento Conocimiento de seguridad



Tabla 39. Medidas de Defensa de Gestión de Niveles de Servicio

GESTIÓN DE NIVELES DE SERVICIO

Me

did

as

de

de

fen

sa

Necesitan Mejorar

•

Infraestructura Defensa del perímetro Reglas y filtros de cortafuegos

Autenticación Usuarios internos

Gestión y control Seguridad física



Carencias Severas

•

Infraestructura Autenticación Usuarios de acceso remoto

Aplicaciones Implementación y uso

Equilibrio de carga

Aplicación y recuperación de datos

Fabricante de software independiente (ISV)


Operaciones

Entorno Host de gestión Directrices de seguridad Protocolos y servicios

Gestión de actualizaciones y revisiones

Flujo de datos de la aplicación

Personal


Evaluaciones de seguridad

Directrices y procedimientos Comprobaciones del historial

personal Formación y conocimiento Conocimiento de seguridad



109

Una vez presentado el resumen de las falencias en las medidas de defensa de los

procesos críticos, se listan las mejores prácticas recomendadas para cada uno de los

factores que son: infraestructura, aplicaciones, datos y personal [26].

Infraestructura

· Defensa del perímetro

o Reglas y filtros de cortafuegos

§ Los firewalls se deben colocar en todo el perímetro de la red. Las

reglas implementadas en los firewalls deben ser muy restrictivas

y establecerse host a host y servicio a servicio.

§ Al crear reglas de firewall y listas de control de acceso (ACL por

sus siglas en inglés), se debe enfocar primero en la protección de

los dispositivos de control y de la red frente a ataques.

§ El firewall debe estar configurado con denegación

predeterminada, permitiendo únicamente el tráfico necesario.

o Sistema de detección de intrusos

§ Los sistemas de detección de intrusos basados en host y en red

deben implantarse para detectar y notificar cualquier ataque que

se produzca contra los sistemas corporativos.

· Autenticación

o Usuarios internos

§ Para las cuentas de usuario, se debe implementar una directriz

que requiera el uso de contraseñas complejas que cumplan los

siguientes criterios:

- Caracteres alfanuméricos

- Uso de mayúsculas y minúsculas

- Al menos un carácter especial

- Longitud mínima de 8 caracteres

§ Para limitar aún más el riesgo de un ataque a contraseñas, se

debe implementar los siguientes controles:

110

- Caducidad de contraseña

- Bloqueo de cuenta después de 3 intentos de inicio de

sesión erróneos

o Usuarios de acceso remoto

§ Implementar controles de contraseña complejos para todos los

usuarios de acceso remoto.

§ Implementar una fase adicional de autenticación para las cuentas

a las que se ha concedido acceso remoto.

§ Es importante proteger el entorno mediante el uso de prácticas de

gestión de cuentas seguras, buenas prácticas de registro y

capacidad de detección de intrusos.

· Gestión y control

o Informes sobre incidentes y respuestas

§ Establecer procedimientos para la creación de informes de

incidentes y sus respuestas, problemas o preocupaciones sobre

seguridad.

§ Designar un equipo de respuesta de emergencia que incluya

representantes de varias áreas, incluidas: tecnología, recursos

humanos y legal para responder a todos los incidentes y

problemas de seguridad.

§ Los Planes de Recuperación ante Desastres y de Continuidad del

Negocio deben estar bien documentados y actualizados para

asegurar la recuperación en un período de tiempo aceptable.

o Seguridad física

§ Establecer controles de acceso físico como protección contra

personas no autorizadas que acceden al edificio y a información

confidencial.

§ Evaluar todos los controles de acceso físico para garantizar que

son adecuados y que se cumplen.

§ Todos los equipos informáticos se deben proteger contra robos.

111

§ Los servidores y los equipos de red deben asegurarse en

ubicaciones cerradas con acceso controlado.

Aplicaciones

· Diseño de aplicaciones

o Registro

§ Activar archivos de registro en todas las aplicaciones del entorno.

Los datos de archivos de registro son importantes para los análisis

de incidentes, tendencias y auditorías.

§ La aplicación debe registrar los intentos de autenticación que tienen

éxito y los fallidos, además de los cambios de datos de la aplicación,

incluidas las cuentas de usuarios.

o Validación de datos de entrada

§ La aplicación puede permitir la entrada de datos en distintos puntos

a partir de fuentes externas, por ejemplo: usuarios, aplicaciones de

cliente o alimentación de datos. Comprobar que los datos de entrada

tengan una sintaxis y semántica correctas.

§ Comprobar si los datos cumplen con la longitud de cadenas y los

juegos de caracteres.

o Autenticación

§ La aplicación debe utilizar un mecanismo de autenticación

proporcional a las necesidades de seguridad de los datos o de su

funcionalidad.

§ Las aplicaciones que dependen de contraseñas deben requerir el

uso de contraseñas complejas.

§ Crear contraseñas de administradores más estrictas que las de las

cuentas normales.

o Autorización y Control de Acceso

§ Las aplicaciones deben utilizar mecanismos de autorización que

permitan sólo a los usuarios o clientes autorizados el acceso a datos

y funciones confidenciales.

112

§ Las aplicaciones deben mantener controles de acceso basados en

roles, tanto para la base de datos como para la interfaz de la

aplicación.

§ Registrar todos los intentos de acceso sin autorización adecuada.

o Directrices de contraseñas

§ Tener entre 8 y 14 caracteres e incluir caracteres alfanuméricos y

especiales.

§ Establecer una longitud mínima, un historial, un límite de duración y

una caducidad para reforzar la defensa.

§ Configurar la caducidad de las contraseñas de la siguiente manera:

- Duración máxima de 90 días

- Las cuentas nuevas deben cambiar la contraseña al inicio

de la sesión

§ Las contraseñas de administradores deben ser más estrictas que las

que se emplean para cuentas normales.

§ Activar una práctica de bloqueo de la cuenta después de 3 intentos

fallidos en todas las cuentas de usuario.

o Metodologías de desarrollo de software seguro

§ Establecer el uso de metodologías de desarrollo de software seguro

para aumentar la confidencialidad, integridad y disponibilidad de las

aplicaciones.

§ El personal de desarrollo debe recibir formación sobre la

metodología elegida de desarrollo de software seguro. Esto incluye

administradores de desarrollo, desarrolladores y personal de control

de calidad.

§ El uso de herramientas de prueba mejora la capacidad del equipo

para escribir código seguro.

· Implementación y uso

o Aplicación y recuperación de datos

§ Realizar copias de seguridad regularmente.

