ELECCIONES PRESIDENCIALES EN PARAGUAY

PEDRO ARCE ANAYAEDGAR JIMENEZ GARCIA

PEDRO MANJARREZ SERRANORAFAEL PEDROZA MANGA

CARLOS PEREZ MEZA

CASO DE ESTUDIO & ANALISIS DE RIESGO ELECCIONES PRESIDENCIALES REPUBLICA DE PARAGUAY

SEGURIDAD Y AUDITORIA DE SISTEMAS

Presentado por:

Pedro Pablo Arce Anaya

Edgar Enrique Jiménez García

Pedro David Manjarres Serrano

Carlos Eduardo Pérez Meza

Rafael Eduardo Pedroza Manga

Presentado a:

Profesor Humberto Caicedo Blanco

UNIVERSIDAD DE CARTAGENA

FACULTAD DE INGENIERÍA DE SISTEMAS

CARTAGENA D.T.C.

2014

1. INTRODUCCION

1

El presente desarrollo del caso de estudio y análisis de riesgo acerca de las elecciones presidenciales en Paraguay, tiene como misión mostrar todos los elementos y las propiedades a tener en cuenta para el desarrollo de una correcta campaña electoral, en este caso las elecciones presidenciales de la Republica Paraguaya, todo lo anterior realizado haciendo uso de los conocimientos e información obtenida en seguridad y auditoria en sistemas.

Implementando las herramientas que nos brinda la teoría general de sistema y las NORMAS ISO, en esta caso la NORMA ISO 17799 – 2005, se pudieron obtener en su totalidad las especificaciones y controles necesarios para realizar un óptimo desarrollo y realización de los procesos en todos y cada uno de los sistemas.

Se hace de extrema importancia la implementación de una auditoria de sistemas, ya que esta permitirá el análisis del impacto que generara las herramientas tecnológicas que se piensan implementar en dichas elecciones, todo esto con el fin de observar que la nueva propuesta de implementación de tecnologías para las votaciones no afecte de manera negativa.

2. OBJETIVOS

2

Aplicar los conocimientos obtenidos de la norma ISO 17799 – 2005 y de la Teoría General de Sistemas en el caso de estudio

Detallar todos los componentes que hacen parte de los procesos que componen el sistema de ELECCIONES PRESIDENCIALES DE PARAGUAY.

Detallar los protocolos necesarios para la correcta ejecución de los procesos.

Describir cada uno de los procesos del sistema. Realizar un análisis de riesgo a la ejecución de los procesos para evitar y

disminuir la probabilidad de ocurrencia. Realizar un análisis de costos para verificar si la relación entre la

implementación de las nuevas tecnologías y el desarrollo de los procesos es viable.

3. MISION

3

Detallar las especificaciones y las normas necesarias que se deben acatar para que al implementar el software diseñado para las elecciones presidenciales, estas no se vean afectadas negativamente y que por consiguiente esta nueva implementación genere una mejor actitud de los votantes frente al proceso electoral, generando mayor confianza a la hora de votar y de recibir resultados, y de esta manera motivando a que la población sea más activa a la hora del voto y que se expanda este método como un medio de agilización y optimización de procesos.

4. VISION

Innovar en el área de los procesos electorales, ganando reputación positiva a nivel internacional mediante la muestra de los resultados obtenidos en los proyectos, de esta manera se podrá incentivar a todas las comunidades a que voten, permitiendo así que la democracia gane fuerza y sea lo más transparente posible.

5. ELEMENTOS Y PROPIEDADES DEL SISTEMA

4

5.1 EVENTO PROVEEDOR

Los departamentos, municipios, Provincias y Ciudades. Los jurados de votación. Los postulados al cargo de presidente de la república. Los partidos políticos. Las Organizaciones como la ONU y la OEA. El consejo nacional electoral del Paraguay. Las entidades prestadoras de servicio de seguridad. El Contratista del Software de Sistemas La infraestructura designada para el lugar de votación. Los medios informativos. La registradora nacional.

5.2 ENTRADAS DEL SISTEMA

Diseño del tarjetón electoral. Logística designada al conteo de los votos. Logística encargada de organizar todo lo que se encuentre relacionado a la

infraestructura designada para la votación como podrían ser las sedes y las mesas de votación.

Curules Políticas. Logística encargada de designar los jurados de votación. Logística encargada de la diligenciarían del formato de registro de

votantes. Logística designada para la realización de las inscripciones de los

postulados a la presidencia de la república. Logística encargada de designar los puestos de votación.

