ESCUELA POLITÉCNICA NACIONALbibdigital.epn.edu.ec/bitstream/15000/15161/1/CD-6941.pdfPor estar ahí...
Transcript of ESCUELA POLITÉCNICA NACIONALbibdigital.epn.edu.ec/bitstream/15000/15161/1/CD-6941.pdfPor estar ahí...
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
DESARROLLO DE UN PLAN DE CONTINUIDAD DE NEGOCIO PARA
EL DEPARTAMENTO DE TI DE EMPRESAS. CASO DE APLICACIÓN
EMPRESARIAL.
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN
SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN
SANDRA MILENA NAZAMUES QUENGUAN
SANTIAGO ALEJANDRO SANDOVAL HINOJOSA
DIRECTOR: ING. BOLÍVAR OSWALDO PALÁN TAMAYO, MSc.
Quito, Enero 2016
II
DECLARACIÓN
Nosotros, Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval
Hinojosa, declaramos bajo juramento que el trabajo aquí descrito es de nuestra
autoría; que no ha sido previamente presentada para ningún grado o calificación
profesional; y, que hemos consultado las referencias bibliográficas que se incluyen en
este documento.
A través de la presente declaración cedemos nuestros derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según
lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
Sandra Milena Nazamués
Quenguán
Santiago Alejandro Sandoval
Hinojosa
III
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Sandra Milena Nazamués
Quenguán y Santiago Alejandro Sandoval Hinojosa, bajo mi supervisión.
Ing. Bolívar Palán
DIRECTOR DE PROYECTO
IV
AGRADECIMIENTOS
Agradezco a Dios por las bendiciones que me ha dado, una de ellas mi familia quien
ha estado presente en cada momento de mi vida apoyándome de manera
incondicional.
A mis padres Milton y Elena por el esfuerzo que han hecho a pesar de los obstáculos
presentados, por sus consejos que han hecho de mí una persona responsable y en
especial por su amor infinito de padres.
A mi hermana Anita por su apoyo incondicional en todos los sentidos, por su amor,
enseñanzas y por inspirarme a ser mejor cada día. Gracias por ser parte de mi vida.
A mis sobrinos Naim y Eduardo por ser mi motivo de inspiración para superarme cada
día.
A Santiago, novio y en especial amigo, gracias por ser mi persona especial, por reír
conmigo en momentos buenos y hacerme reír en los momentos malos, a pesar de las
dificultades presentadas hemos salido adelante juntos.
A mis amigos quienes estuvieron apoyándome y ayudándome a lo largo de la carrera.
A nuestro director Ing. Bolívar Palán, por su colaboración y paciencia como Director
durante la realización de este Proyecto de Titulación.
Milena
V
AGRADECIMIENTOS
Agradezco a mis padres que siempre me han brindado apoyo en todo lo necesario en
especial a mi mami que siempre está a mi lado, gracias por todo mami. A toda mi
familia que siempre están pendientes de mí y un agradecimiento especial al Ing.
Bolívar Palán quien nos ha guiado en el desarrollo de este proyecto de titulación
Santiago
VI
DEDICATORIA
Dedico este trabajo a mis padres y hermana, por enseñarme a salir adelante inclusive
cuando las cosas se ponen difíciles. Por el apoyo brindado en momentos de tristeza e
incertidumbre. Por estar ahí y encontrar en ellos siempre palabras de aliento para salir
adelante.
A mis amigos quienes conocí durante esta etapa universitaria, quienes se convirtieron
en mi segunda familia, gracias por los maravillosos momentos compartidos, por su
confianza y en especial por su apoyo incondicional en esos momentos en los cuales
decaí.
A Santiago por su paciencia, apoyo incondicional en los buenos y malos momentos y
sobre todo mil gracias a su constancia todo ha salido adelante. Gracias por ser parte
de mi vida y estar a mi lado.
Milena
VII
DEDICATORIA
A mis padres Anita y Fernando, a mi hermano Paúl, a mis tíos Fabián y Amelia, a mi
abuelita Fanny, a Milena y a mis hermanos peludos Roger y Woody.
Santiago
VIII
CONTENIDO
CAPÍTULO I ............................................................................................ 1
RECONOCIMIENTO ORGANIZACIONAL .............................................. 1
1.1 DESCRIPCIÓN DE LA ORGANIZACIÓN ..................................................... 1
1.1.1 LA ORGANIZACIÓN EQUIVIDA ............................................................... 1
1.1.2 PRESENCIA DE EQUIVIDA EN ECUADOR ............................................. 2
1.1.3 ESTRUCTURA ORGANIZACIONAL DE EQUIVIDA S.A. ......................... 2
1.1.4 ESTRATEGIA EMPRESARIAL DE EQUIVIDA S.A. .................................. 4
1.1.4.1 Línea de Negocio de EQUIVIDA S.A. ............................................... 5
1.1.4.2 Portafolio de Productos de EQUIVIDA S.A. ...................................... 8
1.2 ESTUDIO DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN ............. 19
1.2.1 SITUACIÓN ACTUAL DE EQUIVIDA S.A. .............................................. 19
1.2.1.1 Análisis FODA de EQUIVIDA S.A. .................................................. 19
1.2.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI ............................. 22
1.2.2.1 Posicionamiento del Departamento de TI ....................................... 22
1.2.2.2 Estructura Organizacional del Departamento de TI ........................ 24
1.2.2.3 Análisis FODA del Departamento de TI .......................................... 25
1.2.2.4 Catálogo de Servicios de TI ............................................................ 27
1.3 LISTADO DE ACTIVOS DE TI .................................................................... 33
1.3.1 APLICACIONES ...................................................................................... 33
1.3.2 INFRAESTRUCTURA ............................................................................. 36
1.3.2.1 Computadoras ................................................................................. 36
1.3.2.2 Switch ............................................................................................. 37
1.3.2.3 Servidores ....................................................................................... 38
IX
1.3.2.4 Topología de Red de EQUIVIDA S.A. ............................................. 40
1.3.3 DATOS .................................................................................................... 41
1.3.4 PERSONAL ............................................................................................. 41
1.3.5 UBICACIÓN ............................................................................................ 43
1.3.6 RESUMEN .............................................................................................. 44
1.4 ANÁLISIS DE VULNERABILIDADES Y RIESGOS ..................................... 46
1.4.1 IDENTIFICACIÓN DE AMENAZAS ......................................................... 46
1.4.2 IDENTIFICACIÓN DE VULNERABILIDADES ......................................... 47
1.4.3 IDENTIFICACIÓN DE RIESGOS ............................................................ 48
1.4.4 ANÁLISIS DE RIESGOS ......................................................................... 51
1.4.4.1 Escalas de Medición del Riesgo ..................................................... 51
1.4.4.2 Categoría del Riesgo ...................................................................... 51
1.4.4.3 Evaluación de Riesgos .................................................................... 51
CAPÍTULO II ......................................................................................... 56
ELABORACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO ........ 56
2.1 ESTUDIO INICIAL ....................................................................................... 56
2.1.1 CLÁUSULA 4: CONTEXTO DE LA ORGANIZACIÓN ............................. 59
2.1.1.1 Entendimiento a la Organización y su Contexto .............................. 59
2.1.1.2 Entendimiento de las Necesidades y Expectativas de las Partes
Interesadas ..................................................................................................... 59
2.1.1.3 Alcance del Plan de Continuidad del Negocio................................. 60
2.2 DEFINICIÓN DE REQUERIMIENTOS Y ESTRATEGIA ............................. 61
2.2.1 CLÁUSULA 5: LIDERAZGO .................................................................... 61
2.2.1.1 Liderazgo y Compromiso ................................................................ 61
2.2.1.2 Compromiso de la Gerencia ............................................................ 62
X
2.2.1.3 Política de Continuidad del Negocio ............................................... 62
2.2.1.4 Roles y Responsabilidades ............................................................. 64
2.2.2 CLÁUSULA 7: APOYO ............................................................................ 66
2.2.2.1 Recursos ......................................................................................... 66
2.2.2.2 Competencia ................................................................................... 66
2.2.2.3 Toma de Conciencia y Comunicación ............................................. 67
2.3 OBJETIVOS DEL PLAN DE CONTINUIDAD .............................................. 68
2.3.1 CLÁUSULA 6: PLANEACIÓN ................................................................. 68
2.3.1.1 Objetivos ......................................................................................... 68
2.3.1.2 Factores Críticos de Éxito ............................................................... 68
2.4 METODOLOGÍA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL
NEGOCIO .............................................................................................................. 69
2.4.1 CLÁUSULA 8: OPERACIÓN ................................................................... 71
2.4.1.1 Análisis de Impacto del Negocio y Evaluación del Riesgo .............. 71
2.4.1.2 Estrategia de Continuidad del Negocio ........................................... 81
2.4.1.3 Procedimientos para Continuidad del Negocio [20] ........................ 83
2.4.1.4 Ejercicios y Ensayos ....................................................................... 89
2.4.2 CLÁUSULA 9: EVALUACIÓN DEL DESEMPEÑO .................................. 91
2.4.2.1 Monitoreo y Medición ...................................................................... 91
2.4.2.2 Análisis y Evaluación ...................................................................... 91
2.4.2.3 Auditoría Interna .............................................................................. 92
2.4.2.4 Revisión Gerencial .......................................................................... 92
2.4.3 CLÁUSULA 10: MEJORAMIENTO .......................................................... 93
2.4.3.1 No Conformidad y Acción Correctiva .............................................. 93
2.4.3.2 Mejora Continua .............................................................................. 93
XI
2.5 GENERACIÓN DEL DOCUMENTO ............................................................ 94
CAPÍTULO III ........................................................................................ 95
APLICACIÓN DEL PLAN DE CONTINUIDAD ...................................... 95
3.1 RECOPILACIÓN DE DATOS DEL CASO DE APLICACIÓN ...................... 95
3.1.1 GESTIÓN DE INCIDENTES .................................................................... 96
3.1.2 GESTIÓN DE CENTRO DE SERVICIO .................................................. 98
3.1.3 GESTIÓN DE CONFIGURACIONES .................................................... 101
3.1.4 GESTIÓN DE NIVELES DE SERVICIO ................................................ 103
3.2 APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO ................ 106
3.2.1 ESCENARIOS DE APLICACIÓN DEL PLAN DE CONTINUIDAD DEL
NEGOCIO ......................................................................................................... 117
3.2.2 CRONOGRAMA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL
NEGOCIO ......................................................................................................... 125
3.3 ANÁLISIS DE RESULTADOS ................................................................... 126
3.3.1 ACEPTACIÓN, COLABORACIÓN Y CUMPLIMIENTO DEL PLAN DE
CONTINUIDAD DEL NEGOCIO ....................................................................... 129
CAPÍTULO IV ...................................................................................... 131
CONCLUSIONES Y RECOMENDACIONES ...................................... 131
4.1 CONCLUSIONES ..................................................................................... 131
4.2 RECOMENDACIONES ............................................................................. 132
BIBLIOGRAFÍA .................................................................................................... 133
ANEXOS .............................................................................................................. 137
XII
ÍNDICE DE FIGURAS
Figura 1. Estructura Organizacional de EQUIVIDA S.A. ............................................. 3
Figura 2. Modelo de Negocio de EQUIVIDA S.A. [3] .................................................. 6
Figura 3. Mapa de Procesos de EQUIVIDA S.A. [3] .................................................... 7
Figura 4. Posicionamiento del Departamento de TI ................................................. 23
Figura 5. Estructura Organizacional del Departamento de TI.................................... 24