113

§ Probar el mecanismo de copias de seguridad y recuperación que

restaura la aplicación a un estado normal de operación.

o Fabricante de software independiente

§ Los fabricantes de software independiente (ISV por sus siglas en

inglés) deben ofrecer revisiones y actualizaciones periódicas, en las

que se explique su finalidad y las consecuencias derivadas de su

uso en términos de funcionalidad, configuración y seguridad.

§ Describir los mecanismos de seguridad de la aplicación y

proporcionar la documentación actualizada.

o Equilibrio de carga

§ Se debe utilizar equilibradores de carga de hardware en el primer

nivel de los servidores Web para obtener una mayor disponibilidad.

Operaciones

· Directrices de seguridad

o Gestión de cuentas de usuario

§ Crear una cuenta de usuario individual para el acceso a los recursos

de TI.

§ Los usuarios no deben compartir cuentas, las cuentas se crearán

con los privilegios necesarios.

§ Los administradores de las redes y los servidores deben tener una

cuenta con privilegios (administrativa) y otra sin privilegios.

§ A medida que cambia el personal, se debe revisar y modificar los

privilegios de la cuenta.

o Clasificación de datos

§ Definir un esquema de clasificación de datos corporativos.

§ Proporcionar a todo el personal una guía y un proceso de formación

adecuados acerca de la clasificación de datos.

§ Definir requisitos de manejo y protección útiles correspondientes a

los niveles de clasificación de datos.

114

o Eliminación de datos

§ Crear procedimientos formales para que los usuarios conozcan la

manera adecuada para eliminar información electrónica y en formato

impreso.

o Protocolos y servicios

§ Documentar las normas y las prácticas permitidas con respecto a los

protocolos y servicios admitidos por la empresa.

· Entorno

o Host de gestión

§ Cuando se utilizan paquetes de gestión, las estaciones de trabajo se

deben reforzar y proteger físicamente.

· Copias de seguridad y recuperación

o Dispositivos de copia de seguridad

§ Establecer directrices detalladas para administrar el

almacenamiento y la gestión de los dispositivos de copias de

seguridad. Estas directrices deben abordar temas como:

- Almacenamiento dentro de las instalaciones o fuera de

ellas

- Rotación de los dispositivos

- Controles de seguridad

- Controles de acceso para empleados

§ Los dispositivos extraíbles de copias de seguridad deben

almacenarse en armarios cerrados, a prueba de fuego, a los que

sólo tengan acceso los empleados autorizados.

§ El almacenamiento fuera de las instalaciones propicia la

recuperación adicional de datos en caso de producirse algún

desastre.

o Archivos de registro

§ Configurar para grabar las actividades planificadas sin sobrescribir

entradas.

115

§ Establecer un proceso automático de rotación de los archivos de

registro cada día, así como la descarga de los archivos a un servidor

seguro en la red de gestión.

§ Revisar periódicamente los archivos de registro para detectar

actividades sospechosas.

o Planificación de Recuperación ante Desastres y Continuidad del Negocio

§ Desarrollar, documentar, implementar y someter estos planes a

revisiones, pruebas y actualizaciones periódicas.

· Gestión de actualizaciones y revisiones

o Documentación de la red

§ Los diagramas actuales de las relaciones físicas y lógicas de las

redes internas y externas tienen que estar disponibles.

§ Actualizar los diagramas conforme se produzcan cambios en el

entorno.

o Flujo de datos de la aplicación

§ Los diagramas de la arquitectura de las aplicaciones deben mostrar

los principales componentes y los flujos de datos fundamentales del

entorno, además de los sistemas por los que pasa el tráfico de

información.

§ Actualizar los diagramas conforme surjan cambios en la aplicación

o el entorno donde se alberga la aplicación.

o Gestión de actualizaciones

§ Comprobar las actualizaciones y revisiones en un entorno de

laboratorio antes de su instalación definitiva.

§ Probar cada uno de los sistemas para detectar conflictos que

provoquen desinstalar la actualización.

Personal

· Requisitos y evaluaciones

o Requisitos de seguridad

116

§ Identificar al personal con experiencia en el tema de la seguridad

para incluirlos en todas las reuniones y decisiones relacionadas.

§ Los requisitos de seguridad, definidos por representantes

comerciales y técnicos, se deben documentar y publicar para que

el personal los pueda consultar y contrastar para diseños futuros.

o Evaluaciones de seguridad

§ Las evaluaciones por parte de terceros aportan una perspectiva

objetiva muy valiosa para las medidas de seguridad de una

empresa. Estas evaluaciones pueden resultar beneficiosas para

cumplir las normativas y los requisitos de los clientes, socios y

fabricantes.

· Directrices y procedimientos

o Comprobaciones del historial personal

§ Comprobar el historial personal para descubrir posibles

problemas, con objeto de reducir el riesgo al que se exponen la

empresa y los empleados.

§ El proceso de contratación de personal debe incluir una

evaluación del historial laboral y cualquier antecedente penal del

aspirante.

· Formación y conocimiento

o Conocimiento de seguridad

§ Comunicar las medidas de seguridad a los empleados para

contribuir a la seguridad global de la empresa.

§ Poner en práctica directrices para regular la utilización de los

recursos corporativos por parte de los empleados.

§ Proporcionar información actualizada y cursos para asegurar que

todos los empleados conozcan las prácticas y los riesgos más

recientes.

117

§ Realizar comprobaciones periódicas para asegurarse de que los

empleados han asimilado la información.

3.2.1 ESCENARIOS DE APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

Después de realizar una evaluación de amenazas, de acuerdo a su valoración se

toman en cuenta las que tienen un impacto mayor sobre el Departamento de TI, de las

Tablas 40 - 46 se resumen los diferentes escenarios de aplicación con sus respectivos

indicadores como: amenaza, riesgo, perjuicio, control, responsable y el respectivo

procedimiento ante cada escenario [27].

Tabla 40. Escenario 1: Mal Funcionamiento de los Equipos

Amenaza Mal funcionamiento de los equipos Riesgo Daño en los activos de TI.

Escenario El mal funcionamiento de los equipos puede afectar seriamente al Departamento de TI ya que puede interrumpir en el desempeño de las actividades ya sea por fallas de configuración o un mal mantenimiento.

Perjuicio Perdida de información.

Control Implementar un cronograma de mantenimiento continuo para los equipos. Evaluaciones de desempeño constante a los equipos del Departamento de TI.

Responsable Departamento de TI.