5.3 PROCESOS

Inscripción de los candidatos: los aspirantes se postulan para ser elegibles en las elecciones.

Designación de sitios de votación: se les de la información a todos los votantes sobre el sitio donde deben ir a votar.

Recopilación y análisis de información: se realiza una comparación entre los datos obtenidos en el pre-conteo electoral y los obtenidos durante el escrutinio.

Logística para la infraestructura: para las votaciones se dispone de la infraestructura física necesaria para que el proceso electoral se lleve a cabo en la fecha estipulada.

5

Elección de los jurados de votación: se realiza la designación de los jurados que estarán en las mesas y que participaran en el proceso electoral

Apertura de inscripciones: establecimiento de fechas y actividades relacionadas al proceso electoral.

Verificación de los votantes: se hace un chequeo en el cual se determinará si el votante está en capacidad de votar.

Votación: los votantes ejercen su derecho al voto. Pre-conteo: Realización de un conteo preliminar pero no final. Conteo de votos: Se inicia el escrutinio de los tarjetones de votación ya

que se realice el cierre de las mesas de votación, de aquí se crean documentos con la información recaudada en cada una de las mesas de votación.

Divulgación de los resultados: se otorgan los resultados finales de la votación.

Transmisión por medios electrónicos de los datos electorales: Digitalización de todos los datos obtenidos durante el proceso electoral.

Transmisión voz a voz: por vía Radial y telefónica se transmiten los datos de cada uno de los votos registrados.

Transmisión de información a los medios de comunicación: se transmite todo lo relacionado al proceso electoral a través de los medios de comunicación usuales.

Consolidación nacional: Se reciben todos los documentos del proceso electoral a nivel departamental y regional.

5.4 SALIDAS

Resolución de inicio de la campaña electoral. Comunicados a los jurados de votación electos. Comunicados de los sitios de votación habilitados. Documentos E-14. Certificados electorales. Estadísticas electorales. Actas de escrutinios. Boletín de información electoral, en el cual se plasman los resultados de la

votación. Digitalización de la información. Divulgación de los datos electorales en los medios de comunicación. Adaptación del modelo electoral Colombiano al paraguayo. Esto define las

fechas, recursos y costos del proceso.

6

Asignación de la logística para la infraestructura física de las votaciones. Asignación de las Capacidades individuales de un Humano, para la

realización de un proceso de votación de manera sistemática.

5.5 MEDIO AMBIENTE

La presidencia de la república del Paraguay. División Financiera encargada de la Asignación de costos. Locales y construcciones elegidas como puntos de votación. Salas de Prensa. Registraduria. Puntos de entrada y salida en los lugares de votación. Departamento de servicios informáticos de Paraguay encargados de la

infraestructura de redes y computacional. Dirección administrativa de Paraguay encargada de coordinar la logística

física. La red de Internet.

5.6 FRONTERA

Esta se limita a través de las interacciones entre los votantes que suceden dentro del sistema, y se definen por las conexiones entre los diferentes procesos. Este se representará por medio del modelo E-R (Entidad - Relación), y el diseño relacional de Base de Datos.

5.7 CONTROLES

Fechas Inicio fin de proceso. Fechas Inicio fin de Registro de las inscripciones de los candidatos. Designación de recurso humano para organizar elecciones. Constitución Política de Paraguay (Ley N° 834 del 17 de abril de 1996) Desarrollo de la Jornada electoral en la mañana y en la tarde. Fecha final de cierre de inscripción para los candidatos. Fecha de desarrollo de las elecciones. Verificación de que los códigos de los municipios existan en la división

político administrativa. Solo se consolidan las actas que no presenten error. La suma de los votos, por partido, o por candidato, o por mesa, no exceda

al potencial de la mesa.

7

Las actas que presenten error, quedan a disposición de los delegados departamentales, dándoles a conocer el tipo de error, para que decidan lo pertinente frente a estas actas.

El código de la mesa debe corresponder al de una mesa instalada: En caso de que haya necesidad de crear una mesa, debe actualizarse con anterioridad en la división política, tanto a nivel municipal como departamental.

El código del candidato, lista y partido, sea válido y corresponde a la corporación que se está grabando.

El código de transmisión sea válido y corresponde a la mesa que se está grabando.

Se cumpla con la estructura de los registros de transmisión por corporaciones a elegir y con la convención de nombres que se establezca.

Existencia de campos para registrar los votos blancos, votos nulos y votos no marcados.

La mesa no se encuentre ya grabada, de lo contrario se reporte el correspondiente mensaje de error e informe a los delegados departamentales para la investigación pertinente.