Figura 6. Topología de Red de EQUIVIDA S.A. ........................................................ 40
Figura 7. Ubicación del Departamento de TI ............................................................. 43
Figura 8. Categoría del Riesgo .................................................................................. 51
Figura 9. Cláusulas de la ISO 22301 ........................................................................ 58
Figura 10. Ciclo PDCA Aplicado al Proceso de la Continuidad del Negocio ............. 70
Figura 11. Escala de Criticidad .................................................................................. 72
Figura 12. Gestión de Incidentes ............................................................................... 74
Figura 13. Gestión de Centro de Servicios ................................................................ 75
Figura 14. Gestión de Configuraciones ..................................................................... 76
Figura 15. Gestión de Niveles de Servicio ................................................................ 77
Figura 16. Relación entre RPO, RTO, WRT y MTD [17] ........................................... 79
XIII
ÍNDICE DE TABLAS
Tabla 1. Línea de Negocio de EQUIVIDA S.A............................................................. 5
Tabla 2. Seguros para Personas [4] ............................................................................ 8
Tabla 3. Buen Viaje - Seguro para Viaje [4] ................................................................ 9
Tabla 4. Seguro de Becario Senescyt [4] .................................................................. 12
Tabla 5. Seguros para Empresas [4] ......................................................................... 13
Tabla 6. Familia Empresarial [4] ................................................................................ 15
Tabla 7. Empresas Amigas [4] .................................................................................. 16
Tabla 8. Resumen de Productos y Servicios de EQUIVIDA S.A ............................... 18
Tabla 9. Análisis FODA de EQUIVIDA S.A. .............................................................. 20
Tabla 10. Matriz FODA de EQUIVIDA S.A. ............................................................... 21
Tabla 11. Análisis FODA del Departamento de TI ..................................................... 25
Tabla 12. Matriz FODA del Departamento de TI ....................................................... 26
Tabla 13. Catálogo de Servicios de TI ...................................................................... 27
Tabla 14. Listado de Aplicaciones ............................................................................. 33
Tabla 15. Listado de Desktops y Laptops ................................................................. 36
Tabla 16. Listado de Switches ................................................................................... 37
Tabla 17. Listado de Servidores ................................................................................ 38
Tabla 18. Listado del Personal del Departamento de TI ........................................... 41
Tabla 19. Resumen de Activos de TI ........................................................................ 44
Tabla 20. Identificación de Amenazas ....................................................................... 46
Tabla 21. Identificación de Vulnerabilidades ............................................................. 47
Tabla 22. Identificación de Riesgos ........................................................................... 49
Tabla 23. Matriz Escala de Probabilidad x Impacto ................................................... 51
Tabla 24. Evaluación del Riesgo ............................................................................... 52
Tabla 25. Orden para Mitigar las Vulnerabilidades .................................................... 54
Tabla 26. Factores Críticos de Éxito ......................................................................... 69
Tabla 27. Identificación de Procesos Críticos............................................................ 72
Tabla 28. Análisis de Impacto del Negocio ............................................................... 78
Tabla 29. Tiempos de Recuperación ......................................................................... 80
XIV
Tabla 30. Escenarios de Recuperación [18] .............................................................. 82
Tabla 31. Datos del Caso de Aplicación .................................................................... 95
Tabla 32. Estado de las Medidas de Defensa – P. Gestión de Incidentes ................ 97
Tabla 33. Estado de las Medidas de Defensa – P. Gestión de Centro de Servicio . 100
Tabla 34. Estado de las Medidas de Defensa – P. Gestión de Configuraciones .... 102
Tabla 35. Estado de las Medidas de Defensa – P. Gestión de Niveles de Servicio 105
Tabla 36. Medidas de Defensa de Gestión de Incidentes ....................................... 106
Tabla 37. Medidas de Defensa de Gestión de Centro de Servicio .......................... 106
Tabla 38. Medidas de Defensa de Gestión de Configuraciones.............................. 107
Tabla 39. Medidas de Defensa de Gestión de Niveles de Servicio ......................... 108
Tabla 40. Escenario 1: Mal Funcionamiento de los Equipos ................................... 117
Tabla 41. Escenario 2: Fallas de Software .............................................................. 118
Tabla 42. Escenario 3: Fallas de las Aplicaciones .................................................. 118
Tabla 43. Escenario 4: Fallas de los Servicios Contratados (ISP) .......................... 119
Tabla 44. Escenario 5: Fallas Humanas y Organizacionales .................................. 120
Tabla 45. Escenario 6: Desastres Naturales ........................................................... 123
Tabla 46. Escenario 7: Fallas Eléctricas ................................................................. 124
Tabla 47. Cronograma de Aplicación ...................................................................... 125
Tabla 48. Factor Tiempo ......................................................................................... 126
Tabla 49. Factor Financiero..................................................................................... 127
Tabla 50. Indicadores y Nivel de Cumplimiento del BPC ........................................ 129
Tabla 51. Resultados que Garantizan la Continuidad de las Actividades ............... 130
XV
PRESENTACIÓN
Hoy en día muchas organizaciones dependen de la tecnología para el desarrollo de
sus actividades diarias, lo que implica que pueden tener situaciones que provoquen
interrupciones. De esta manera un Plan de Continuidad del Negocio juega un rol
importante en una organización, ya que de este se establecen las estrategias
necesarias para reducir al máximo los riesgos que pueden provocar interrupciones en
las actividades que se llevan a cabo en el negocio.
El objetivo principal de un Plan de Continuidad del Negocio es reducir el impacto de
cualquier imprevisto que afecte las operaciones del negocio. Para la ejecución de este
proyecto se toma como referencia la Norma ISO 22301:2012, la cual provee una guía
completa para el desarrollo y aplicación del Plan de Continuidad en una organización.
Para una correcta elaboración del Plan de Continuidad se debe conocer a profundidad
el caso de estudio, y así aplicar las cláusulas de la norma las cuales deben alinearse
con los objetivos del negocio, de esta manera se verán reflejados los resultados
esperados el finalizar la aplicación del Plan de Continuidad.
El presente documento se encuentra estructurado de la siguiente manera, en el
Capítulo I se realiza el reconocimiento organizacional teniendo como objetivo principal
conocer la situación actual tanto de la organización como del Departamento de TI.
En el Capítulo II tomando como base la Norma ISO 22301:2012 se desarrolla el Plan
de Continuidad enfocándose en las cláusulas que presenta la norma.
En el Capítulo III se describen los escenarios donde toma lugar la aplicabilidad del Plan
de Continuidad a través de los procedimientos detallados para posteriormente obtener
el análisis de resultados.
Finalmente en el Capítulo IV se describen las conclusiones y recomendaciones
obtenidas una vez culminado el desarrollo y aplicación del Plan de Continuidad.
1
CAPÍTULO I
RECONOCIMIENTO ORGANIZACIONAL
En este capítulo se realizará una descripción general de la empresa EQUIVIDA S.A.,
y las respectivas funciones del departamento de tecnología en donde se aplicará el
Plan de Continuidad del Negocio.
1.1 DESCRIPCIÓN DE LA ORGANIZACIÓN
1.1.1 LA ORGANIZACIÓN EQUIVIDA
EQUIVIDA S.A. es una empresa que forma parte del Grupo Futuro y se ubica como
líder en el mercado de seguros de vida tanto individual como colectivo.
El Grupo Equinoccial y Suramericana de Seguros de Colombia, establecen en el
Ecuador una sociedad anónima cuyo principal objetivo social fue la operación en el
campo de los seguros de vida y decidieron llamar EQUIVIDA a la nueva compañía. Es
así que el 09 de mayo de 1994 nace oficialmente EQUIVIDA S.A., que funcionó en el
edificio de Seguros Equinoccial empresa que también pertenece al Grupo Futuro. Se
utilizó el sistema AS-400 para el manejo de las pólizas y se trabajó con computadores
personales rentados, lo que motivó a crear el Departamento de Sistemas.
EQUIVIDA S.A. cuenta con el respaldo de importantes reaseguradoras de prestigio
mundial como son: Swiss Re, Hannover Rückversicherung AG, General Reinsurance
AG (Gen Re), Mapfre Re, entre otras, con una larga trayectoria en el mercado nacional
e internacional. Estas empresas cuentan con una fuerte solidez financiera y
principalmente poseen una flexibilidad comercial que nos permite acceder a nuevos
mercados. Este respaldo le permite a la empresa brindar a los clientes la tranquilidad,
de que en caso de siniestro, estos serán cubiertos inmediatamente y sin
inconvenientes [1].
2
1.1.2 PRESENCIA DE EQUIVIDA EN ECUADOR
EQUIVIDA S.A. es una empresa con 20 años en Ecuador, brindando solidez y
confianza a sus clientes con soluciones de protección que buscan proveer una vida
plena, tranquila y libre de preocupaciones.
En estas dos décadas EQUIVIDA S.A. ha forjado un equipo con talento y de alto
desempeño, ético y responsable. Preocupados por el ser humano detrás de cada
colaborador, EQUIVIDA S.A. se compromete en impulsar su desarrollo personal y
profesional así como ir mejorando las condiciones laborales permanentemente. Por
estas y otras razones EQUIVIDA S.A. se ha merecido también el reconocimiento de
ser una de las mejores empresas para trabajar en Ecuador [1].
1.1.3 ESTRUCTURA ORGANIZACIONAL DE EQUIVIDA S.A.
3
Fig
ura
1. E
str
uc
tura
Org
an
iza
cio
nal
de
EQ
UIV
IDA
S.A
.
Fu
en
te:
EQ
UIV
IDA
S.A
. [2
]
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
4
1.1.4 ESTRATEGIA EMPRESARIAL DE EQUIVIDA S.A.
La empresa EQUIVIDA S.A. posee un plan estratégico [3], del cual a continuación se presentan los siguientes elementos:
· Misión
La razón de ser de Equivida es descubrir las incertidumbres de nuestros clientes
y del mercado y ofrecer soluciones de protección y respaldo que sean
consideradas valiosas.
· Visión
Ser tu elección de respaldo y tranquilidad en la vivencia de una vida plena.
· Valores Corporativos
o Respetamos a los demás
o Compromiso con la sostenibilidad del medio ambiente
o Autosuperación
o Generosidad y Solidaridad
o Actuamos éticamente
o Damos lo mejor de nosotros
o Humildad
· Maniobras clave
o Colaboradores talentosos y enamorados de EQUIVIDA S.A.
o Profundo conocimiento de nuestros clientes y construcción de soluciones
o Venta consultiva
o Procesos eficientes enfocados en el cliente
o Herramientas tecnológicas flexibles
5
1.1.4.1 Línea de Negocio de EQUIVIDA S.A.
Dentro del campo de los seguros de vida, EQUIVIDA S.A. básicamente está dirigida a
dos líneas de negocio, seguros de vida para personas y seguros de vida para
empresas (ver Tabla 1).
Tabla 1. Línea de Negocio de EQUIVIDA S.A.
Personas Empresas
- Individual
- Familia empresarial
- MGA
- Corporativo
- Masivo tradicional
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Las razones principales de la existencia de estas dos líneas de negocio en EQUIVIDA
S.A. son por las necesidades de los clientes, ya que estas difieren tanto para
individuales como para empresas y además los enfoques y las estrategias son
especializadas para cada una de las líneas.
EQUIVIDA S.A. a partir de su planeación estratégica se plantea que la meta hasta el
2017 sea tener su línea de negocio de manera equitativa, es decir, 50% en individual
y 50% en corporativo.
· Modelo de Negocio de EQUIVIDA S.A.
EQUIVIDA S.A. cuenta con un equipo de colaboradores que ayudan a la conformación
de líderes internos con alto desempeño, para mantener a la compañía como líder en
el mercado, con base en la propuesta de valor [3].
EQUIVIDA S.A. transforma las incertidumbres en seguridad por medio de:
· Detección/Creación de incertidumbres (necesidades)
· Gestión del cliente
· Generación de ofertas innovadoras
· Gestión de procesos claves
· Contar con una plataforma tecnológica flexible
6
Fig
ura
2.
Mo
de
lo d
e N
eg
oc
io d
e E
QU
IVID
A S
.A.
[3]
7
·
Ma
pa
de
Pro
ces
os
de
EQ
UIV
IDA
S.A
.