Procedimiento

Para la descripción de este procedimiento serán tomados en cuenta los siguientes activos:

· Laptops

· Desktops

· Switches

· Servidores

1. Reportar el daño al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa el equipo y reporta el tipo y la gravedad del daño. 4. Verificar si el equipo cuenta con garantía.

a. Si tiene garantía se reporta el daño al proveedor del equipo donde éste determina si aplica o no la garantía.

i. Si aplica la garantía el proveedor se encarga de reparar el equipo.

ii. Si no aplica la garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional.

b. Si no tiene garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional.

5. En caso de que el tiempo de reparación del equipo sea extenso se procede al reemplazo del equipo, siempre y cuando sea posible hacerlo, caso contrario se recurre a la estrategia establecida.

118

En el paso 4 se menciona recurrir a la estrategia de “Acuerdos recíprocos con otras

organizaciones”, esta estrategia no es aplicable para el caso de los switches ya que

es factible reparar o sustituir el equipo de manera inmediata. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa

Tabla 41. Escenario 2: Fallas de Software

Amenaza Software sin licencias Riesgo Documentos digitales pueden ser dañados y no recuperados.

Escenario

Al momento de adquirir cualquier software sin una licencia se puede dar el caso de que un código malicioso pueda afectar el desempeño y configuración de los equipos. Se puede tener problemas de carácter legal debido a asuntos de propiedad intelectual y reglamentaciones del uso de software ilegal.

Perjuicio Filtro y pérdida de información importante. Daño irrecuperable en documentos importantes.

Control Verificación de la legalidad del software adquirido. Actualizaciones constantes de las licencias del software.

Responsable Departamento de TI

Procedimiento

1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa la falla y en caso de:

a. Sistema operativo i. Revisar la causa del problema ii. Si el daño es mayor, se deben obtener los respaldos necesarios y

formatear el equipo. iii. Instalar el sistema operativo, las aplicaciones y archivos respaldados. iv. Probar que el problema haya sido solucionado.

b. Software de ofimática y antivirus i. En caso de que las licencias no se hayan renovado se las debe adquirir

de manera inmediata. ii. Reinstalar el software. iii. Verificar su funcionamiento.


Tabla 42. Escenario 3: Fallas de las Aplicaciones

Amenaza Fallas de las aplicaciones Riesgo Mal manejo de información y mal uso de las aplicaciones.

Escenario El levantamiento de requerimientos de las aplicaciones que necesita la empresa puede que se encuentre mal definido por lo que ocasiona un mal funcionamiento o simplemente la aplicación no realiza la acción requerida.

Perjuicio Bajo desempeño en las labores del Departamento de TI.

Control Analizar los requerimientos para proceder al desarrollo de los aplicativos. En caso de haber fallas en las aplicaciones corregirlas de manera urgente.

Responsable Área de Desarrollo del Departamento de TI Amenaza Fallas de las aplicaciones.

Procedimiento 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado.

119

3. El técnico asignado revisa la falla y reporta el problema al encargado quien se encarga de resolver el problema.

a. Si fallan las aplicaciones en el servidor: i. Obtener respaldos para proceder a la depuración del

servidor. ii. Reparar el daño. iii. Instalar las aplicaciones en el servidor. iv. Configurar el servidor con los respaldos obtenidos.

b. Si fallan las aplicaciones en los equipos personales i. Detectar la causa del problema. ii. Solucionar la falla lo más pronto posible.

4. Hacer las pruebas para comprobar que el problema ha sido solventado.

Si el tiempo de reparación del servidor es demasiado se recurre a la estrategia establecida.


Tabla 43. Escenario 4: Fallas de los Servicios Contratados (ISP)

Amenaza Falla de los servicios contratados (ISP) Riesgo Información de fácil de acceso.

Escenario Al existir un mal servicio por parte del ISP se pueden tener problemas como conexiones remotas no seguras debido a un tráfico de información sensible sin protección, lo que ocasiona el acceso de usuarios no deseados en las redes internas de la empresa.

Perjuicio Filtro de información valiosa para la empresa. Intranet insegura.

Control Sistemas de detección de intrusos NIDS, HIDS. Firewall. DMZ.

Responsable Jefe de Infraestructura

Procedimiento

Esta falla se refiere a los servicios contratados con el ISP. 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico para la revisión de la falla.

a. En caso de ser un fallo interno el técnico asignado soluciona el problema.

b. Si es una falla mayor, reporta al proveedor del servicio. i. Conectar los routers MiFi hasta que el problema sea

solucionado. 3. Restablecer el servicio.


12

0

Ta

bla

44

. E

sce

na

rio

5:

Fa

llas

Hu

ma

nas

y O

rga

niz

ac

ion

ale

s

Am

en

aza

Hac

kin

g

Div

ulg

ac

ión

d

e

info

rma

ció

n

co

nfi

de

nc

ial

Te

rro

ris

mo

N

egli

ge

nc

ia e

n

el

ma

ne

jo d

e l

os

ac

tivo

s d

e T

I

Ma

l es

tad

o

de

la

s in

sta

lac

ion

es

Flu

jo d

e

pe

rso

na

l F

alt

a d

e

po

líti

cas

Fa

lta

de

g

es

tió

n d

e

se

gu

rid

ad

info

rmá

tica

Rie

sg

o

Info

rma

ció

n

clas

ifica

da

p

ue

de

ser

acc

esa

da

.

Docu

me

nto

s p

riva

do

s al

a

lcan

ce

de

tod

os

Acc

eso

a

cua

lqu

ier

áre

a

de

la

em

pre

sa

sin

nin

gun

a

rest

ricci

ón

.

La

s a

ctiv

idad

es

no

se

cu

mpl

en

satis

fact

oria

me

nt

e.

Dañ

o

en

lo

s e

qu

ipo

s.

Retr

aso

e

n la

s a

ctiv

ida

des

d

e

la

em

pre

sa.

Pé

rdid

as

eco

nóm

icas

. B

ajo

d

ese

mp

eño

.

Acc

eso

libre

a

la in

form

ació

n,

incu

mpl

imie

nt

o

en

los

pro

ceso

s.

Lo

s p

roce

sos

org

an

izac

ion

ale

s se

lle

van

a ca

bo

sin

co

ntr

ol

alg

uno

.

Flu

jo

de

info

rma

ció

n

de

g

ran

imp

ort

anc

ia

pa

ra

la

em

pre

sa.

Es

ce

na

rio

Un

hac

ker

pu

ed

e

filtr

ar

info

rma

ció

n

ing

resa

ndo

a la

in

tra

net

de

la

em

pre

sa

fáci

lmen

te

me

dia

nte

in

yecc

ión

de

cód

igo

m

alic

ioso

, a

taq

ues

a

los

serv

ido

res

y a

taq

ues

de

de

ne

gaci

ón

de

serv

icio

.