La suma de los votos de un partido o candidato, no disminuya de un boletín a otro.

5.8 EVENTOS CLIENTE

El Candidato. El partido al que representa. Estadísticas del proceso. Seguimiento en tiempo real. Actas detalladas. La prensa. Organismos internacionales como la ONU y la OEA.

5.9 RETROALIMENTACION

Análisis de estadísticas de procesos anteriores para organizar logística de futuros procesos de elecciones.

Evaluación de resultados del proceso, para verificar confiabilidad. Evaluar resultados, para reorganizar procesos.

5.10 SUBSISTEMAS

8

Tarjeta electoral: Documento en el cual el votante, en ejercicio del derecho al voto, marca su preferencia electoral.

o Atributos: Candidatos, Partidos políticos, Número representativo.

Mesa de votación: Sitio habilitado por la Registraduria donde el ciudadano debe votar.

o Atributos: Código de mesa, jefe encargado, asistentes

Votante: persona que realiza el acto de cumplir con un sufragio o voto.o Atributos: Número de identificación, nombre, sexo, edad.

Candidato electoral: Persona que se postula a ser elegida para algún cargo público electo en unas elecciones, normalmente incluido en unas listas electorales.

o Atributos: Código de candidato, Número de identificación, nombre, edad, sexo, partido político, títulos profesionales.

Jurados de votación: Ciudadano seleccionado mediante sorteo, para atender la mesa de votación, hacer los escrutinios correspondientes y entregar los resultados de las votaciones en los documentos electorales correspondientes.

o Atributos: Número de identificación, nombre, sexo.

Puestos de votación, Instalaciones: Lugares seleccionados para la realización de los votos y la ubicación de las mesas de votación.

o Atributos: Nombre del lugar, Dirección, número de mesas.

Centros de procesamientos de datos: Instalaciones de pre-conteo electorales, ubicados en la capital cabecera municipal, encargada del recaudo de la votación de esa Zona del País

o Atributos: Nombre lugar, Dirección, teléfono.

Puesto de transmisión: Un puesto de transmisión vía telefónica, ubicado en el mismo lugar de la votación, donde se leen los resultados.

o Atributos: Código de mesa, protocolo de reconocimiento, nombre del lector.

Puesto de recepción telefónica: Sitios de recepción encargados de recibir la transmisión voz a Voz y consignar los datos en un Formato, recaudar los FRT y enviar la información al puesto de digitalización.

9

o Atributos: Nombre lugar, Dirección, teléfono.

Puestos o centros de digitalización: Sitios de recepción de información encargados de recibir la los datos del puesto de recepción, se procesan, verifican, consignan, almacenan y transmiten los datos al centro de consolidación Nacional.

o Atributos: Nombre lugar, Dirección, teléfono.

Centro de consolidación Nacional: Centro de procesamiento de datos, dedicado a recibir la votación individual de cada región.

o Atributos: Nombre lugar, Dirección, teléfono.

Salas de prensa: donde lo medios de comunicación a través de periodistas, recaudan datos para enviar a Noticieros de divulgación Nacional.

o Atributos: Nombre lugar, Dirección, teléfono.

Oficina de Divulgación: Oficina encargada de tomar los datos y publicar a través de servicios WEB, la información a Nivel Nacional.

o Atributos: Nombre lugar, Dirección, teléfono.

5.11 VARIABLES

Mesas de votación. Candidatos. Votantes. Funcionarios públicos. Partidos políticos. Jurados de votación. Terceros involucrados en el proceso de votación. Regiones. La prensa. Estado de las comunicaciones (línea telefónica, electricidad). Resultados de las votaciones.

5.12 PARAMETROS

10

Fecha y hora de apertura y cierre de las votaciones. Precisión del votante (información proporcionada). Asistencia de los jurados. Cantidad de votantes. Número de candidatos. Número de partidos políticos. Cantidad de equipos electrónicos necesarios. Estándar de conteo de votos.

5.13 OPERADORES

Funcionarios públicos y delegados. Jurados de votación. Medios de comunicación y periodistas. Selección de la infraestructura para el proceso electoral. Material electoral para las votaciones. Centro de pre-conteo. Cumplimiento de la normativa electoral. Numero de tarjetones. Numero de urnas. Listas de registro de los votantes. Suma de Votos.

5.14 REALIMENTACION

Preparación de infraestructura de acuerdo a la cantidad de votantes Análisis estadístico de error a la hora de votar y cambiar formas de

votación Mejoramiento de la infraestructura tecnológica en base a los registros y

control de tiempos de procesamiento. Mejoramiento del proceso de escrutinio de votos en base a la efectividad

del proceso. Simulacro electoral. Auditorías externas. Organismos de control como la procuraduría. Organismos internacionales

5.15 FEED BACK

11

La utilización del código de transmisión del formulario en la recepción telefónica.