Fig
ura
3. M
apa
de
Pro
ce
sos
de
EQ
UIV
IDA
S.A
. [3
]
MP
– 0
10
MA
RK
ET
ING
MP
– 0
20
GEST
ION
CO
MER
CIA
L
MP
– 0
40
SER
VIC
IO A
L
CLIE
NT
E Y
CA
NA
LES
MP
– 0
30
GEST
ION
DE
CO
NT
RA
TO
S
MP
– 1
20
GEST
ION
CO
NT
AB
LE
-FIN
AN
CIE
RA
MP
– 1
30
GEST
ION
DE R
IESG
O
TEC
NIC
O
MP
– 1
10
GEST
ION
DEL
TA
LEN
TO
HU
MA
NO
MP
– 1
40
GEST
ION
DE
PR
OV
EED
OR
ES
MP
– 1
50
TEC
NO
LO
GIA
DE
INFO
RM
AC
ION
MP
– 1
60
AP
OY
O L
OG
IST
ICO
MP
– 2
10
GEST
ION
EST
RA
TEG
ICA
MP
– 2
20
GEST
ION
DE L
A
CA
LID
AD
Y
MEJO
RA
MIE
NT
O
MER
CA
DO
Y
CLIE
NT
ES
PR
OC
ES
OS
PR
IMA
RIO
S
PR
OC
ES
OS
DE
AP
OY
O
PR
OC
ES
OS
DE
GES
TIO
N
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
8
1.1.4.2 Portafolio de Productos de EQUIVIDA S.A.
EQUIVIDA S.A. presenta sus productos de acuerdo a las necesidades de sus clientes,
por lo que se encuentran divididos de la siguiente manera:
· Personas
· Empresas
· Familia empresarial
· Beneficios con empresas amigas
· Seguros para Personas
Tabla 2. Seguros para Personas [4]
NOMBRE DEL
PRODUCTO
COBERTURA
PRINCIPAL
EDAD DEL
ASEGURADO
COBERTURAS
ADICIONALES
FORMAS DE
PAGO
Plan de
Educación
Muerte por cualquier
causa
18 - 69 años Muerte y/o
desmembración
accidental
Incapacidad total y
permanente
Enfermedades graves
Gastos médicos por
Accidente
Renta Diaria por
Hospitalización
Asistencia en viajes
Exequial
Mensual
Trimestral
Semestral
Anual
Futuro Pleno 0 - 69 años
Protección
Familiar
18 - 69 años
Accidentes
Personales
Muerte y/o
desmembración por
accidente
Incapacidad total y
permanente
Gastos médicos por
Accidente
Renta Diaria por
Hospitalización
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
9
Tabla 3. Buen Viaje - Seguro para Viaje [4]
NOMBRE DEL PLAN TOTAL TURISTA PLUS TURISTA INTELIGENTE
Ideal para
Para Visa
Schengen
Viajes a Europa
Protección Total
Ecuador
Ejecutivos Alta
Gerencia dentro y
fuera del Ecuador
Viajeros
Frecuentes
Ejecutivos dentro
y fuera del
Ecuador
Cobertura Smart al
mejor precio dentro
y fuera del Ecuador
Asistencia médica Hasta $ 50.000 Hasta $ 20.000 Hasta $ 15.000 Hasta $ 12.500
Consulta urgencia médica
(incluye caso de
preexistencias)
Hasta $ 1.500 Hasta $ 1.000 Hasta $ 1.000 Hasta $ 1.000
Pérdida de equipaje ($ 50
por Kg.) Hasta $ 1.500 Hasta $ 1.200 Hasta $ 900 Hasta $ 600
Reembolso de gastos por
vuelo cancelado o
demorado
Hasta $ 1.500 Hasta $ 1.000 Hasta $ 750 Hasta $ 600
Seguro de vida por muerte
accidental Hasta $ 10.000 Hasta $ 10.000 Hasta $ 10.000 Hasta $ 2.500
Gastos médicos u
hospitalarios por accidente
en el exterior
Hasta $ 50.000 Hasta $ 20.000 Hasta $ 15.000 Hasta $ 12.500
Gastos médicos u
hospitalarios por
enfermedad en el exterior
Hasta $ 50.000 Hasta $ 20.000 Hasta $ 15.000 Hasta $ 12.500
Gastos de medicamentos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 1.000 Hasta $ 750
Exámenes diagnósticos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500
Gastos odontológicos Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500
Ambulancia terrestre Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500
Localización y transporte
de equipaje y efectos
personales
Sí Sí Sí Sí
Gastos por demora de
equipaje a partir de 24
horas
No No No No
10
NOMBRE DEL PLAN TOTAL TURISTA PLUS TURISTA INTELIGENTE
Gastos por demora de
equipaje a partir de 48
horas
Hasta $ 500 Hasta $ 400 Hasta $ 250 Hasta $ 200
Gastos por demora de
equipaje superior a 8 días Hasta $ 1.000 Hasta $ 600 Hasta $ 500 Hasta $ 400
Indemnización
complementaria a la línea
aérea por pérdida de
equipaje ($50 por Kg.
registrado)
Hasta $ 1.500 Hasta $ 1.200 Hasta $ 900 Hasta $ 600
Anticipo/Préstamo de
dinero (solo en el exterior) Hasta $ 5.000 Hasta $ 2.000 Hasta $ 1.000 Hasta $ 500
Traslado Sanitario
(repatriación de enfermo o
accidentado)
Sí Sí Sí Sí
Traslado del acompañante Boleto Boleto Boleto Boleto
Repatriación de menores
(sin exclusiones) Sí Sí Sí Sí
Repatriación de restos
mortales Sí Sí Sí Sí
Traslado ambulancia
aérea Sí Sí Sí Sí
Regreso anticipado por
siniestro grave en el
domicilio (incendio o robo)
No No No No
Seguro de vida por muerte
cualquier causa No No No No
Terapia de recuperación
física Hasta $ 1.500 Hasta $ 1.000 Hasta $ 500 Hasta $ 500
Gastos de hotel por
convalecencia máximo 10
días
Hasta $ 150 por
día
Hasta $ 100 por
día
Hasta $ 100 por
día Hasta $ 75 por día
Traslado del acompañante
para Terapias Boleto Boleto Boleto Boleto
11
NOMBRE DEL PLAN TOTAL TURISTA PLUS TURISTA INTELIGENTE
Gastos de estancia para
acompañante 10 días
Hasta $ 150 por
día
Hasta $ 100 por
día
Hasta $ 100 por
día Hasta $ 75 por día
Asistencia PC. On Line Sí Sí Sí Sí
Informaciones previas de
viaje Sí Sí Sí Sí
Concierge Buen Viaje
(informaciones de
restaurantes, shows)
Sí Sí Sí Sí
Mi camino seguro Sí Sí Sí Sí
Interrupción del viaje por
muerte de un familiar
(Regreso anticipado)
Sí Sí Sí Sí
Transmisión de mensajes
urgentes Sí Sí Sí Sí
Atención en 4 idiomas Sí Sí Sí Sí
Adelanto de Fianza $ 5.000 $ 2.000 $ 1.000 $ 500
Asistencia Legal $ 5.000 $ 2.000 $ 1.000 $ 500
Asistencia en caso de
robo o extravío de
documentos
No No No No
Transferencia de fondos No No No No
Orientación legal
telefónica (En caso de
haber sufrido robo o
sufrido un accidente)
No No No No
Hogar protegido Hasta $ 150 Hasta $ 200 Hasta $ 100 Hasta $ 100
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
12
Tabla 4. Seguro de Becario Senescyt [4]
BECARIO SENESCYT
DESCRIPCIÓN DEL PRODUCTO
El seguro Becario Senescyt no paga deducible, cuenta con Asistencia Médica mundial 24/7 durante todo el
año y con un costo único de $1.200 dólares al año.
COBERTURA
Asistencia médica y hospitalaria
Consulta por urgencia médica (incluye enfermedades existentes). Hasta $ 1.000
Gastos médicos u hospitalarios por Accidente. $ 40.000
Gastos médicos u hospitalarios por Enfermedad. $ 40.000
Gastos de medicamentos de hospitalización. Sí
Gastos de medicamentos. $ 2.000
Gastos Odontológicos. $ 1.000
Vuelos demorados y pérdida de equipajes
Reembolso de gastos por vuelo cancelado o demorado por más de 6 horas. $ 200
Localización y transporte de equipaje. Sí
Gastos por demora de equipaje a partir de 24 horas. $ 500
Indemnización por pérdida de equipaje ($ 40 por Kg. registrado). $ 1.300
Traslados y repatriaciones
Traslado de un acompañante en caso de enfermedad o accidente. Boleto
Gastos de transporte y repatriación sanitaria. Hasta $ 40.000
Repatriación de restos mortales. $ 40.000
Regreso anticipado por incendio o robo en el domicilio. Siempre que no haya un
responsable viviendo en Ecuador.
Boleto
Seguro de vida por muerte por cualquier causa. $ 20.000
Coberturas de recuperación y terapias
Gastos de hotel por convalecencia máximo 10 días. Hasta $ 300
Gastos de estadía para acompañante 10 días. Hasta $ 300
Coberturas Complementarias para el viaje
Interrupción del viaje por muerte de un familiar (Regreso anticipado). Boleto
Transmisión de mensajes urgentes. Sí
Atención en 4 idiomas (Español, Inglés, Portugués, Francés). Sí
Adelanto de fianza. $ 3.000
Asistencia legal. $ 2.000
Asistencia en caso de robo o extravío de documentos. Sí
Transferencia de fondos. Hasta $ 1.000
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
13
· Seguros para Empresas
Tabla 5. Seguros para Empresas [4]
PRODUCTO DESCRIPCIÓN CARACTERÍSTICAS COBERTURA
Se
gu
ro d
e v
ida
El seguro de vida corporativo
o grupal brinda protección
los colaboradores y sus
beneficiarios para que en
caso de fallecimiento reciban
la suma asegurada
contratada.
Este producto no genera
intereses ni ahorro, y no
permite solicitar préstamos.
Plan 1 año:
· Edad de
Contratación:
Personas desde 18
hasta 65 años de edad.
· Edad de
Permanencia: Este
seguro da cobertura
hasta los 70 años
cumplidos.
· Forma de Pago:
Mensual
· Cobertura Mínima:
$50.000
· Prima Mínima Anual:
$180
Plan 5 - 10 - 20 años:
· Edad de
Contratación:
Personas desde 18
hasta 69 años de edad.
· Edad de
Permanencia: Este
seguro da cobertura
hasta los 70 años
cumplidos.
· Muerte por cualquier
causa
Se puede contratar
protección adicional con
más coberturas que
mejoran el seguro
· Muerte y/o
desmembración
accidental
· Incapacidad total y
permanente
· Enfermedades
graves
· Gastos médicos por
Accidente
· Renta Diaria por
Hospitalización
· Asistencia en viajes
· Sepelio
14
PRODUCTO DESCRIPCIÓN CARACTERÍSTICAS COBERTURA
· Forma de Pago:
Anual, semestral,
trimestral o mensual.
· Cobertura Mínima:
$40.000
· Prima Mínima Anual:
$180
Vid
a -
Des
gra
vam
en
El desgravamen es un
seguro para personas que
contraen una deuda,
mediante el cual, en caso de
muerte del deudor, Equivida
cubre la misma hasta el
monto contratado.
Este producto no genera
intereses ni ahorro, y no
permite solicitar préstamos.
· Edad de Contratación:
Personas desde 18
hasta 69 años de edad.
· Este seguro protege
al contratante en
caso de muerte del
deudor asegurado,
durante el plazo del
crédito concedido.
Se puede contratar
protección adicional con
más coberturas que
mejoran el seguro.
· Incapacidad total y
permanente
· Exención de pago de
primas por
Incapacidad
· Desempleo e
Incapacidad
· Cobertura de
Préstamos
· Sepelio
Acc
ide
nte
s P
ers
on
ale
s
Protege a empleados y
familias en caso de muerte a
consecuencia de un
accidente.
Cuenta con coberturas
adicionales que permiten
extender la protección en
caso de sufrir una invalidez
total y permanente, recibir un
Este producto no genera
intereses ni ahorro, y no
permite solicitar préstamos.
· Edad de
Contratación:
Personas desde 18
hasta 65 años de edad.
· Muerte y/o
desmembración por
accidente
Se puede contratar
protección adicional con
más coberturas que
mejoran el seguro
15
PRODUCTO DESCRIPCIÓN CARACTERÍSTICAS COBERTURA
reembolso de gastos
médicos o una renta diaria
por hospitalización, siempre
que las mismas estén
originadas por un accidente.