Lo

s e

mp

lea

dos

d

el

Dep

art

ame

nto

d

e

TI

y de

la

e

mp

resa

en

g

en

era

l tie

nen

la

fa

cilid

ad

de

co

me

nta

r cu

alq

uie

r tip

o d

e

act

ivid

ad

clas

ifica

da

a

terc

ero

s,

ya

qu

e n

o e

xist

en

con

tro

les

sob

re

est

e te

ma

.

El

pe

rson

al

inte

rno

d

e la

e

mp

resa

tie

ne

acce

so

sin

res

tric

ció

n a

cu

alq

uie

r á

rea

d

e la

e

mp

resa

a

l ig

ual

q

ue

cua

lqu

ier

visi

tant

e

ext

ern

o

ya

qu

e n

o e

xist

e u

n c

on

tro

l d

e se

gu

ridad

d

e la

s p

ers

ona

s q

ue

in

gre

san

a

las

inst

ala

cion

es.

Lo

s e

mpl

ead

os

no

h

an

re

cibi

do

un

a

corr

ecta

in

duc

ció

n

sob

re

el

uso

d

e

los

act

ivos

de

TI

po

r lo

q

ue

lo

s re

curs

os

son

util

izad

os

de

ma

ne

ra

inco

rre

cta

lo

qu

e p

ue

de

ca

usa

r p

rob

lem

as

en

cua

nto

a

ren

dim

ien

to

de

los

act

ivo

s.

Pu

ed

en

oca

sio

nar

da

ños

a

los

eq

uip

os

y le

sio

nes

d

e g

rave

da

d a

l p

ers

ona

l de

la

em

pre

sa.

Exi

ste

g

ran

fluid

ez

de

pe

rson

al

lo

qu

e

no

es

co

nve

nie

nte

p

ara

la

e

mp

resa

p

orq

ue

se

pu

ed

en

oca

sio

nar

pro

ble

mas

d

e d

ivu

lgac

ión

de

info

rma

ció

n.

El

pe

rso

nal

no

cum

ple

co

n su

s o

blig

aci

one

s d

eb

ido

a la

falta

d

e

polít

icas

y

pro

ced

imie

nto

s p

ara

e

l d

ese

mp

eño

d

e su

s a

ctiv

ida

des

.

El

pe

rso

nal

no

es

co

nsci

en

te

de

la

s b

ue

nas

p

ráct

icas

d

e se

gu

ridad

in

form

átic

a lo

q

ue

p

ued

e in

fluir

d

e m

an

era

p

erj

udi

cia

l p

ara

la

e

mp

resa

.

12

1

Am

en

aza

Hac

kin

g

Div

ulg

ac

ión

d

e

info

rma

ció

n

co

nfi

de

nc

ial

Te

rro

ris

mo

N

egli

ge

nc

ia e

n

el

ma

ne

jo d

e l

os

ac

tivo

s d

e T

I

Ma

l es

tad

o

de

la

s in

sta

lac

ion

es

Flu

jo d

e

pe

rso

na

l F

alt

a d

e

po

líti

cas

Fa

lta

de

g

es

tió

n d

e

se

gu

rid

ad

info

rmá

tica

Pe

rju

icio

Pé

rdid

a d

e in

form

aci

ón

Pé

rdid

a d

e p

osi

cio

nam

ien

to

e

n

el

me

rca

do

.

Filt

ro

de

info

rma

ció

n

clas

ifica

da

. P

érd

ida

de

po

sici

on

amie

nt

o

en

el

m

erc

ad

o.

Rob

os.

D

añ

os

a

las

inst

ala

cion

es.

Inst

alac

ión

de

soft

wa

re

ma

licio

so.

Fa

llas

técn

ica

s e

n lo

s eq

uip

os.

Dañ

o

de

lo

s e

qu

ipo

s.

Pé

rdid

a e

conó

mic

a.

Div

ulg

aci

ón

d

e

info

rma

ció

n

con

fide

ncia

l.

Pé

rdid

a

de

po

sici

on

amie

nt

o e

mp

resa

rial

.

Pé

rdid

a

de

info

rma

ció

n.

Co

ntr

ol

So

ftw

are

d

e e

ncr

ipta

ción

de

da

tos.

P

olít

icas

d

e co

ntr

ase

ña

s se

gu

ras.

M

an

ten

er

act

ualiz

ado

e

l so

ftw

are

de

los

serv

ido

res.

Con

tro

l de

m

ed

ios

ext

raíb

les.

A

cue

rdo

s de

co

nfid

enc

ialid

ad

.

Con

tro

l a

tra

vés

de

cám

ara

s d

e se

gu

ridad

. V

eri

fica

ció

n

de

id

entid

ad

de

lo

s vi

sita

nte

s e

xte

rno

s.

Acc

eso

co

n ta

rje

tas

ma

gné

tica

s d

e c

on

trol

.

Rest

ricci

ón

a

pá

gin

as

we

b

inse

gu

ras.

C

on

tro

les

de

inic

io d

e s

esi

ón

.

Con

tro

l d

e ca

lida

d d

e lo

s m

ate

riale

s in

mob

ilia

rios.

M

an

ten

imie

nt

o

pre

ven

tivo

pa

ra

las

inst

ala

cion

es

de

la

s e

stac

ion

es

de

tra

ba

jo.

Pro

cedi

mie

nto

s pa

ra e

l re

tiro

de

cl

ave

s d

el

pe

rson

al

salie

nte

. P

olít

icas

d

e co

ntr

ol

de

acc

eso

.

Cre

aci

ón

d

e p

olít

icas

pa

ra

un

m

ejo

r d

ese

mp

eño

d

e la

s a

ctiv

ida

des.

Im

ple

men

taci

ón

de

au

dito

rías

in

tern

as

pa

ra e

l co

ntr

ol

de

po

lític

as

y p

roce

dim

ient

os

.

Con

tra

taci

ón

de

un

Ofic

ial

de

Se

guri

dad

Info

rmá

tica

. R

eg

ula

cion

es

en

lo

s p

roce

sos

de

seg

urid

ad d

e la

in

form

aci

ón

. C

on

tro

l d

e a

cce

sos.

Res

po

nsa

ble

Je

fe

de

Infr

aes

truc

tura

D

ep

art

ame

nto

d

e T

I A

dm

inis

tra

ció

n

Dep

art

ame

nto

de

TI

Eq

uip

o d

e b

rig

adi

sta

s.

Dep

art

ame

nt

o d

e S

alu

d y

Se

gu

rida

d

Ocu

pac

iona

l.