Procesos de interpretación, verificación y confirmación visuales en la digitalización.

Claridad del tarjetón de votación. Actualizar la información contenida en los archivos de la división política

administrativa y candidatos, con el fin de corregir inconsistencias. La parametrización del software La implementación de un módulo de control de procesos para los

delegados departamentales. Mecanismos de confiabilidad y certeza de los datos ingresados al sistema. Verificación del contenido de los archivos a transmitir se realice por

reemplazo.

5.16 HOMEOSTASIS Y ENTROPIA

La implementación de varios mecanismos de control y verificación para el correcto manejo, digitalización y divulgación de datos

Dejará rastros o pistas de auditoría. La visualización dinámica en la pantalla, del avance del proceso de

consolidación de mesas, por puesto, zona, municipio y departamento, facilitando la emisión de un nuevo boletín.

Se utiliza información capturada por modalidad de reconocimiento inteligente de caracteres (ICR) o el sistema OCR – Reconocimiento de Caracteres Ópticos que sistematiza y agiliza el proceso de digitalización.

5.17 PERMEABILIDAD

Es un sistema parcialmente abierto, donde los jurados de votación no hacen como tal parte del sistema pero trabajan con él, como si fuera un componente des-conectable y no tan verificable, el sistema se vería más afectado por cambios exteriores al momento del proceso de votación, después de la transmisión Voz o Voz de los formatos E14 el sistema se ve más aislado del medio y se vería menos afectado por otros sistemas.

5.18 INTEGRACION E INDEPENDENCIA

12

El Sistema está muy integrado, si alguna de sus partes falla puede colapsar todo el proceso o se puede perder mucha información, la integración se va haciendo más fuerte a medida de que el proceso se concluye porque los datos se van enviando a una entidad central que se encarga de la divulgación.

5.19 CENTRALIZACION Y DESCENTRALIZACION

Sería descentralizado, porque no existe un objeto dominante como tal, sin embargo si se requiere al objeto anterior para la activación de cada parte subsiguiente.

5.20 ADAPTABILIDAD

El sistema es adaptable, al estar separado en múltiples partes, estas pueden mejorar y hacer cambios individuales sin afectar necesariamente a las demás, también la utilización de herramientas cada vez más especializadas, mejora el desempeño de los sistemas para futuros usos.

5.21 MANTENIBILIDAD

Es completamente necesario la supervisión y el control de los procesos, incluso a aquellos que ya están sistematizados por medio de herramientas electrónicas, sobre todo en las partes iniciales y finales del sistema como lo es el proceso en las mesas de votación y al final en el proceso de divulgación de datos

5.22 ESTABILIDAD

Funcionalidad efectiva, recibe la información necesaria del usuario, en este caso los votantes y responde positivamente con la divulgación de datos por los distintos medios.

5.23 ARMONIA

Es armonioso, por la compatibilidad que tiene con el contexto ya que se modificó, adaptó y ajustar para responder positivamente a un medio parecido como el anterior que era Colombia.

5.24 OPTIMIZACION Y SUBOPTIMIZACION

El Sistema puede ser modificado y adaptado para responder cada vez mejor a las necesidades de los usuarios y hacer las tareas con mayor rapidez y eficiencia.

5.25 EXITO

13

Se llega a su cometido, con la divulgación de la información correcta en los diferentes medios después de la verificación, el procesado de los votos y el almacenamiento de los resultados.

6. MODELO ENTIDAD – RELACION

Figura 1. Modelo de entidad relación (E-R), interpretado como un modelo de base de datos relacional.

7. APLICACIÓN DE LA NORMA ISO 17799 – 2005

14

7.1 POLITICAS DE SEGURIDAD

Objetivos Generales de Seguridad

Protección de la información electoral es accesible sólo para aquellos autorizados a tener acceso.

Garantía de la exactitud y completitud de la información electoral y de los métodos de su procesamiento.

Los usuarios autorizados tendrán acceso cuando lo requieran a la información electoral y sus activos asociados.

Valores de Seguridad

Habrá valores específicos como la responsabilidad, y cumplimiento de órdenes que jugaron un papel importante dentro de todo el comportamiento de la organización.

Responsabilidades

Generales

o Cumplir normativas expuestas en el manual de Políticas de seguridad interna.