· Forma de Pago:
Mensual
· Incapacidad total y
permanente por
accidente o
enfermedad (no pre-
existente)
· Gastos médicos por
Accidente
· Renta Diaria por
Hospitalización
· Asistencia en viajes
· Sepelio por
accidente
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
· Familia Empresarial
Tabla 6. Familia Empresarial [4]
Productos Vida Familiar y Salud Familiar
Descripción Programa con seguros voluntarios e individuales, a los que el colaborador podrá acceder a
través de la organización como complemento a los beneficios de ley.
Características
Beneficios para la empresa:
· Cubrir con beneficios adicionales al colaborador y su familia.
· Incrementar la fidelidad y bienestar del personal.
· Al ser un convenio entre el colaborador y EQUIVIDA S.A., el mismo no implica ninguna
responsabilidad posterior para la organización.
· Oportunidad de aprovechar campañas de salud preventiva u otras, que EQUIVIDA S.A.
ofrece para las empresas asociadas, sin costo alguno.
Beneficios para el colaborador y su familia:
· Excelentes coberturas de seguros de vida, renta familiar, incapacidad para trabajar,
anticipo por enfermedad terminal y servicio exequial.
· Precios únicos en el mercado, gracias a una alianza entre la empresa y EQUIVIDA S.A.
· Pago rápido de siniestros (5 días hábiles).
· Opción de contratar coberturas para cónyuge, hijos, padres y hermanos.
· Fácil contratación, no se requiere exámenes médicos.
· Protección internacional.
16
Productos Vida Familiar y Salud Familiar
Cobertura
· Seguro de vida.
· Renta Familiar mensual por muerte por cualquier causa.
· Incapacidad total y permanente por accidente.
· Anticipo por enfermedad terminal.
· Servicio exequial.
No cubre
La Compañía no cubre el suicidio del Asegurado durante los dos (2) primeros años de haber
estado amparado ininterrumpidamente.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
· Beneficios con Empresas Amigas
Tabla 7. Empresas Amigas [4]
SOLUCIONES DESCRIPCIÓN COBERTURA
Clientes
Produbanco
Tarjeta Blindada: es una solución que asegura la
tarjeta de débito Produbanco contra robo,
clonación y muchas más coberturas que puedes
revisarlas abajo en el apartado.
· Uso fraudulento
· Clonación
· Atraco y/o Robo
· Uso indebido de PIN
· Skimming en cajero (robo de
información de tarjeta)
· Hurto luego de 30 minutos de
retiro de dinero del cajero
· Daños accidentales a las compras
· Compras fraudulentas en
establecimientos
· Gastos médicos por asalto en
cajero (límite $500)
· Muerte accidental en cajero (límite
$3,500)
· Asistencia Exequial por muerte
por cualquier causa (límite $2,000)
· Gastos por robo de documentos y
llaves (límite $100)
· Asistencia legal vía telefónica
· Agregado anual hasta $1,200
17
SOLUCIONES DESCRIPCIÓN COBERTURA
Clientes
Transferunión
Este Producto en convenio con
TRANSFERUNION permite recuperar su dinero
en caso de robo hasta 2 horas posteriores al
cobro. Las personas protegidas por este contrato
son las personas naturales que sean clientes
titulares o beneficiarios de las remesas o pagos
de la red de servicios activa de Transferunion
que retiren dinero en efectivo y que hayan
aceptado voluntariamente adherirse a esta
póliza.
Los límites de edad son a partir del día que
cumplan 18 años de edad y hasta el día que
cumplan 70 años de edad. A su vez el límite
temporal es de 1 evento cada 6 meses.
En caso de ser afectado, se debe avisar del
siniestro hasta 24 horas posteriores al robo de
dinero y hasta 30 días en caso de muerte
accidental como consecuencia del evento.
· Muerte y/o desmembración
accidental
· Atraco por retiro en ventanilla
(caja)
· Reembolso por pérdida de
documentos por atraco
· Orientación legal telefónica por
atraco
· Ambulancia por atraco
· Deducible de la cobertura de
atraco por retiro en ventanilla:
10% del monto asegurado
Clientes Banco
Finca
Tarjeta Blindada: es una solución que asegura la
tarjeta de débito MASTERCARD BANCO FINCA
contra robo, clonación y muchas más coberturas
que puedes revisarlas abajo en el apartado.
· Atraco en cajero
· Robo y uso fraudulento de tarjeta
o Uso fraudulento por robo o
pérdida de la tarjeta
o Uso fraudulento por falsificación
(clonación) de la tarjeta:
§ adulteración del plástico
§ adulteración de banda
magnética.
· Uso fraudulento por P.O.S.
· Muerte y/o desmembración
accidental
Clientes
Artefacta
Planes diseñados para cubrir accidentes
personales o enfermedades graves y
complementados con un seguro exequial para
estar protegidos de la mejor forma ante estos
riesgos.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
18
En resumen, EQUIVIDA S.A. es un negocio financiero de seguros que brinda
protección y seguridad para personas, siguiendo su línea de negocio, seguros de vida
individuales y colectivos (ver Tabla 8).
Tabla 8. Resumen de Productos y Servicios de EQUIVIDA S.A
Tipo Número de
Productos
Productos y
Servicios Descripción
Individual 9
Plan de Educación Seguro de vida más fondo para una mejor
educación
Futuro Pleno Seguro de vida más fondo para gozar de un retiro
placentero
Accidentes
Personales
Seguro de vida para personas activas y de
aventura
Seguro para viaje Cobertura de asistencia mundial
Becario Senescyt Seguro que cumple con los requisitos para
obtener beca en el Senescyt
Clientes
Produbanco Solución para asegurar la tarjeta de débito
Clientes
Transferunion Recuperación del dinero en caso de robo
Clientes Banco
Finca
Solución para asegurar la tarjeta de débito
Mastercard
Clientes Artefacta Plan para cubrir accidentes personales o
enfermedades graves
Colectivo 6
Protección Familiar Seguro de vida para dar estabilidad y tranquilidad
a la familia
Seguro de Vida Protección para colaboradores y beneficiarios
Vida -
Desgravamen Seguro para personas que contraen una deuda
Accidentes
Personales
Seguro para colaboradores en caso de un
accidente
Vida Familiar Seguro de vida voluntario para colaboradores
Salud Familiar Planes voluntarios de medicina ambulatoria para
colaboradores
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
19
1.2 ESTUDIO DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN
1.2.1 SITUACIÓN ACTUAL DE EQUIVIDA S.A.
Actualmente la empresa se encuentra regulada por la Superintendencia de Bancos del
Ecuador, lo que mantiene a la empresa en la obligación de cumplir todas las
normativas y brindar un servicio de calidad. EQUIVIDA S.A se encuentra más de 20
años en el mercado de los seguros de vida.
Internamente la empresa se maneja por la gestión de los diferentes departamentos
que se encuentran dentro de la misma. EQUIVIDA S.A. cumple todas las regulaciones
de las leyes ecuatorianas en lo que se refiere a los códigos laborales brindando un
ambiente laboral adecuado para sus empleados.
Con el objetivo de identificar el estado de la situación actual de EQUIVIDA S.A. se
procede a realizar un análisis FODA.
1.2.1.1 Análisis FODA de EQUIVIDA S.A.
Con el análisis FODA no solo se trata de identificar las fortalezas, debilidades,
oportunidades y amenazas, sino cómo generar valor para la empresa. En la Tabla 9
se muestra un análisis tanto interno como externo [5] para proceder con la matriz
FODA.
20
Tabla 9. Análisis FODA de EQUIVIDA S.A.
ANÁLISIS INTERNO
FORTALEZAS - Crear un gran ambiente laboral para
un mejor desempeño de las
actividades dentro de la empresa.
- Evaluar y mejorar los procesos de
contratación de Recursos Humanos.
- Incentivar una cultura organizacional,
tener valores y compromisos.
- Definir claramente las funciones y los
procesos que se llevan día a día dentro
de la empresa.
- Implementar jornadas de capacitación
para los trabajadores operativos,
administrativos y gerenciales de la
empresa.
1. Experiencia de 20 años en el campo de los seguros de vida.
2. Calidad en el servicio corporativo.
3. Creación de productos innovadores y de alta calidad.
4. Especialistas en el campo de seguros y reaseguros.
5. Contar con un buen ambiente para trabajar.
6. Formar parte del Grupo FUTURO.
DEBILIDADES
1. Carencia de capacitación para el personal en áreas específicas del
negocio.
2. Cartera por cobrar alta.
3. Falta de interés del personal en la participación de diferentes
actividades dentro de la empresa.
4. Falta de habilidades y capacidades clave.
ANÁLISIS EXTERNO
OPORTUNIDADES - Contar con un Plan Estratégico
adecuado para el funcionamiento de la
empresa.
- Implementar un plan de acción en el
caso de que los factores económicos,
sociales o políticos puedan afectar a la
empresa.
- Tomar en cuenta la participación
activa de los clientes externos para que
se puedan mejorar los productos y
servicios ofertados por la empresa.
- Mantener una constante renovación
de imagen dentro del mercado, para
poder tener una clara ventaja sobre los
competidores en los diferentes
segmentos del mercado.
1. Los clientes tienen la necesidad de adquirir los productos ofertados.
2. Productos únicos diferentes de la competencia.
3. Mejora continua de la calidad de nuestros productos.
4. Entrar a nuevos segmentos de mercado.
AMENAZAS
1. Reformas en las normativas de las entidades reguladoras.
2. Problemas internos en recursos humanos.
3. Constante entrada y salida de personal.
4. Productos con precios altos.
5. Entrada de nuevos competidores.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
21
· Matriz FODA de EQUIVIDA S.A.
Tabla 10. Matriz FODA de EQUIVIDA S.A.
FODA
FORTALEZAS DEBILIDADES 1. Experiencia de 20 años en el campo de los seguros de vida. 2. Calidad en el servicio corporativo. 3. Creación de productos innovadores y de alta calidad. 4. Especialistas en el campo de seguros y reaseguros. 5. Contar con un buen ambiente para trabajar. 6. Formar parte del Grupo Futuro.
1. Carencia de capacitación para el personal en áreas específicas del negocio. 2. Cartera por cobrar alta. 3. Falta de interés del personal en la participación de diferentes actividades dentro de la empresa. 4. Falta de habilidades y capacidades clave.
OP
OR
TU
NID
AD
ES
1. Los clientes tienen la necesidad de adquirir los productos ofertados. 2. Productos únicos diferentes de la competencia. 3. Mejora continua de la calidad de nuestros productos. 4. Entrar a nuevos segmentos de mercado.
ESTRATEGIAS (FO) 1. Incrementar el mercado mediante publicidad en varios medios de comunicación para atraer a clientes potenciales. 2. Crear nuevas líneas de productos con el objetivo de ampliar el mercado para diferentes sectores. 3. Ofrecer mejores beneficios a los clientes para ser siempre su primera opción al momento de adquirir un producto.
ESTRATEGIAS (DO) 1. Fortalecer los productos y aprovechar que son únicos en el mercado. 2. Fortalecer los lazos de comunicación con los clientes. 3. Crear un plan de capacitación continuo para el personal de la empresa. 4. Consolidar un plan estratégico empresarial.
AM
EN
AZ
AS
1. Reformas en las normativas de las entidades reguladoras. 2. Problemas internos en recursos humanos. 3. Constante entrada y salida de personal. 4. Productos con precios altos. 5. Entrada de nuevos competidores.
ESTRATEGIAS (FA) 1. Aumentar la calidad de los productos ofertados. 2. Desarrollar actividades en conjunto para el personal para crear un ambiente laboral tranquilo. 3. Hacer un estudio y sectorización de mercado. 4. Reducir los costos de los productos para obtener un mayor número de clientes.
ESTRATEGIAS (DA) 1. Crear políticas internas para las actividades que se llevan a cabo dentro de la empresa. 2. Fomentar la ética y buen comportamiento entre el personal de la empresa. 3. Consolidar una fuerte estructura organizacional para gestionar la empresa de la mejor manera.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
22
Una vez realizado el análisis, se debe tratar de explotar al máximo las oportunidades
para generar estrategias de valor, de esta mantener a la empresa como líder en el
mercado dentro de su línea de negocio. Adicionalmente es importante tener un control
sobre las amenazas con el fin de evitar acciones que perjudiquen a la empresa, ya que
estas podrían llegar a liquidar totalmente a la organización.