Dep

art

ame

nto

d

e T

I.

Dep

art

ame

nto

d

e T

I.

Dep

art

ame

nt

o d

e T

I.

Pro

ce

dim

ien

to

Est

e t

ipo

de

fa

llas

hac

en

ref

ere

nci

a a

in

cid

ente

s p

rovo

cad

os

por

el

ho

mb

re,

po

r lo

qu

e e

s ne

cesa

rio

con

tar

con

un

Ofic

ial

de

Se

gu

rida

d In

form

átic

a, p

olít

ica

s.

En

cas

o d

e e

xist

ir u

n O

ficia

l de

Se

gu

rida

d.

1.

Rep

ort

ar

o a

ntic

ipa

r el

inci

de

nte

de

se

gu

ridad

info

rmá

tica

al O

ficia

l d

e S

egu

rid

ad.

12

2

Am

en

aza

Hac

kin

g

Div

ulg

ac

ión

d

e

info

rma

ció

n

co

nfi

de

nc

ial

Te

rro

ris

mo

N

egli

ge

nc

ia e

n

el

ma

ne

jo d

e l

os

ac

tivo

s d

e T

I

Ma

l es

tad

o

de

la

s in

sta

lac

ion

es

Flu

jo d

e

pe

rso

na

l F

alt

a d

e

po

líti

cas

Fa

lta

de

g

es

tió

n d

e

se

gu

rid

ad

info

rmá

tica

2

. E

l Ofic

ial d

e S

egu

rida

d a

na

liza

el c

aso

. 3

. D

efin

ir a

ccio

ne

s ta

nto

pre

ven

tiva

s co

mo

co

rrec

tivas

.

En

cas

o d

e n

o e

xist

ir u

n O

ficia

l de

Seg

urid

ad

.

1.

Ela

bo

raci

ón

de

l pe

rfil

pa

ra c

ont

rata

ció

n.

2.

Lla

ma

do

a p

ostu

laci

ón

de

l ca

rgo

. 3

. E

valu

aci

ón

y e

ntre

vist

a d

e lo

s p

ost

ula

nte

s.

4.

Notif

ica

ció

n d

e r

esul

tado

s.

5.

Con

tra

taci

ón.

6.

Asu

mir

res

po

nsab

ilid

ade

s.

7.

En

cas

o d

e f

alla

s:

a.

Rep

ort

ar

o a

ntic

ipa

r el

inc

ide

nte

de

seg

uri

dad

inf

orm

átic

a a

l O

ficia

l de

Se

gu

ridad

. b

. E

l Ofic

ial d

e S

egu

rida

d a

na

liza

el c

aso

. c.

D

efin

ir a

ccio

ne

s ta

nto

pre

ven

tiva

s co

mo

co

rrec

tivas

.

Pa

ra la

ela

bo

raci

ón d

e p

olít

icas

.

1.

Defin

ició

n d

el a

lcan

ce d

e la

pol

ític

a

2.

Cre

aci

ón

de

las

polít

icas

po

r pa

rte

del

Ofic

ial d

e S

eg

urid

ad.

3.

Revi

sió

n y

ap

roba

ció

n d

e la

s po

lític

as.

4.

Ap

lica

ció

n d

e la

s p

olít

ica

s a

trav

és

de

la s

ocia

liza

ció

n d

e la

mis

ma

con

el p

ers

ona

l.

Ela

bo

rad

o p

or:

Sa

nd

ra M

ilena

Na

zam

ués

Quen

gu

án y

Sa

ntia

go

Ale

jan

dro

Sa

ndo

val H

inoj

osa

123

Tabla 45. Escenario 6: Desastres Naturales

Amenaza

Terremotos Tormentas eléctricas

Inundaciones Incendios

Riesgo

Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño.




Escenario

Dependiendo del grado del terremoto este puede afectar tanto al área de tecnología como la destrucción total de toda la empresa.

Se puede provocar cortos circuitos en las instalaciones, sobrecargas de energía, cortes de luz e incendios.

Debido a las fuertes lluvias se pueden dar fallas en los sistemas de drenaje por lo que pueden provocar inundaciones leves o graves en las instalaciones incluso se pueden generar cortos circuitos

Los incendios pueden causar daños parciales y totales a las instalaciones de la empresa incluyendo daños a los empleados.

Perjuicio

Daño irreparable de los equipos Pérdida de información Pérdida de talento humano.

Daño irreparable de los equipos. Pérdida de información.

Daño irreparable de los equipos. Pérdida de información. Pérdida de talento humano.

Daño irreparable de los equipos. Pérdida de información. Pérdida de talento humano. Pérdida económica.

Control

Simulacros constantes. Evacuación de las instalaciones.

Implementar UPS. Mantenimiento constante a la planta de respaldo. Simulacros.

Limpieza de los drenajes de agua. Mantenimiento constante de las instalaciones.

Extintores de polvo químico. Extintores de espuma.

Responsable Equipo de brigadistas.

Equipo de brigadistas.

Equipo de brigadistas. Personal operativo de limpieza.

Equipo de brigadistas.

Procedimiento

1. El equipo de brigadistas es el encargado de realizar las siguientes actividades: a. Reportar el desastre ante las autoridades competentes. (Bomberos) b. Iniciar el proceso de evacuación de las instalaciones. c. Controlar el desastre. d. Verificar que los empleados se encuentren en buenas condiciones. e. Revisar las instalaciones. f. Reportar al Departamento de TI sobre el estado de los equipos.

2. Los técnicos del Departamento de TI deberán: a. Revisar el estado de los equipos b. Reportar los daños c. Realizar las reparaciones de los equipos en caso de ser posible.

En caso de daño y pérdida total de los equipos se inicia la acción con la estrategia elegida. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa

124

Tabla 46. Escenario 7: Fallas Eléctricas

Amenaza Fallas eléctricas

Riesgo


Escenario Se pueden presentar variaciones en los voltajes provocando daños en los equipos y en las instalaciones de toda la empresa.

Perjuicio Daño de los equipos. Pérdida económica.

Control Mantenimiento de las instalaciones eléctricas. UPS para los servidores. Control de uso de energía eléctrica.

Responsable Oficial de Mantenimiento de la empresa. Equipo de brigadistas.

Procedimiento

El Departamento de TI cuenta con UPS, los cuales mantienen la energía mientras se activa el generador. En el caso de una falla de la red eléctrica de la Empresa Eléctrica Quito:

1. Verificar el estado del generador eléctrico a. El encargado de mantenimiento debe comprobar que se encuentre

el tanque cargado, lo que garantiza 8 horas de energía. b. Si al generador le hace falta combustible se lo debe llenar de

manera inmediata. 2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador

entre en operación. 3. El generador entra automáticamente en funcionamiento en 10 segundos a

partir del corte de energía.