Específicas

o El funcionario deberá mantener la información confidencial y evitar el uso de esta divulgación indebida.

o El funcionario debe mantener la integridad de la información no es de ninguna manera cambiar sus órdenes de tratamiento y guárdelo en su estado original.

o El funcionario garantizará la máxima disponibilidad de la información cuando sea necesario y solicitado

7.2 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION

15

Para que todos los subsistemas trabajen en armonía y sin temor a que se atente contra la confidencialidad o integridad de los principales activos dentro de la ejecución del proceso, son necesarias las siguientes medidas:

La política de seguridad establecida debe ser aprobada por el organismo de control en este caso para el sistema electoral.

Designar encargados que actúen como responsables sobre la totalidad de procesos en la organización.

Contratar expertos en el tema de la seguridad interna para el correcto control de esta.

Asignar las autorizaciones a terceras partes para la ejecución de tareas, de acuerdo al modelo establecido en las normas de seguridad.

Tener adecuados controles de pre-conteo para que se presente la manipulación de votos.

Tener normas en el escrutinio, divulgación y consolidación para evitar todo tipo de percance.

7.3 GESTION DE ACTIVOS

Acciones

Desde los puestos de votación solo se manipulará el material dedicado por los encargados predeterminados de cada instrumento.

El software pre-validación de los datos por los ingenieros de sistemas con el fin de asegurarse de que todo está en orden.

Se tomarán medidas informáticas mediante softwares de seguridad que ayuden a la correcta protección

7.4 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

16

Se tendrá contacto directo con el recurso humano, las siguientes medidas serán implementadas y garantizarán la seguridad.

Las responsabilidades definidas de seguridad antes de contratar con la descripción del uso y las condiciones apropiadas.

Todos los usuarios empleados, contratistas y terceros que se proporcionarán un nivel apropiado de concienciación, educación y formación sobre los procedimientos de seguridad y el uso adecuado de los recursos disponibles.

La responsabilidad de la protección de la información no se detiene cuando un empleado regresa a su casa o sale de la organización. Nos aseguramos de que, como organización que está claramente documentado en la conciencia de los materiales, los contratos de trabajo, etc.

Asegurar que las partes involucradas en el manejo del software conozcan de primera mano las funciones que se deben tener en cuenta para la correcta ejecución control y manejo de este.

Realizar capacitaciones periódicas y en materia de políticas y procedimientos de la información.

Proteger los activos (equipos utilizados) contra el acceso, modificación, destrucción o interferencia no autorizada.

Asegurar que se asigne a la persona la responsabilidad inicialmente encomendada (recolección de formularios E- 14, digitalización etc.), exigiendo la debida autorización o permisos.

Evitar que los empleados coloquen en riesgo la integridad de la información, haciendo que estos firmen acuerdos de confidencialidad.

Verificar el buen nombre de las personas que entraran en contacto con el software a utilizar, de modo que se eviten posibles riesgos relacionados a información sensible.

Se entregará al contratado, toda la documentación y materiales necesarios para ejercer sus labores, al dar por sentada su contratación.

7.5 SEGURIDAD FISICA

Teniendo en cuenta la descripción de problema.

Se utilizarán servicios de energía de respaldo para proteger los equipos de cómputo y la continuidad del proceso.

Se implementarán servicios de emergencias y rutas de evacuación en casos de extremo peligro

Se Impedirá la salida de equipos informáticos de las instalaciones sin autorización escrita.

17

Se utilizará personal de seguridad alrededor de las instalaciones que verifiquen que solo el personal autorizado manipule información sensible

Los equipos utilizados deben ser protegidos contra fallas o interrupciones en los servicios auxiliares o de soporte necesarios para la ejecución de los diferentes procesos.

Verificar que el cableado empleado en la trasmisión de los datos o dan soporte a los servicios de información este protegido contra la intercepción o daño y contar con mecanismos de soporte en caso de presentarse fallas en el suministro eléctrico (generador de respaldo).

Ubicar los equipos utilizados en lugares donde no se encuentren amenazados por factores como robo, fuego, agua, interferencias electromagnéticas etc.

Los empleados solo deben acceder y salir de las instalaciones en el horario establecido, las acciones de entrada y salida deben ser registradas, exigiendo una identificación visible.

Los cuartos utilizados para el recaudo, procesamiento y envió de la información, deben ser discretos, mostrando el señalamiento mínimo de su función

Se utilizarán Tarjetas de acceso.