Es importante mencionar que las debilidades descritas anteriormente se pueden
convertir en fortalezas. En la Tabla 10 podemos notar que en base a este análisis se
plantean las diferentes estrategias para originar ventajas competitivas y preparar a la
empresa contra las amenazas tomando en cuenta los factores que las originan.
La empresa presenta problemas que pueden ser muy graves, uno de los principales
es la entrada y salida constante del personal. Otro de los problemas que pueden
afectar a largo plazo es que la empresa no controla de la mejor manera los problemas
internos, debido a que no cuentan con políticas bien definidas.
1.2.2 SITUACIÓN ACTUAL DEL DEPARTAMENTO DE TI
La Gerencia de Innovación y Desarrollo Tecnológico equivalente al Departamento de
TI, es un área clave [6] dentro de EQUIVIDA S.A. ya que tiene responsabilidades que
básicamente se enfocan en cuatro campos que son: infraestructura, aplicaciones,
operaciones y servicio a los clientes internos tales como soporte al usuario, servicios
de red y mantenimiento preventivo.
1.2.2.1 Posicionamiento del Departamento de TI
El Departamento de TI en EQUIVIDA S.A. se encuentra principalmente bajo cuatro
dependencias: Junta de accionistas, Directorio, Gerencia General y Gerencia de
Administración Financiera en el caso de la toma de decisiones en los aspectos de
mejoras tecnológicas para la empresa.
23
Fig
ura
4.
Po
sic
ion
amie
nto
de
l D
epa
rtam
en
to d
e T
I
Fu
en
te:
EQ
UIV
IDA
S.A
. [2
]
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
24
1.2.
2.2
Est
ruct
ura
Org
aniz
acio
nal
del
Dep
arta
men
to d
e T
I
F
igu
ra 5
. Es
tru
ctu
ra O
rga
niz
ac
ion
al d
el
De
pa
rtam
en
to d
e T
I
QA
Serv
icio
s &
Ou
tsou
rcin
g (
Gabr
iela
Cast
ro)
Jefe
de
Ser
vici
os
de T
I (
Paul
ina O
viedo)
Jefe
de
Arq
uite
ctura
de S
erv
icio
s de
TI
Isve
l López
Direct
or G
est
ión E
stra
tégic
a y
O
per
ativ
a (
Jim
my
Rodr
iguez)
Anal
ista
s de
Gest
ión
E&
O(
Paúl
Casa
nova
Rony
Barr
a)
Arq
uite
cto d
e
Serv
icio
s de
In
form
ació
n (
Kath
erin
e
Flo
res)
Ger
enci
a d
e In
no
vaci
ón
y D
esar
rollo
T
ecn
oló
gic
o (
Mar
ìa Is
abel
Qu
iro
z)
PM
OP
or
Contr
ata
r
Arq
uite
cto d
e
Serv
icio
s de
A
plic
aci
ón
(Ja
vier
Chic
aiz
a)
Coord
inador
de
Se
rvic
ios
de
Infr
aest
ruct
ura
(J
osé
Alm
eida)
Gest
or
de S
erv
icio
s de T
I L
uis
Sandov
al
Dia
na C
ruz
Desa
rrolla
dor
Senio
r de
Ser
vici
os
TI
(R
osa
Leòn
Josè
Quin
tana
)
Coord
inador
de
Serv
icio
s de
C
om
uni
caci
ón
(
Cesa
r P
ico)
Arq
uite
cto d
e D
ato
s/D
BA
(Iv
an
Nobo
a)
Asi
stent
e d
e G
ere
nci
a T
I (
Monic
a S
alin
as)
Ofic
ial d
e S
egurida
d
Info
rmát
ica y
Aplic
ativ
a (
Ma
. Au
gust
a L
una)
Test
er
Pab
lo M
iño
Desa
rrolla
dor
de
Serv
icio
s T
I (
Joge O
rtiz
Juan A
ndré
s S
alc
edo
Karin
a Q
uim
biu
lco)
Gest
or
de P
roducc
ión
(G
ust
avo
Ord
iz)
Asi
stent
e d
e
Gere
nci
a T
I (
Andr
ea O
ña)
Pro
yect
ista
s (
Jorg
e O
rtiz
Pat
rici
a C
astr
oD
iana V
illac
isA
ndr
és
Pove
da
Die
go V
elo
z
Fu
en
te:
Grá
fico
pro
po
rcio
nado
po
r G
ab
riela
Ca
stro
, A
ud
itor
QA
de
EQ
UIV
IDA
S.A
25
1.2.2.3 Análisis FODA del Departamento de TI En la Tabla 11 se muestra un análisis interno y externo del Departamento de TI.
Tabla 11. Análisis FODA del Departamento de TI
ANÁLISIS INTERNO
FORTALEZAS - Enfatizar políticas de buen uso de
los recursos de tecnología para
mejorar el desempeño laboral de los
trabajadores del área de TI.
- Dar a conocer a los empleados el
funcionamiento de toda la empresa
para que tengan conocimiento de los
procesos y se pueda realizar un
mejor trabajo.
- Mantener la constante actualización
de los recursos tecnológicos,
teniendo en cuenta altos estándares
de calidad.
1. Adaptación a nuevas tecnologías.
2. Capacitación de calidad para el personal del Departamento de TI.
3. Personal competitivo capaz de brindar rápidas soluciones.
4. Contar con un Data Center.
DEBILIDADES
1. Falta personal para gestionar los aplicativos y equipos del
Departamento de TI.
2. El personal del Departamento de TI no tiene conocimiento completo
del negocio y actividades específicas del negocio.
3. Falta de un ERP para integrar todos los procesos que se llevan a cabo
dentro de la organización.
ANÁLISIS EXTERNO
OPORTUNIDADES - Mejorar la calidad de servicio a
todas las áreas del negocio.
- Tener un control sobre las
actividades que deben ser
administradas por el Departamento
de TI de la empresa.
- Llevar una correcta gestión de los
proveedores para tener un óptimo
control de calidad y así evitar fallas
en los productos y servicios que son
contratados.
1. Los clientes tanto internos como externos requieren usar los servicios
proporcionados por el Departamento de TI.
2. Los diferentes sectores laborales se centran en el Departamento de
TI.
3. Capacitación y adaptación de nueva infraestructura tecnológica.
AMENAZAS
1. El sitio Web no es gestionado por el Departamento de TI.
2. Fallas de los aplicativos y servicios que se encuentran tercerizados.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
26
· Matriz FODA del Departamento de TI
Tabla 12. Matriz FODA del Departamento de TI
FODA
FORTALEZAS DEBILIDADES
1. Adaptación a nuevas tecnologías. 2. Capacitación de calidad para el personal del Departamento de TI. 3. Personal competitivo capaz de brindar rápidas soluciones. 4. Contar con un Data Center.
1. Falta personal para gestionar los aplicativos y equipos del Departamento de TI. 2. El personal del Departamento de TI no tiene conocimiento completo del negocio y actividades específicas del negocio. 3. Falta de un ERP para integrar todos los procesos que se llevan a cabo dentro de la organización.
OP
OR
TU
NID
AD
ES
1. Los clientes tanto internos como externos requieren usar los servicios proporcionados por el Departamento de TI. 2. Los diferentes sectores laborales se centran en el Departamento de TI. 3. Capacitación y adaptación de nueva infraestructura tecnológica.
ESTRATEGIAS (FO) 1. Fortalecer el servicio de soporte por medio de capacitaciones permanentes y atender de mejor manera al cliente interno. 2. Hacer inversiones en la mejora de las aplicaciones que se utilizan para llevar a cabo los procesos de la empresa de una manera eficiente. 3. Aprovechar las nuevas tecnologías para mejorar el servicio y los procesos.
ESTRATEGIAS (DO) 1. Planificar capacitaciones para que el personal tenga conocimiento de los procesos del negocio. 2. Centralizar los procesos en el Departamento de TI para gestionarlos de una mejor manera.
AM
EN
AZ
AS
1. El sitio Web no es gestionado por el Departamento de TI. 2. Fallas de los aplicativos y servicios que se encuentran tercerizados.
ESTRATEGIAS (FA) 1. Tener todos los servicios y aplicaciones dentro del Departamento de TI para evitar tercerizar y así no depender del tiempo de respuesta de los proveedores. 2. Desarrollar un plan de capacitación para gestionar las actividades dentro del Departamento de TI.
ESTRATEGIAS (DA) 1. Realizar informes semanales para evaluar los procesos que se realizan dentro del Departamento de TI. 2. Realizar evaluaciones de desempeño al personal del Departamento de TI para controlar el desarrollo de sus actividades diarias.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
27
Con el análisis realizado al Departamento de TI se puede obtener un diagnóstico de la
situación actual. Esto permitirá permite tomar las mejores decisiones en base a los
elementos descritos en la Tabla 12, con el fin de mejorar las falencias del
departamento y posicionarlo en lo más alto dentro de la empresa.
Adicionalmente se deben reducir al máximo las debilidades [5] y proteger al
departamento de las amenazas que actualmente afectan a las operaciones. Las
estrategias descritas fortalecen no solo al departamento, sino también a la
organización entera ya que las funciones que lleva a cabo la empresa son en base al
Departamento de TI.
En consecuencia, se determina que el Departamento de TI no juega un papel
importante al momento de toma de decisiones tecnológicas, ya que depende de la
aprobación del departamento financiero ya sea para adquisición o mejora de la
infraestructura tecnológica de la empresa.
1.2.2.4 Catálogo de Servicios de TI
En la Tabla 13 se presenta el Catálogo de Servicios de TI con los que cuenta
EQUIVIDA S.A. [7].