En el caso de una falla eléctrica interna 1. Reportar la falla a un especialista eléctrico. 2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador

entre en operación. 3. El generador entra automáticamente en funcionamiento en 10 segundos a

partir del corte de energía. 4. El especialista eléctrico verifica el origen de la falla. 5. Se procede a reparar la falla 6. Se realiza una revisión del funcionamiento de los equipos.

En el caso de una falla interna y no funcionan los UPS 1. Reportar la falla a un especialista eléctrico. 2. El generador entra automáticamente en funcionamiento en 10 segundos a

partir del corte de energía. 3. El especialista eléctrico verifica el origen de la falla y la repara. 4. El técnico del Departamento de TI revisa si algún equipo tuvo daños.

a. Si los equipos tienen alguna falla producida por el corte de energía se procede a la reparación o sustitución del mismo.

Si el daño producido a los equipos es grave y el tiempo de recuperación es extenso se procede a implementar la estrategia de recuperación elegida.


125

3.2.2 CRONOGRAMA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO

La Tabla 47 presenta un cronograma de desarrollo del Plan de Continuidad del

Negocio, donde se detallan las tareas, la duración y los responsables.

Tabla 47. Cronograma de Aplicación

TAREA DURACIÓN RESPONSABLE

Desarrollo del Plan de Continuidad del Negocio

160 horas

Inicio y Gestión del Proyecto 32 horas

Concientización 8 horas

Formación del Comité Responsable 8 horas Director de Talento Humano Gerente de Innovación y Desarrollo Tecnológico

Definición de recursos necesarios 8 horas Director Financiero Gerente de Innovación y Desarrollo Tecnológico

Revisión 8 horas Gerente General Gerente de Innovación y Desarrollo Tecnológico

Evaluación y Gestión de Riesgos 64 horas

Identificación de Amenazas 8 horas Equipo de Gestión de Riesgos

Identificación de la Vulnerabilidad 8 horas Equipo de Gestión de Riesgos

Determinación de la probabilidad 8 horas Equipo de Gestión de Riesgos

Análisis del impacto 8 horas Equipo de Gestión de Riesgos

Determinación del riesgo 8 horas Equipo de Gestión de Riesgos

Recomendaciones de control 8 horas Equipo de Gestión de Riesgos

Documentación de resultados 8 horas Equipo de Gestión de Riesgos

Revisión 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio

Análisis de Impacto del Negocio (BIA) 32 horas

Identificación de procesos críticos 8 horas Equipo de Gestión de Riesgos Responsable de cada proceso

Valoración de la criticidad de los procesos

8 horas Equipo de Gestión de Riesgos Responsable de cada proceso

Período máximo de interrupción 8 horas Equipo de Gestión de Riesgos Responsable de cada proceso


Desarrollo de estrategias para la Continuidad del Negocio

16 horas

126

TAREA DURACIÓN RESPONSABLE

Elección de la estrategia 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio


Respuestas ante emergencias 16 horas

Desarrollo de las respuestas para emergencias

8 horas

Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio Equipo de Gestión de Riesgos Equipo de Recuperación Equipo de Brigadistas Equipo de Apoyo



3.3 ANÁLISIS DE RESULTADOS

Una vez aplicado el Plan de Continuidad del Negocio se procede a aplicar las

respectivas pruebas, ejercicios y ensayos, para analizar los resultados de acuerdo al

factor tiempo, factor financiero y factor organizacional.

· Factor Tiempo

Tabla 48. Factor Tiempo

PARÁMETRO VALOR

Tiempo que el servicio pasa inactivo 60 minutos

Tiempo que toma en reportar el incidente 2 minutos

Tiempo de revisión de los equipos para determinar el problema 5 minutos

Tiempo que tarda el proveedor de los equipos en dar una solución al problema 40 minutos

Tiempo que tarda el técnico del Departamento de TI en dar una solución al problema 10 minutos

Tiempo necesario para conseguir un servidor de características similares al equipo

que presenta problemas 120 minutos

Tiempo necesario instalar y configurar las aplicaciones en el servidor 180 minutos

Tiempo necesario de instalación y configuración de los servicios y aplicaciones

críticas de TI 120 minutos

127

PARÁMETRO VALOR

Tiempo necesario para reiniciar un servidor e iniciar la aplicación 10 minutos

Tiempo necesario para la verificación de que el estado de los servicios sean óptimos

para los usuarios 10 minutos

Tiempo necesario para encender la planta de energía 0,17 minutos

Tiempo aproximado de imprevistos 30 minutos

Tiempo promedio de fallas 48.93 minutos


Respecto al factor tiempo el parámetro que representa un mayor problema es el tiempo

que se necesita para instalar y configurar las aplicaciones en el servidor lo que implica

que restaurar las aplicaciones tomaría mínimo tres horas. Los tiempos necesarios para

conseguir un servidor de características similares, instalación y configuración de los

servicios y aplicaciones críticas de TI tomarían por lo menos dos horas. Los demás

parámetros son tiempos que dependen de terceros y son tiempos asequibles. El

tiempo promedio entre fallas es de 48.93 minutos, el cual es un tiempo aceptable.

· Factor Financiero

Tabla 49. Factor Financiero

PARÁMETRO VALOR

Costo de almacenamiento en la nube $ 100 anual

Costo de la adquisición de un servidor con características similares al servidor con

daño, en el caso de no tener garantía $ 850 anual

Costo de alquiler de equipos para acceder a los enlaces de red, en caso de no

tener equipos para la sustitución inmediata $ 2000 anual

Costo asesoría de un proveedor $ 600 anual

Costo de capacitación al personal $ 10000 anual

Costo de equipos para aplicar la estrategia de acuerdos recíprocos $ 2500 anual

Costo de equipos de internet móvil (MiFi) $ 3600 anual

Costo promedio de fallas $ 2807.14 anual


En el análisis de costos se detallan los valores de forma anual tomando en cuenta el

tiempo de uso de los equipos. El costo promedio de las fallas es de $2807.14 por año.

128

· Factor Organizacional

Dentro del factor organizacional se define el recurso humano que es necesario para la

aplicación del Plan de Continuidad del Negocio. El Departamento de TI cuenta con el

equipo de brigadistas que será el encargado de dar soporte a distintos casos como:

Ø Incendios

Ø Primeros auxilios

Ø Contingencia

Ø Evacuación

Los equipos de Gestión de Riesgos, Recuperación y Apoyo están conformados por

miembros del personal del Departamento de TI.