7.6 SEGURIDAD DEL ENTORNO

Teniendo en cuenta los fundamentos de la organización de los votos y teniendo en cuenta la situación que se produce de vez en cuando, el entorno de seguridad no es algo que trasciende el lugar físico donde se realice la votación a las 4:00, sobre esta base, las siguientes directrices son tomadas:

Personal de Seguridad y Sistemas de Monitoreo. Instalar de sistemas de ventilación. Protecciones eléctricas. Sistemas de detección en casos de accidentes ambientales, como fuego por

ejemplo. Protección ante Incendios y métodos eficaces de evacuación guiados.

7.7 GESTION DE COMUNICACIONES Y OPERACIONES

18

Para la gestión de la comunicación y la interoperabilidad entre votación e información voz a voz y medios viables para informar, por lo que se tomaron las siguientes directrices.

Documentar todos los procedimientos de operación realizados en el proceso de recepción.

Controlar los cambios en los medios y sistemas de procesamiento de la información mediante protocolos predefinidos.

Documentar la aprobación de cambios en los equipos, registrando toda la información relevante a estos.

Los formularios E -14 deberán ser recaudados de cada mesa y conducidos directamente a los puestos de transmisión vía telefónica.

Los documentos FRT deben ser escritos y posteriormente digitalizados solo por el receptor telefónico.

Documentar cambios realizados en la información suministrada por una mesa en caso de error.

Permitir consultar y modificar los datos de la votación, para realizar esta acción se requiere autorización por los escrutadores

Actualizar periódicamente la defensa de los equipos para la detección virus que pongan en riesgo la integridad de la información ingresada.

Requerir el uso de software que aporte confianza y plena seguridad exigiendo la licencia del mismo.

Reportar y vigilar posibles intromisiones a la seguridad de la información a través de correos electrónicos y archivos descargados.

Establecer procedimientos detallados para el mantenimiento de equipos y la información a través de copias de seguridad, manejo de correo y seguridad.

Establecer periodos para el resguardo de la información, en caso de presentarse fallas en el sistema o equipos.

El envío de la información de los formularios E -14 debe estar limitada a la verificación del código del formulario antes de proceder a transferir la información utilizando el medio criptográfico de código de barras.

Los boletines enviados al centro de consolidación nacional deberán contar con la autorización de las personas responsables de ello.

7.8 CONTROL DE ACCESO

19

Como todos sabemos todas las personas de todas las clases tienen acceso al principal activo de la organización electoral ósea la información, por lo tanto, se deben tomar para el buen uso de esto y evitar los problemas por parte de personas no autorizadas, como se llevaron a cabo siguiendo las directrices:

Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Protección de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la información contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la información cuando se usan dispositivos de

informática móvil y teletrabajo.

Cada persona deberá someterse a su nivel de acceso, quien no lo haga repercutirá en consecuencias pre-establecidas.

7.9 DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Desde que hacemos uso de un software especializado para el pre-conteo de votos, que a su vez será proporcionado por un contratista, en esta zona sólo debe definir dos tipos de componentes para ayudar al funcionamiento del software a las necesidades de la organización.

Requisitos de Seguridad de Sistemas: Aquí se definen los componentes en cuanto a la seguridad del sistema software.o Solo los operativos tendrán acceso al sistemao Se determinarán claves y usuarios de acceso

Seguridad de Sistemas de Aplicación: Se implementó un sistema de aplicación que mantenga el dinamismo y a interacción con el usuario, claro está, sin dejar de lado la seguridad de la información.

7.10 GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN

20

Este campo sólo se establecerá para la corrección de errores y optimizar el sistema debe ser comunicado a los superiores para tomar las medidas previstas para los eventos.

Todo está en la comunicación de eventos y debilidades de seguridad de la información, gestión de incidentes y mejorar la seguridad de la información.

Aspectos a tener en cuenta:

Reportar a los delegados departamentales la información errada recolectada, para su posterior modificación, o corrección.

Reportar a los delegados departamentales los casos de mesas ya grabadas que reaparecen o redundan en el procesamiento de datos.

La mesa que presente inconsistencias en la votación, podrá ser grabada pero no incluida en el cómputo de la votación, hasta ser verificada por los Delegados Departamentales.

Generar consultas detalladas y estadísticas que permitan conocer el número de mesas que presentan error, en cualquier momento del proceso de pre-conteo.

7.11 ADMINISTRACIÓN DE LA CONTINUIDAD DE NEGOCIOS

En esta área, tenemos en cuenta el análisis de todos los procesos y recursos críticos de negocio, y las acciones y procedimientos a seguir en caso de fallo o interrupción de estos se definen, evitando la pérdida de datos y cancelación de los procesos de producción de las empresas.