Tabla 13. Catálogo de Servicios de TI
MACROPROCESO SUBPROCESO SERVICIO DE TI
Marketing
Gestión Comercial
Gestión de Contratos
Servicio al cliente y canales
Gestión del Cliente
Cliente Único
Consultas y reportes de listas reservadas
Administración de clientes jurídicos
Carga Automática de Vidas (ABM)
Carga Manual de Vidas (ABM)
Postventa
Gestión de atención al cliente
Retención - Mantenimiento
Rehabilitación
28
MACROPROCESO SUBPROCESO SERVICIO DE TI
Rentabilización
Servicios en Línea
Chat
Portal Institucional
Micrositio Buen Viaje
Consulta en línea
Gestión de Contratos
Administración de Contratos
Empresas
Emisión Empresas
Endosos contractuales
Cancelación de pólizas
Renovación de pólizas
Administración de Contratos
Personas
Emisión VI
Emisión Personas
Cancelación manual
Cancelación automática
Rehabilitaciones
Endosos contractuales
Renovación manual
Renovación automática
AON
ABM
Administración de vidas
Certificados
Disponibilidad
Producto
Recaudo
Reportes
Ventas
Facturación
Facturación Empresas
Facturación Buen Viaje
Facturación Personas
Facturación Individual
Facturación VI
Anulación de Facturas
Rehabilitación de facturas
Certificados GPC
Eliminación de endosos
Certificados Buen Viaje
Recaudos Generación de débitos
29
MACROPROCESO SUBPROCESO SERVICIO DE TI
Aplicación de débitos
Generación de planillas
Aplicación de planillas
Toma de ahorro
Caja y Cartera
Ingresos de caja
Aplicaciones
Aplicaciones de recibos
Aplicaciones de prima con ahorro
Aplicación masiva
Aplicación primas
Boletas de depósito
Cruce de endosos
Endosos gemelos
Cartera
Primas
Beneficios y Prestaciones
Reservas
Liquidaciones
Préstamos
Retiros y Rescates
Servicio al cliente y canales Comisiones
Fuerza de ventas
Agentes independientes
WSM
Brokers
Directores comerciales
Honorarios por uso de red
Gestión de Riesgo Técnico Gestión de Reaseguros
Primas
Siniestros
Facultativos
Registros contables
Administración de contratos
Gestión Contable Financiera
Pagos
Órdenes de pago
Retenciones en la fuente
Transferencias
Cheques
Gestión Contable Asientos diarios
Acreditación de intereses
30
MACROPROCESO SUBPROCESO SERVICIO DE TI
Conciliación bancaria
Activos fijos
Administración de proveedores
Cierre de mes
Producción
Cobranzas
Deducción
Contabilidad diaria
Reclamos
Reaseguros
Reserva de riesgos en curso
Balances
Reserva matemática
Gestión del Talento Humano Gestión de Colaboradores
Gestiónate
Administración de colaboradores
Conozca a su empleado
Nómina
Loncherito
Pausas activas
Intranet
Marketing
Gestión Comercial
Gestión de Contratos
Servicio al cliente y canales
Gestión del Talento Humano
Gestión Contable Financiera
Gestión de Riesgo Técnico
Gestión de Proveedores
Tecnología de Información
Apoyo Logístico
Procesos varios
Salto de políticas
Procesos batch
Impresión de pólizas, facturas, endosos
contractuales
Integración de aplicaciones
Marketing
Gestión Comercial
Gestión de Contratos
Servicio al cliente y canales
Gestión del Talento Humano
Gestión Contable Financiera
Gestión de Procesos
Administración de Procesos
Procesos de negocio
Procesos TI
Flujos de procesos Vector
Gestión de la Información Organismos de control
Superintendencia de Bancos
31
MACROPROCESO SUBPROCESO SERVICIO DE TI
Gestión de Riesgo Técnico
Gestión de Proveedores
Tecnología de Información
Apoyo Logístico
Gestión Estratégica
Gestión de Calidad y
Mejoramiento
Listas reservadas (RCS)/ 312/ S01, S02/
S03/ 302, 303, 304, 305/ S07, S08/ E50/
E51/ Comisiones/ Contribuciones/
Seguro social Campesino/
S09/Reservas/ Estructura Super-UAF
E04
Servicio de Rentas Internas
Anexo Transaccional/ Archivo de
numeradores/ Autorizaciones de
autoimpresores
Control interno
Auditoría interna
Auditoría externa
Reportes
Consultas
Sigmed
Presupuesto y Control presupuestario
Siniestralidad
Actualización de datos
Gestión documental
Documentación organizacional
Documentación clientes
Asesoría y Consultoría
Servicios Profesionales
Capacitación en los servicios
Asesoría en el uso de la tecnología
Servicios Personales
Consultas
Servicio en equipos personales
Equipos de Trabajo
PC
Laptop
Perfiles y Accesos
Impresión
Mantenimiento de equipos
Circuito de cámaras
32
MACROPROCESO SUBPROCESO SERVICIO DE TI
Solicitud de visualización
Preparación de equipos
Laptop
Desktop
Tablets
Celulares
Comunicaciones y Conectividad
Correo electrónico
Carpetas compartidas (Red)
Telefonía
Bases celulares
Central telefónica
Herramientas de telefonía
Líneas
Teléfonos celulares
Teléfonos convencionales
Conexiones
Citrix
FTP
VPN
Red LAN
Red física
Red inalámbrica
Red WAN
Enlaces de datos
Enlace de internet
Videoconferencia
Chat
Internet
Infraestructura
Servidores
Almacenamiento de información
Servicio de almacenamiento de
información
Bases de Datos
BD2/ SYBASE/ SQL SERVER/ MY SQL
Mantenimiento
Data Center
33
MACROPROCESO SUBPROCESO SERVICIO DE TI
UPS/ DPU/ Switch/ Aire acondicionado/
Racks/ Sistema contra incendios
Utilitarios
Ofimática/ PDF/ Compresión de archivos
Inventario de equipos
Cableado eléctrico
Antivirus
Firewall
Control de acceso (tarjetas)
Remodelación, creación de puestos de
trabajo
Cambio estándar
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
1.3 LISTADO DE ACTIVOS DE TI
En las Tablas 14 – 18 se presenta un listado de activos clasificados por: aplicaciones,
infraestructura, datos y personal [8].
1.3.1 APLICACIONES
Tabla 14. Listado de Aplicaciones
NOMBRE DE LA
APLICACIÓN
DESCRIPCIÓN DE LA
APLICACIÓN TIPO DE SISTEMA
DATA CLEANING Verificación de la validez de
información básica del cliente. AIX 6.1 Power 6
CLIENTE ÚNICO
Plataforma para captura y
mantenimiento de información
consistente de clientes.
AIX 6.1 Power 6
GPC Aplicación para la generación en
línea de certificados de seguro.
Servidor: Microsoft Windows 2008
Server, IIS Cliente: Internet
Explorer 7.0 o superior Internet Explorer
7.0 o superior
34
NOMBRE DE LA
APLICACIÓN
DESCRIPCIÓN DE LA
APLICACIÓN TIPO DE SISTEMA
BUEN VIAJE Aplicación para la venta en línea de
seguros de viaje.
Servidor: Microsoft Windows 2008
Server, IIS Cliente: Internet
Explorer 7.0 o superior Internet Explorer
7.0 o superior
BIORED Aplicación para servicios dentales.
Servidor: Microsoft Windows 2008
Server, IIS Cliente: Internet
Explorer 7.0 o superior Internet Explorer
7.0 o superior
VECTOR Sistema de modelamiento, control y
seguimiento de procesos.
Servidor: Microsoft Windows 2003
Server, IIS Cliente: Internet
Explorer 7.0 o superior Internet Explorer
7.0 o superior
INTRANET Portal de comunicación interna.
Servidor: Microsoft Windows 2003
Server, IIS Cliente: Internet
Explorer 7.0 o superior Internet Explorer
7.0 o superior
MANTIS Sistema para seguimiento de tickets
de servicio al cliente. Apache
ADAM Sistema que administra la nómina de
la compañía.
Servidor: Microsoft Windows 2003
Server, IIS
BUXIS
Sistema de Talento Humano que
administra la gestión organizativa, el
desarrollo y capacitación del
personal.
Microsoft
MONITOR PLUS
ACRM
Sistema para la prevención de
lavado de activos basado en la
administración de riesgos.
Microsoft
RISK CONTROL
SERVICE
Herramienta de control que tiene
como objetivo minimizar el riesgo de
establecer vínculos con posibles
involucrados o señalados en
actividades ilícitas como lavado de
activos, narcotráfico o terrorismo.
Microsoft
35
NOMBRE DE LA
APLICACIÓN
DESCRIPCIÓN DE LA
APLICACIÓN TIPO DE SISTEMA
SISE
Sistema Integrado de Seguros. Este
sistema soporta el core del negocio
y la parte administrativa financiera,
tiene módulos de:
Emisión/Facturación Individual y
Colectivo, Reaseguros, Siniestros,
Generación Intereses, Retiros y
Préstamos, Caja Ingresos, Caja
Egresos, Contabilidad, Cierres
Mensuales, Consultas, Informática.
Servidor: AIX 6.1, Servidor Power 6.
Cliente: Windows XP o 7.
iSISE Aplicación para la venta en línea de
certificados de seguro.
Winserver para servidores de BD y
App. El cliente solo necesita Internet
Explorer de cualquier versión.
BAIS Aplicación para la venta en línea de
certificados de seguro.
Servidor: Windows Server 2008, IIS 7.
Cliente: Windows XP o 7.
CRM
Sistema automatizado para el
control de la fuerza de ventas
individual.
Linux, Apache
PORTAL WEB Portal diseñado para la prestación
de servicios online. Expression Engine
ACTIVOS FIJOS
Sistema automatizado para el
control de los activos fijos de la
compañía.
Microsoft
PIVOTAL CRM para gestión de clientes. Microsoft
Exchange Online
Plan 1
ExchgOnlnPlan1 ShrdSvr ALNG
SubsVL MVL PerUsr. Microsoft
Office 365 Plan E1 Off365PE1 ShrdSvr ALNG SubsVL
MVL PerUsr. Microsoft
Office 365 Plan E1 Off365PE1 ShrdSvr ALNG SubsVL
MVL PerUsr. Microsoft
Office 365 Plan E3 Off365PE3 ShrdSvr ALNG SubsVL
MVL PerUsr. Microsoft
Fuente: Datos proporcionados por Javier Chicaiza, Arquitecto de Servicios de Aplicación de EQUIVIDA S.A.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
36
1.3.2 INFRAESTRUCTURA
1.3.2.1 Computadoras
Tabla 15. Listado de Desktops y Laptops
Tipo de
Producto Cantidad Marca Modelo Cantidad Descripción
Desktop 80 Lenovo
ThinkCentre A70z 8
Intel® Core™ 2 Duo E7500 2,93
GHz
HDD 320 GB
RAM 2 GB
ThinkCentre
M55E 1
Intel® Core ™ 2 Duo Processor
E6600
HDD 160 GB
RAM 2 GB
ThinkCentre M70z 4
Intel® Core™ i3-550 1,3 GHz
HDD 160 GB
RAM 2 GB
ThinkCentre M71z 29
Intel® Core™ i5 2400S 2,5 GHz
HDD 500 GB
RAM 4 GB
ThinkCentre M72z 5
Intel® Core™ i5 3570S 2,5 GHz
HDD 500 GB
RAM 4 GB
ThinkCentre M73z 33
Intel® Core™ i5 4570S 2,9 GHz
HDD 500 GB
RAM 8 GB
Laptops 142 Lenovo
ThinkPad Helix 1
Intel® Core™ i7 3667U 2,0 GHz
HDD 180 GB
RAM 8 GB
ThinkPad T410 18
Intel® Core™ i5 M540 2,53 GHz
HDD 320 GB
RAM 4 GB
ThinkPad T420 30
Intel® Core™ i5 2520M 2,50
GHz
HDD 500 GB
RAM 4 GB
37
Tipo de
Producto Cantidad Marca Modelo Cantidad Descripción
ThinkPad T430 19
Intel® Core™ i5 3320M 2,6 GHz
HDD 500 GB
RAM 4 GB
ThinkPad T440p 2
Intel® Core™ i5 4300M 3,30
GHz
HDD 500 GB
RAM 16 GB
ThinkPad T440s 30
Intel® Core™ i5 4300U 1,9 GHz
HDD 500 GB
RAM 4 GB
ThinkPad X1
Carbon 2nd 10
Intel® Core™ i7 4600U 2,1 GHz
HDD 320 GB
RAM 8 GB
ThinkPad X100e 9
AMD® Athlon™ MV40 1,6 GHz
HDD 160 GB
RAM 4 GB
ThinkPad X120e 5
AMD® Athlon™ MV40 1,6 GHz
HDD 320 GB
RAM 4 GB
ThinkPad X121e 17
AMD® Fusion E-240 1,5GHz
HDD 320 GB
RAM 8 GB
ThinkPad X131e 1
AMD® Vision E1-1200 1,6 GHz
HDD 320GB
RAM 8 GB
Fuente: Datos proporcionados por Gustavo Ortiz, Coordinador de Servicios de Infraestructura de EQUIVIDA S.A.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
1.3.2.2 Switch
Tabla 16. Listado de Switches
TIPO CÓDIGO DETALLE MARCA MODELO IP SERIE
SW
ITC
H UIO1ESWITCH001 Servidores 3COM 4500G 10.10.30.128 YEYFC6R259480
UIO1ESWITCH002 LAN 1 Sub 3COM 4500G 172.16.1.1 YEYFC4PE17500
UIO1ESWITCH003 Core 1 Sub 3COM 5500G 172.16.1.2 9KAFA1MDB5880
38
TIPO CÓDIGO DETALLE MARCA MODELO IP SERIE
UIO1ESWITCH004 LAN 2 Sub 3COM 2900G 172.16.1.3 926FD7S0A05B7
UIO1ESWITCH005 LAN 1 Pb 3COM 4500G 172.16.1.4 YEYFC4PE17E00
UIO1ESWITCH006 LAN 2 Pb 3COM 4500G 172.16.1.5 YEYFC4PE1EC80
UIO1ESWITCH007 LAN 3 Pb 3COM 4500G 172.16.1.6 YECF71HC1E680
UIO1ESWITCH008 LAN 4 Pb 3COM 4500G 172.16.1.7 YEYFC4PE18E80
UIO1ESWITCH009 LAN 5 Pb 3COM 4500G 172.16.1.8 YECF7RHF253C0
UIO1ESWITCH010 LAN 6 Pb 3COM 4500G 172.16.1.9 YEDF9FL41FF40
UIO1ESWITCH011 LAN 7 Pb HP HPV1910 172.16.1.10 CN17BX24ZM
UIO1ESWITCH012 LAN 3 Sub HP HPV1910 172.16.1.11 CN17BX24L3
Fuente: Datos proporcionados por Gustavo Ortiz, Coordinador de Servicios de Infraestructura de EQUIVIDA S.A.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
1.3.2.3 Servidores
Tabla 17. Listado de Servidores
SERVIDOR IP TIPO HERRAMIENTA PLATAFORMA
ADAM 10.10.30.5 Virtual VLK 2000 Server
CENTRAL TELEFÓNICA 10.10.30.17 Físico OEM 2003 Server
AIX SONIC - BLADE 2 10.10.30.26 Físico IBM - VIOS AIX
AIX PRUEBAS 10.10.30.202 Físico IBM - AIX AIX
DATAQUALITY - BLADE 6 10.10.30.30 Físico IBM - VIOS AIX
SERVIDORES DE RESPALDOS 10.10.30.16 Físico VLK 2003 Server
SISE - BLADE 3 10.10.30.25 Físico IBM - VIOS AIX
UIOESX01 - BLADE 4 10.10.30.141 Físico VmWare ESX VMWARE
UIOESX02 - BLADE 5 10.10.30.142 Físico VmWare ESX VMWARE
UIOESX03 - FIREWALL 172.16.1.21 Físico VmWare ESXi VMWARE
UIOESX04 - BLADE 1 10.10.30.143 Físico VmWare ESXi VMWARE
UIOESX05 - Eserver x255 10.10.30.166 Físico VmWare ESXi VMWARE
ARANDA 10.10.30.167 Virtual VLK 2003 Server
DVR UIO 1 (PB) 10.10.30.29 Físico DVR
DVR UIO 2 (SB) 10.10.30.133 Físico DVR
AD VIRTUAL 1 10.10.30.27 Virtual VLK 2008 Server
BELARC 10.10.30.7 Virtual VLK 2003 Server
WSUS 10.10.30.9 Virtual VLK 2003 Server
SYMANTEC 10.10.30.11 Virtual VLK 2003 Server
39
SERVIDOR IP TIPO HERRAMIENTA PLATAFORMA
CITRIX VIRTUAL 1 10.10.30.13 Virtual VLK 2003 Server
GPC BV DESARROLLO 10.10.30.20 Virtual VLK 2008 Server
VCENTER 10.10.30.140 Virtual VLK 2008 Server
VMWARE DATA RECOVERY 10.10.30.28 Virtual Linux LINUX
MANTIS (fa1708) 10.10.30.8 Virtual VLK 2003 Server
BIORED DESARROLLO 10.10.30.15 Virtual VLK 2003 Server
GLOBAL BV Y GPC 200.31.26.222 Físico VLK 2000 Server
SQL 2008 Y VECTOR 10.10.30.167 Virtual VLK 2003 Server
AD VIRTUAL 2 10.10.30.10 Virtual VLK 2003 Server
BIORED 192.168.1.3 Físico VLK 2003 Server
SUBVERSION 10.10.30.21 Virtual Linux LINUX
CUMPLIMIENTO - FLAMENCO 10.10.30.22 Virtual VLK 2008 Server
Fuente: Datos proporcionados por Gustavo Ortiz, Coordinador de Servicios de Infraestructura de EQUIVIDA S.A.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
40
1.3.