Se debe implementar un Sistema de Salud y Seguridad Ocupacional [28] con el fin de

tener un nivel de operación aceptable de las actividades dentro de la empresa y

prevenir los riesgos que puedan ser causados garantizando la integridad del personal

de la empresa. Para ello se requiere la colaboración del personal ya que debe ser

capacitado constantemente.

Para la implementación del Sistema de Salud y Seguridad Ocupacional se puede usar

la Norma OHSAS 18000 que puede ser aplicada a cualquier tipo de empresa ya que

ayuda a fomentar ambientes laborales seguros y saludables [29]. Con la aplicación de

este Sistema se garantiza una preparación y respuesta ante situaciones de

emergencia teniendo en cuenta los siguientes aspectos:

· Creación de una política de Salud y Seguridad Ocupacional

· Identificar riesgos de Salud y Seguridad Ocupacional

· Definir objetivos del Sistema

· Análisis, evaluación y mejora del Sistema

129

3.3.1 ACEPTACIÓN, COLABORACIÓN Y CUMPLIMIENTO DEL PLAN DE CONTINUIDAD DEL NEGOCIO

Con el objetivo de cuantificar los resultados, en la Tabla 50 se presenta una serie de

indicadores y el nivel de cumplimiento con su respectiva escala donde 10 es el valor

más alto y 1 el más bajo.

Tabla 50. Indicadores y Nivel de Cumplimiento del BPC

ACEPTACIÓN

Indicador Valor

1 2 3 4 5 6 7 8 9 10

Se ha realizado un análisis de la situación actual de la organización X

Se ha realizado el análisis de vulnerabilidades y riesgos X

Se ha desarrollado una Política de Continuidad X

Se han definido los roles y responsabilidades X

El personal ha recibido charlas sobre la Continuidad del Negocio X

Se ha realizado el análisis de impacto del negocio (BIA) X

Se han definido procedimientos de continuidad X

Se han definido estrategias de continuidad X

Se han definido las variables para monitoreo y medición X

Se ha elaborado una guía para aplicación del Plan de Continuidad X

COLABORACIÓN

Indicador Valor

1 2 3 4 5 6 7 8 9 10

Se ha socializado el Plan de Continuidad con los empleados X

Se ha conformado la Comisión de Continuidad X

Se ha conformado el Equipo de Gestión de Riesgos X

Se ha conformado el Equipo de Brigadistas X

Se ha conformado un Equipo de Apoyo X

Se ha conformado un equipo de Recuperación X

El personal ha colaborado en el desarrollo del Plan de Continuidad X

Los directivos se han involucrado en el proceso X

CUMPLIMIENTO DE LOS OBJETIVOS

Indicador Valor

1 2 3 4 5 6 7 8 9 10

Mantener el nivel operativo de las funciones de los procesos críticos del Departamento de TI.

X

Reducir la posibilidad de pérdida y divulgación de información sensible.

X

Proteger al personal, clientes y terceras partes en caso de que un evento inesperado cause daños.

X

130

Garantizar la protección de los activos de TI que son esenciales para el desarrollo de las actividades del Departamento de TI.

X

Garantizar y optimizar las acciones a realizar ante un desastre. X

Mantener la imagen corporativa del Departamento de TI. X Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa

Al finalizar el análisis, se obtuvieron resultados aceptables los cuales garantizan la

continuidad de las actividades del Departamento de TI.

Tabla 51. Resultados que Garantizan la Continuidad de las Actividades

PARÁMETRO PORCENTAJE

Aceptación del Plan de Continuidad 100%

Colaboración en el desarrollo del Plan 100%

Cumplimiento de los objetivos 95%

Promedio 98.33%


El promedio de los resultados es 98.33%, valor que es aceptable ya que se han

conseguido alcanzar los objetivos del Plan de Continuidad en su mayor parte.

131

CAPÍTULO IV

CONCLUSIONES Y RECOMENDACIONES

Al finalizar el proyecto de titulación podemos indicar que el objetivo Desarrollar un Plan

de Continuidad del Negocio para el Departamento de TI para empresas, se ha

cumplido en un 100%, haciendo uso de un estándar internacional como es la Norma

ISO 22301:2012.

Del trabajo realizado se desprenden las siguientes conclusiones y recomendaciones.

4.1 CONCLUSIONES

· Por medio del análisis de la situación actual y el análisis FODA se pudo determinar

las fortalezas y debilidades tanto de la empresa como del Departamento de TI.

Adicionalmente, se pudo determinar que la empresa no cuenta con un Plan de

Continuidad de TI, por lo que fue necesario el desarrollo del Plan para garantizar la

Continuidad del Negocio.

· Se ha realizado el Plan de Continuidad del Negocio en base a la Norma ISO

22301:2012 debido a que la norma internacional proporciona una guía completa,

determinada por siete cláusulas las cuales se aplican a cualquier tipo de negocio

de acuerdo a las necesidades y objetivos del mismo.

· Se ha desarrollado el Plan de Continuidad aplicando una guía que provee los

procedimientos necesarios para dar una solución breve ante cualquier tipo de

incidente reduciendo el impacto sobre la organización, lo que implica una fuerte

inversión. Se debe tomar en cuenta que este tipo de inversión es necesario para

mantener un Gobierno de TI robusto, lo que genera una ventaja competitiva sobre

las organizaciones que carecen del Plan.

· Los objetivos de continuidad deben estar muy claros para determinar cuáles son

los factores críticos de éxito, ya que van de la mano para poder proporcionar las

estrategias de continuidad que son la base para consolidar un Plan de Continuidad

exitoso.

132

· Con el análisis de impacto del negocio (BIA) se puede obtener la criticidad de los

procesos a través de la ponderación que se realiza con los valores obtenidos del

impacto estratégico y el impacto financiero, lo que nos ayuda a determinar el orden

de importancia de los procesos evaluados.

4.2 RECOMENDACIONES

Se recomienda:

· Realizar una caracterización del entorno por medio del análisis PESTEL (Político,

Económico, Social, Tecnológico, Ecológico y Legal), con la finalidad de

complementar el análisis FODA.

· Usar la Norma ISO 22301:2012 para el desarrollo del Plan de Continuidad debido

a que es una Norma internacional que se ajusta a cualquier tipo de organización,

pero también se pueden usar otras normas tales como la BS 25999, ITIL v3, UNE

71599-1 y UNE 71599-2.