El uso de los controles de seguridad contra desastres naturales, averías y posibles brechas de seguridad promueven la continuidad de las funciones de la organización.

Las fases que se estipulan para cuando sucede un evento fueron:

1) Análisis y separación de los distintos escenarios de desastres2) Análisis de impacto en la organización.3) Desarrollo y elección de una estrategia de recuperación.4) Implementación de la estrategia más apropiada.5) Documentación del plan de recuperación usado.6) Mantenimiento del plan usado.

7.12 CUMPLIMIENTO

21

Objetivos

Evitar la violación de la ley, estatuto, reglamento u obligaciones y requisitos de seguridad contractuales.

Asegurar la alineación de los sistemas con la política de seguridad de la organización y las normas de los mismos.

Maximizar la eficacia y minimizar la interferencia o del proceso de auditoría del sistema.

Publicar la política formal de cumplimiento sobre el uso legal del software utilizado y la información recibida por medio de este, mediante la verificación del convenio realizado con la republica colombiana.

Dejar rastros o pistas de auditoría, en aquellas transacciones que afecten el archivo de votación (inclusiones, correcciones, eliminaciones), indicando nombre del usuario, fecha, hora y transacción.

Después de ver los objetivos establecidos para esta área, se decidió adoptar las siguientes directrices a aplicar apropiadamente a la organización.

Identificación de la legislación aplicable a los sistemas de información empresarial (en nuestro caso, todo el software dedicado a la obra del conteo de votos) estén debidamente identificados e integrados en el sistema de información de la organización y asegurar el cumplimiento de la seguridad.

Revisar periódicamente la seguridad de los medios de comunicación empleados, mediante mecanismos como pruebas de penetración realizadas por expertos contratados para este fin.

Garantizar que se lleven a cabo los procedimientos de seguridad establecidos para todos los parámetros que involucra cada proceso, mediante la revisión de cambios, adquisiciones y demás factores que se puedan presentar en los procesos.

El plan de auditoría interna se estableció en el primer dominio y cuando se ejecuta correctamente, la detección de desviaciones de la política de seguridad de la información está garantizada.

8. ANALISIS DE RIESGOS

22

8.1 Escenario de Riegos

Los siguientes son los escenarios en los cuales se investigará para indagar acerca de los posibles riesgos o vulnerabilidades de las redes durante la operación:

Elecciones Presidenciales

Escenarios de Riesgos:

Proceso de digitalización y envió de los Documentos E-14. Proceso de digitalización y envió de los Documentos FRT.

8.2 Procesos del Sistema

El sistema el cual se está analizando está conformado por los siguientes subsistemas:

Documento E-14: Consignación de los datos obtenidos en el proceso electoral en los documentos E-14.

Documento FRT: gestión de los documentos FRT. Equipos electrónicos: instalación y gestión del equipamiento usados en el

sistema. Suministros: documentos E-14, FRT, bolígrafos, etc. Infraestructura: instalaciones físicas usadas por el sistema.

8.3 Priorización de procesos del Sistema

Documento E-14: - Impresión de suficientes formatos E-14 para ejecución completa del

sistema.- Consignación de los datos obtenidos de cada mesa en los documentos

E-14.- Recolección y transmisión voz a voz de los documentos E-14.- Resección de transmisión voz a voz, verificación y digitalización de

documento E-14. Documento FRT:

- Impresión de suficientes formatos FRT para ejecución completa del sistema.

- Consignación de los datos de los documentos E-14 en los documentos FRT.

- Digitalización de los documentos FRT. Equipos electrónicos:

- Establecer la forma de instalación de los equipos electrónicos.- Designar personal para el uso de los equipos electrónicos.

23

- Tener un inventario de todo el equipamiento electrónico (servidores, routers, switches, etc.).

- Reglas para el mantenimiento y reparación del equipamiento electrónico.

Suministros:- Tener inventarios de suministros usados en las diferentes partes del

sistema.- Establecer las cantidades necesarias de suministros que el sistema

usara para su completa ejecución.- Establecer el personal designado para gestión de los suministros.

Infraestructura: - Designar las instalaciones que serán usadas durante la ejecución del

sistema.- Establecer normas para el correcto uso de las instalaciones.

8.4 Conceptuar Cada Proceso en cada subsistema

8.5 Descripción de los escenarios de riesgo

Escenarios de Riesgos:

Proceso de digitalización y envió de los Documentos E-14.- Digitalización de los documentos E-14.- Envío de los documentos E-14.