2.4
Top
olog
ía d
e R
ed d
e E
QU
IVID
A S
.A.
F
igu
ra 6
. To
po
log
ía d
e R
ed
de
EQ
UIV
IDA
S.A
.
F
ue
nte
: D
iag
ram
a p
ropo
rcio
nad
o p
or
Cé
sar
Pic
o,
Coo
rdin
ado
r d
e S
erv
icio
s d
e C
omu
nica
ció
n, E
QU
IVID
A S
.A.
41
1.3.3 DATOS
La información crítica que maneja y archiva EQUIVIDA S.A. se cataloga de la siguiente
manera:
- Bases de datos
- Contratos
o Talento Humano
o Adquisición de productos y servicios
- Acuerdos
o Publicitarios
o Tercerizados
- Formularios
o Siniestros
o Suscripciones
- Reportes
- Manuales de usuario de las aplicaciones desarrolladas
- Manuales de procedimientos
- Compendios
- Información archivada
o Inventarios
o Documentación general de EQUIVIDA S.A.
- Balances contables
1.3.4 PERSONAL
Tabla 18. Listado del Personal del Departamento de TI
N° NOMBRE DEL PERSONAL DE TI CARGO O FUNCIÓN
1 Albuja Silverio Rafael Gestor del Centro de Servicios
2 Almeida Galarraga José Rafael Arquitecto de Infraestructura
3 Bandera Torres Andrea Lizeth Especialista de Proyectos
4 Barra Galarraga Ronny Felipe Líder de Gestión
42
N° NOMBRE DEL PERSONAL DE TI CARGO O FUNCIÓN
5 Casanova Guamantica Nelson Paúl Líder de Gestión
6 Castro Acosta Gabriela Patricia Auditor QA
7 Castro Quiñonez Patricia Alexandra Líder de Proyectos
8 Chávez Chamorri Mery Yannira Analista BI
9 Chicaiza Gómez Javier Santiago Arquitecto de Servicios de Aplicación
10 Cruz Rosales Diana Elizbeth Gestor del Centro de Servicios
11 Flores Mina Katherine Johanna Arquitecto de Información
12 Karina Quimbuilco Desarrollador de Servicios
13 León Analuisa Rosa Elena Desarrollador Senior de Servicios
14 López López Isvel Jefe de Arquitectura
15 Lozada Chávez Karen Paulina Gestor de CRM
16 Luna Viveros María Augusta Oficial de Seguridad Informática y Aplicativa
17 Miño Robalino Pablo Andrés Gestor del Centro de Servicios
18 Muñoz Salinas Carina Alexandra Gestor de Servicios TI
19 Noboa Tapia Iván Alfredo Arquitecto de datos
20 Oña Villagómez Andrea Alejandra Asistente de Gestión
21 Ortiz Moyano Jorge Aníbal Líder de Proyectos
22 Ortiz Torres Gustavo Guillermo Coordinador de Servicios de Infraestructura
23 Oviedo Vallejo Mónica Paulina Jefe de Servicios de Tecnología
24 Padilla Cevallos Sabrina Nataly Gestor de Servicios TI
25 Pico Delgado Cesar Enrique Coordinador de Servicios de Comunicación
26 Poveda Chauvín Andrés Hernán Líder de Proyectos
27 Quintana Cruz José Alexander Desarrollador Senior de Servicios
28 Quiroz Vallejo María Isabel Gerente de Innovación y Tecnología
29 Rodríguez Herrera Jimmy Christian Jefatura de gestión Estratégica y operativa
30 Salcedo Suscal Juan Andrés Desarrollador de Servicios
31 Salinas Escobar Mónica Cecilia Asistente de Gerencia IT
32 Sandoval Mereci Luis Andrés Gestor del Centro de Servicios
33 Tamayo Rosero Camilo Enersto Programador Diseñador Web
34 Veloz Galarza Diego Fernando Líder de Proyectos
35 Villacís Ramos Diana Michelle Líder de Proyectos
Fuente: Datos proporcionados por Gabriela Castro, Auditor QA de EQUIVIDA S.A.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
43
1.3.5 UBICACIÓN EQUIVIDA S.A. se encuentra ubicada en el Centro Comercial “El Globo” en la Av.
Amazonas y Av. Gaspar de Villaroel, cuenta con dos plantas donde el Departamento
de TI se encuentra ubicado en el subsuelo, con una superficie de 200m2(ver Figura
7), lo que causa inconvenientes debido a la cantidad de personal que ocupa ésta área.
Figura 7. Ubicación del Departamento de TI
Fuente: EQUIVIDA S.A.
44
1.3.
6 R
ES
UM
EN
T
ab
la 1
9.
Res
um
en d
e A
cti
vos
de
TI
MA
CR
OP
RO
CE
SO
A
PL
ICA
CIO
NE
S
INF
RA
ES
TR
UC
TU
RA
D
AT
OS
P
ER
SO
NA
S
SE
RV
IDO
RE
S
EQ
UIP
OS
MP
-01
0 M
AR
KE
TIN
G
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkC
en
tre
A7
0z
Th
inkP
ad
X1
00
e
Th
inkP
ad
T4
20
Acu
erd
os
Rep
ort
es
Com
pe
ndio
s In
form
aci
ón
a
rch
iva
da
Javi
er
Chi
caiz
a
MP
-02
0
GE
ST
IÓN
C
OM
ER
CIA
L
BU
EN
VIA
JE
Fís
ico
, V
LK
, 2
003
Se
rve
r T
hin
kCen
tre
M5
5E
T
hin
kCen
tre
M7
2z
Rep
ort
es
Arc
hiv
os
Com
pe
ndio
s Ja
vie
r C
hica
iza
MP
-03
0
GE
ST
IÓN
D
E
CO
NT
RA
TO
S
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkC
en
tre
M7
1z
Th
inkP
ad
T4
10
Th
inkP
ad
T4
40p
Con
tra
tos
A
cue
rdo
s
Javi
er
Chi
caiz
a
VE
CT
OR
V
irtu
al,
VL
K, 2
00
3 S
erv
er
Javi
er
Chi
caiz
a
MA
NT
IS
Vir
tua
l, V
LK
, 20
03
Se
rve
r Ja
vie
r C
hica
iza
MP
-04
0
SE
RV
ICIO
A
L C
LIE
NT
E Y
CA
NA
LE
S
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkP
ad
Hel
ix
Th
inkC
en
tre
M7
3z
Th
inkP
ad
X1
20
e
Th
inkP
ad
X1
31
e
Fo
rmul
ario
s R
ep
ort
es
Javi
er
Chi
caiz
a
BIO
RE
D
Fís
ico
, V
LK
, 2
003
Se
rve
r V
irtu
al,
VL
K, 2
00
3 S
erv
er
Javi
er
Chi
caiz
a
VE
CT
OR
V
irtu
al,
VL
K, 2
00
3 S
erv
er
Javi
er
Chi
caiz
a
MA
NT
IS
Vir
tua
l, V
LK
, 20
03
Se
rve
r Ja
vie
r C
hica
iza
CR
M
Fís
ico
, V
LK
, 2
003
Se
rve
r A
nd
rea
Ba
nd
era
CLIE
NT
E Ú
NIC
O
Fís
ico
, V
LK
, 2
003
Se
rve
r K
ath
erin
e F
lore
s
MP
-11
0
GE
ST
IÓN
D
EL
TA
LE
NT
O H
UM
AN
O
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkC
en
tre
A7
0z
T
hin
kPa
d T
41
0
Con
tra
tos
A
cue
rdo
s R
ep
ort
es
Com
pe
ndio
s
Javi
er
Chi
caiz
a
AD
AM
V
irtu
al,
VL
K, 2
00
0 S
erv
er
Javi
er
Chi
caiz
a
BU
XIS
V
irtu
al,
VL
K, 2
00
0 S
erv
er
Ma
ría
Au
gu
sta
L
un
a
45
MA
CR
OP
RO
CE
SO
A
PL
ICA
CIO
NE
S
INF
RA
ES
TR
UC
TU
RA
D
AT
OS
P
ER
SO
NA
S
SE
RV
IDO
RE
S
EQ
UIP
OS
MP
-12
0
GE
ST
IÓN
C
ON
TA
BL
E F
INA
NC
IER
A
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkC
en
tre
M7
0z
Th
inkP
ad
T4
20
Rep
ort
es
Ba
lanc
es
con
tab
les
Javi
er
Chi
caiz
a
MP
-13
0
GE
ST
IÓN
D
E
RIE
SG
O T
ÉC
NIC
O
RIS
K C
ON
TR
OL
SE
RV
ICE
V
irtu
al,
VL
K, 2
00
8 S
erv
er
Th
inkC
en
tre
M7
1z
T
hin
kPa
d T
43
0
Rep
ort
es
Ma
ría
Au
gu
sta
L
un
a
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Javi
er
Chi
caiz
a
MP
-14
0
GE
ST
IÓN
D
E
PR
OV
EE
DO
RE
S
MO
NIT
OR
PL
US
AC
RM
V
irtu
al,
VL
K, 2
00
8 S
erv
er
Th
inkC
en
tre
M7
2z
Th
inkC
en
tre
M7
3z
Th
inkP
ad
T4
40s
Con
tra
tos
Acu
erd
os
Rep
ort
es
Ma
ría
Au
gu
sta
L
un
a
MP
-15
0
TE
CN
OL
OG
ÍA
DE
IN
FO
RM
AC
IÓN
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkC
en
tre
M7
3z
Th
inkP
ad
T4
40s
T
hin
kPa
d X
12
1e
Ba
ses
de
da
tos
Rep
ort
es
Ma
nu
ale
s de
u
sua
rio d
e la
s a
plic
acio
nes
de
sarr
olla
das
M
an
ua
les
de
pro
ced
imie
nto
s In
ven
tario
s
Javi
er
Chi
caiz
a
VE
CT
OR
V
irtu
al,
VL
K, 2
00
3 S
erv
er
Javi
er
Chi
caiz
a
PO
RT
AL
WE
B
Fís
ico
, V
mW
are
ES
Xi,
VM
WA
RE
A
nd
rea
Ba
nd
era
MP
-16
0 A
PO
YO
LO
GÍS
TIC
O
DA
TA
CL
EA
NIN
G
Vir
tua
l, V
LK
, 20
03
Se
rve
r T
hin
kCen
tre
M7
1z
Th
inkP
ad
X1
C
arb
on
2n
d
Acu
erd
os
Rep
ort
es
Ivá
n N
ob
oa
MP
-21
0
GE
ST
IÓN
E
ST
RA
TÉ
GIC
A
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkC
en
tre
M7
1z
Th
inkP
ad
X1
21
e
Rep
ort
es
Ma
nu
ale
s de
p
roce
dim
ient
os
Javi
er
Chi
caiz
a
MP
-22
0
GE
ST
IÓN
D
E
CA
LID
AD
Y M
EJO
RA
MIE
NT
O
SIS
E
BL
AD
E 3
, F
ísic
o,
IBM
-V
IOS
, A
IX
Th
inkC
en
tre
M7
3z
Th
inkP
ad
T4
40s
Rep
ort
es
Ma
nu
ale
s de
p
roce
dim
ient
os
Javi
er
Chi
caiz
a
VE
CT
OR
V
irtu
al,
VL
K, 2
00
3 S
erv
er
Javi
er
Chi
caiz
a
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
46
1.4 ANÁLISIS DE VULNERABILIDADES Y RIESGOS
En esta sección se realiza el análisis de riesgos y vulnerabilidades. En las Tablas 20
- 25 se muestra el proceso, para el cual se tomará como referencia la Norma NTE
ISO/IEC 27005 [9].