· Evaluar periódicamente el Plan de Continuidad a través de los ejercicios y ensayos

propuestos, con la finalidad de mantener actualizados todos los puntos del mismo

además que todos los miembros de la organización incluyendo a los altos

directivos, colaboren y participen activamente en la implementación y mejora

continua del Plan.

· Capacitar constantemente al personal del Departamento de TI con el objetivo que

cualquier miembro sea capaz de asumir un rol o responsabilidad en el caso de

rotación del personal lo que da opción a obtener una certificación de la Norma ISO

22301 con la finalidad de garantizar la mejora continua del Plan de Continuidad ya

que es un beneficio para la organización y sus miembros.

133

BIBLIOGRAFÍA [1] EQUIVIDA S.A., Datos Históricos de EQUIVIDA S.A., Quito, 2012.

[2] EQUIVIDA S.A., "Induccón Estratégica TTHH Para Tecnología," Quito, Ecuador,

2014.

[3] EQUIVIDA S.A., "Plan Estratégico," Quito, Ecuador, 2014.

[4] EQUIVIA S.A., "Catálogo de Productos," Quito, Ecuador, 2014.

[5] S. P. Robbins and M. Coulter, Administración, Décima Edición, México: Prentice

Hall, 2010.

[6] A. Cassidy, A Practical Guide to Information Systems Strategic Planning, Boca

Raton, Florida: Taylor & Francis Group, 2006.

[7] EQUIVIDA S.A., "Presentación Catálogo de Servicios TI," Quito, Ecuador, 2014.

[8] Tecnofor, Formación Oficial ITIL Fundamentos, Madrid: Tecnofor Ibérica, 2011.

[9] Instituto Ecuatoriano de Normalización, Tecnología de la Información - Técnicas

de Seguridad - Gestión del Riesgo en la Seguridad de la Información. Norma

Técnica Ecuatoriana NTE INEN-ISO/IEC 27005:2012, Quito, Ecuador: INEN,

2012.

[10] A. Servat, "Nuevo Estándar en Continuidad del Negocio ISO 22301:2012,"

Gestión, pp. 26-31, 2012.

[11] L. G. Rojas, "ISACA Costa Rica," 2013. [Online]. Available:

http://www.isacacr.org/archivos/Sistema%20Gestion%20Continuidad%20del%

20Negocio%20(ISO%2022301).pdf. [Accessed 30 Septiembre 2015].

[12] Caja Costarricense de Seguro Social, Manual para Elaborar un Plan de

Continuidad de la Gestión en Tecnologías de Información y Comunicaciones

134

TIC-ASC-CGN-0001, San José: Dirección de Tecnologías de Información y

Comunicaciones, 2007.

[13] J. Gaspar Martínez, El Plan de Continuidad de Negocio. Guía Práctica para su

Elaboración, Madrid: Díaz de Santos S.A., 2006.

[14] J. Botha and R. Von Solms, "A cyclic approach to business continuity planning,"

Information Management & Computer Security, vol. 12, no. 4, pp. 328-337, 2004.

[15] C. Castillo Galindo, "Escuela Bancaria de Guatemala," Octubre 2013. [Online].

Available: http://www.ebg.edu.gt/wp-

content/themes/ebg/pdf/corerif/presentacion_02.pdf. [Accessed 03 Noviembre

2015].

[16] M. Á. Mendoza, "We Live Security," 06 Noviembre 2014. [Online]. Available:

http://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/.

[Accessed 16 Noviembre 2015].

[17] M. Zdrojewski, "Default Reasoning," 10 Diciembre 2013. [Online]. Available:

http://defaultreasoning.com/2013/12/10/rpo-rto-wrt-mtdwth/. [Accessed 16

Noviembre 2015].

[18] R. Ferrer, "SISTESEG," [Online]. Available:

http://www.sisteseg.com/files/Microsoft_Word_-

_METODOLOGIA_PLAN_RECUPERACION_ANTE_DESASTRES_DRP.pdf.

[Accessed 21 Noviembre 2015].

[19] A. T. Velte, T. J. Velte and R. Elsenpeter, Cloud Computing: A Practical

Approach, McGraw-Hill, 2010.

[20] Ready, "Ready - Prepare, Plan, Stay Informed," Deparment of Homeland

Security, [Online]. Available:

135

http://www.ready.gov/business/implementation/continuity. [Accessed 16

Octubre 2015].

[21] L. del Pino Jiménez, Guía de Desarrollo de un Plan de Continuidad de Negocio,

Madrid: Escuela Universitaria de Informática, Universidad Politécnica de Madrid,

2007.

[22] M. Pitt and S. Goyal, "Business continuity planning as a facilities management

tool," Facilities, vol. 22, no. 3, pp. 87-99, 2012.

[23] Public Safety Canada, "Public Safety Canada," Goverment of Canada, 2015.

[Online]. Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/bsnss-cntnt-

plnnng/index-eng.aspx. [Accessed 15 Noviembre 2015].

[24] K. Lindros and E. Tittel, "CIO," 14 Noviembre 2013. [Online]. Available:

http://www.cio.com/article/2381021/best-practices/how-to-create-an-effective-

business-continuity-plan.html. [Accessed 2015 Octubre 2015].

[25] 27001 Academy, "Lista de documentación obligatoria para ISO 22301," 27001

Academy, Zagreb, 2014.

[26] Microsoft Security Assessment Tool, "Informe Completo EQUIVIDA S.A.," Quito,

Ecuador, 2015.

[27] J. Gaspar Martínez, Planes de Contingencia: la continuidad del negocio en las

organizaciones, Madrid: Díaz de Santos S.A., 2004.

[28] bsi, "bsi," 2015. [Online]. Available: http://www.bsigroup.com/es-ES/Seguridad-

y-Salud-en-el-Trabajo-OHSAS-18001/. [Accessed 14 Diciembre 2015].

[29] Calidad y Gestión, "Calidad y Gestión," 2010. [Online]. Available:

http://www.calidad-gestion.com.ar/boletin/50_ohsas_18000.html. [Accessed 14

Diciembre 2015].

136

[30] International Organization for Standarization, Norma ISO 22301:2012 Seguridad

de la Sociedad: Sistemas de Continuidad del Negocio - Requisitos, ISO, 2012.

137

ANEXOS

Anexo 1 - Plantilla BCP

ESCUELA POLITÉCNICA NACIONALbibdigital.epn.edu.ec/bitstream/15000/15161/1/CD-6941.pdfPor estar ahí...

Documents

Transcript of ESCUELA POLITÉCNICA NACIONALbibdigital.epn.edu.ec/bitstream/15000/15161/1/CD-6941.pdfPor estar ahí...