Proceso de digitalización y envió de los Documentos FRT.- Recepción de la información.- Digitalización de los documentos FRT.- Envió de la información a servidores.

8.6 Riesgos inherentes al escenario

Transmisión errónea de la información. Interrupciones en el flujo de energía de servidores. Perdida de equipos por robo. Daño de equipos. Costo alto en la instalación de las redes.

24

8.7 Diagramas de flujo

8.8 Causas de riesgo

Proceso: Documento E-14, Transmitir los documentos- Fallas en el manejo del tamaño de ancho de banda interno necesario

para la transmisión de documentos

Proceso: Documento FRT, gestión de los documentos FRT.- No envío adecuado de los documentos- Pérdida de datos- Red pobremente configurada y/o adecuada

Proceso: Equipos electrónicos, instalación y gestión del equipamiento usados en el sistema.

- Equipos defectuosos- Daños por mal manejo- Robo de equipos

Suministros: documentos E-14, FRT, bolígrafos, etc.- Uso inadecuado de suministros- Distribución mal administrada de los suministros o consumibles

Infraestructura, instalaciones físicas usadas por el sistema.- Fallas en el sistema eléctrico - Daños por mal manejo- No seguimiento de los protocolos pertinentes para el manejo de equipo- Problemas en el cableado eléctrico de las instalaciones- Fallas en la instalación de los equipos de red(mala configuración)- Lugar Inadecuado o inseguro

8.9 Amenazas

Documentos E-14:- Extravío de documentos E -14.- Destrucción de documentos E -14.- No uso de los protocolos establecidos para transmisión de los

documentos E-14.- No uso de los protocolos establecidos para digitalización de los

documentos E-14.

25

- Perdida de información en la transmisión de los documentos E-14. - Perdida de información en la digitalización de los documentos E-14.

Documentos FRT:- Extravío de documentos FRT.- Destrucción de documentos FRT.- No uso de los protocolos establecidos para transmisión de los

documentos FRT.- No uso de los protocolos establecidos para digitalización de los

documentos FRT.- Perdida de información en la transmisión de los documentos FRT. - Perdida de información en la digitalización de los documentos FRT.

Infraestructura:- Energía eléctrica con un fluido diferente.- Robo del cableado de las redes.- Interceptación de los paquetes que transitan por la red hacia los

servidores. Equipos electrónicos:

- Daños en el fluido que afectarían los servidores.- Sobrecarga de trabajo en los diferentes dispositivos de red (servidores,

switches, routers y etc.).- Lag en las redes (retraso).

8.10 Riesgos Reales y Potenciales

Documentos E-14:- Perdida de información.- Errores y omisiones- Problemas en la transmisión de los documentos E-14.- Problemas con las redes.

Documentos FRT:- Perdida de información - Problemas con los servidores.- Errores y omisiones.- Problemas con la digitalización.- Problemas con las redes.

Equipos Electrónicos:- Perdida de los dispositivos (equipos pertenecientes a la red).- Interrupción en la comunicación de los servidores y los puntos de

acceso al sistema (pc’s).- Baja credibilidad.

26

8.11 Controles Existentes Asociados

Back-up de los servidores. Utilización de plantas eléctricas y UPS. Validación del funcionamiento de canales de comunicaciones. Pruebas de los canales y procesos de transmisión. Control de acceso a los servidores con Usuario y contraseñas robustas. Protocolos de identificación y autenticación entre transmisores y receptores. Implementación de protocolos de seguridad. Contratación de proveedores de servicios confiables (internet, telefonía). Utilización de hardware óptimo para el sistema. Utilización de hardware actualizado en el sistema.

8.12 Controles propuestos

8.13 Costos

Costos Físicos

Conexión a internet 31 Mbs (Proveedor Claro o Une) = 300.000 pesos 2000 metros de clave RJ45 = 2.000.000 pesos 8 Cisco Router 1.325.988 cada uno = 10.607.908 pesos 28 Cisco Switches 331.262 cada uno = 9.275.362 pesos 12 Cabinas para equipos de red pequeña = 3.478.260 pesos 4 Cabinas Grandes = 4.886.128 pesos Estimados 675 Computadores de 1.500.000 = 1.012.500.000 pesos 4 Cerraduras Biométricas de Huella para protección de cabinas = 1.325.051

pesos

Costos Lógicos

Antivirus ESET Smart Security 2014 Edition - 3 Users = 21.849.173 pesos Sistemas operativos Windows para 675 Computadores 145.041.322 pesos Bases de datos Oracle 82.644.628 pesos Sistemas operativos de servidores 1.859.504 pesos

27

28