1.4.1 IDENTIFICACIÓN DE AMENAZAS
De acuerdo al estudio de los procesos empresariales y tomando en cuenta los recursos
de TI utilizados, existen amenazas en el orden técnico, humano, naturales,
estructurales y organizacionales los cuales se encuentran detallados en la Tabla 20.
Tabla 20. Identificación de Amenazas
ORIGEN DE LA AMENAZA
AMENAZA CONSECUENCIAS DE LA AMENAZA
TÉCNICAS
Mal funcionamiento de los equipos Atasco en las operaciones de la empresa
Pérdida de información
Software sin licencias Software malicioso
Filtro de información confidencial
Fallas de las aplicaciones Pérdida de información
Demora en los cronogramas de actividades
Falla de los servicios contratados (ISP)
Atasco en las operaciones de la empresa
Fallos de los sistemas
HUMANAS
Hacking Atentado a la integridad de la información
Atentado a la confidencialidad de la información
Divulgación de información confidencial
Estafas
Extorsión
Terrorismo Daño potencial a los equipos informáticos
Sabotaje a las operaciones de la empresa
Negligencia en el manejo de activos de TI
Daño potencial a los equipos informáticos
Libre acceso a la información
NATURALES
Terremotos Daño potencial a los equipos informáticos
Accidentes para el personal de la empresa
Tormentas eléctricas Daño potencial a los equipos informáticos
Fallos en las conexiones eléctricas
Inundaciones Daño potencial a los equipos informáticos
Accidentes para el personal de la empresa
47
ORIGEN DE LA AMENAZA
AMENAZA CONSECUENCIAS DE LA AMENAZA
ESTRUCTURALES
Incendios Daño potencial a los equipos informáticos
Accidentes para el personal de la empresa
Mal estado de las instalaciones Daño potencial a los equipos informáticos
Fallas en las operaciones de la empresa
Fallas eléctricas Daño potencial a los equipos informáticos
Atasco en las operaciones de la empresa
ORGANIZACIONALES
Flujo de personal Pérdida de información
Ventaja competitiva
Falta de políticas Mal desempeño de las funciones
Libre acceso a la información
Falta de gestión de seguridad informática
Filtro de infomación confidencial
Fallos en los activos de TI
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, basado en la
Norma NTE ISO/IEC 27005
1.4.2 IDENTIFICACIÓN DE VULNERABILIDADES
Una vez identificadas las amenazas para poder determinar las vulnerabilidades se ha
realizado un análisis detallado de los impactos de cada una de dichas amenazas y sus
consecuencias en caso de que lleguen a ocurrir. En la Tabla 21 se detalla una lista de
vulnerabilidades relacionadas con las amenazas identificadas en el punto anterior.
Tabla 21. Identificación de Vulnerabilidades
AMENAZAS VULNERABILIDADES
Mal funcionamiento de los equipos Falta de mantenimiento preventivo a los equipos
Falta de control en la configuración de los equipos
Software sin licencias Software ampliamente distribuido
Se filtra información confidencial
Fallas de las aplicaciones Interfaz de usuario compleja
Configuraciones mal realizadas
Falla de los servicios contratados (ISP) Conexiones de red pública sin protección
Tráfico de información sensible sin protección
Hacking Infraestructura de red insegura
Información sin encriptar
Divulgación de información confidencial No existe un control de medios extraíbles
No existen acuerdos de confidencialidad
Terrorismo Mal funcionamiento de las cámaras de seguridad
48
AMENAZAS VULNERABILIDADES
Falta de personal de seguridad para resguardar la empresa
Negligencia en el manejo de activos de TI Inducción incompleta al personal nuevo
Uso indebido de los recursos tecnológicos
Terremotos Estructuras en mal estado
Materiales de construcción de mala calidad
Tormentas eléctricas Variaciones en los voltajes
Falta de control de calidad en los UPS
Inundaciones No se revisa el estado de los drenajes
Falta de control de calidad en las instalaciones
Incendios No se cuenta con salidas de emergencia
No se revisan los extintores con frecuencia
Mal estado de las instalaciones No se realiza un control de las instalaciones
No se mejora las estaciones en mal estado
Fallas eléctricas No se revisa el estado de las conexiones eléctricas
Falta de mantenimiento a la planta de energía de respaldo
Flujo de personal Falta de procedimientos para el registro y retiro de usuarios
Procedimientos inadecuados de contratación
Falta de políticas Falta de auditorías para controlar los procesos de TI
Falta de procesos disciplinarios en caso de incumplimiento
Falta de gestión de seguridad informática Falta de control sobre el uso de activos de TI de la empresa
Ausencia de un Oficial de Seguridad Informática
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa, basado en la
Norma NTE ISO/IEC 27005
Es importante tomar en cuenta cuales son las vulnerabilidades críticas que pueden
tener un mayor impacto sobre la empresa. Principalmente las vulnerabilidades que son
ocasionadas por amenazas naturales y las provocadas por las amenazas de tipo
organizacional.
1.4.3 IDENTIFICACIÓN DE RIESGOS
Determinadas las amenazas y vulnerabilidades se procede con la identificación de los
riesgos que pueden darse en función de estos dos factores, los cuales se encuentran
detallados en la Tabla 22.
49
Ta
bla
22
. Id
en
tifi
ca
ció
n d
e R
ies
go
s
OR
IGE
N D
E L
A
AM
EN
AZ
A
AM
EN
AZ
AS
V
UL
NE
RA
BIL
IDA
DE
S
RIE
SG
O
TÉ
CN
ICA
S
Mal
func
ion
am
ient
o d
e lo
s equ
ipos
Falta
de
m
ant
eni
mie
nto
pre
vent
ivo
a
los
equ
ipos
D
años
en lo
s act
ivos
de T
I F
alta
de
cont
rol
en
la
conf
igur
aci
ón
de
los
equ
ipos
Soft
ware
sin
lice
ncia
s S
oft
ware
am
plia
ment
e d
istr
ibu
ido
D
ocu
ment
os
dig
itale
s pu
ed
en
ser
dañ
ados
y n
o r
ecu
pera
dos
Se f
iltra
info
rmaci
ón
conf
idenc
ial
Falla
s de
las
aplic
aci
ones
In
terf
az
de u
suario
com
ple
ja
Mal
mane
jo d
e la
info
rmac
ión
y m
al u
so d
e la
s ap
licaci
one
s C
onfig
uraci
on
es
mal r
eal
izada
s
Falla
de
los
serv
icio
s co
ntra
tad
os
(IS
P)
Conex
ione
s de
red p
úblic
a s
in p
rote
cció
n
Info
rmaci
ón
fáci
l de a
ccesa
r T
ráfic
o d
e in
form
aci
ón
sen
sible
sin
pro
tecc
ión
HU
MA
NA
S
Hack
ing
Infr
aes
truct
ura
de
red in
seg
ura
In
form
aci
ón
clasi
ficada
pue
de
ser
acc
esa
da
Info
rmaci
ón
sin e
ncrip
tar
Div
ulg
ació
n d
e in
form
aci
ón
co
nfid
enci
al
No e
xist
e u
n co
ntr
ol d
e m
edio
s ext
raíb
les
Docu
ment
os
priva
dos
al
alc
anc
e
de
todos
N
o e
xist
en a
cuerd
os
de c
onfid
enci
alid
ad
Terr
orism
o
Mal
fu
ncio
nam
ient
o
de
la
s cá
mara
s de
se
gurid
ad
A
cceso
a
cualq
uier
áre
a
de
la
em
pre
sa s
in r
est
ricci
ón
F
alta
de p
erso
nal d
e s
eg
uri
dad
par
a r
esg
uar
dar
la
em
pre
sa
Neglig
enc
ia e
n e
l mane
jo
de
act
ivos
de
TI
Indu
cció
n in
com
ple
ta a
l pers
ona
l nue
vo
Las
act
ivid
ades
no
se
cum
ple
n sa
tisfa
ctoria
ment
e
Uso
indeb
ido
de
los
recu
rsos
tecn
oló
gic
os
NA
TU
RA
LE
S
Terr
emoto
s E
stru
ctura
s en
mal e
sta
do
D
año
en
lo
s e
qui
pos
R
etr
aso
en
las
act
ivid
ade
s de
la
em
pre
sa
Pérd
idas
eco
nóm
icas
Bajo
dese
mpeñ
o
Mat
eri
ale
s de
const
rucc
ión
de
mala
calid
ad
Torm
ent
as
elé
ctric
as
Vari
aci
on
es
en
los
volta
jes
Falta
de
contr
ol d
e ca
lida
d e
n lo
s U
PS
Inun
dac
iones
N
o s
e r
evi
sa e
l est
ad
o d
e lo
s dre
naj
es
Falta
de
contr
ol d
e ca
lida
d e
n la
s in
stala
cion
es
50
OR
IGE
N D
E L
A
AM
EN
AZ
A
AM
EN
AZ
AS
V
UL
NE
RA
BIL
IDA
DE
S
RIE
SG
O
ES
TR
UC
TU
RA
LE
S
Ince
ndio
s N
o s
e c
ue
nta
co
n s
alid
as
de e
merg
enci
a
No s
e r
evi
san lo
s ext
into
res
con
frecu
enci
a
Mal
est
ad
o d
e la
s in
sta
laci
ones
No s
e r
ea
liza
un
contr
ol d
e la
s in
stala
cion
es
No s
e m
ejo
ra la
s est
aci
one
s en
mal e
stado
Falla
s elé
ctric
as
No
se
revi
sa
el
est
ado
de
las
con
exi
ones
elé
ctric
as
Falta
de
mant
eni
mie
nto
a l
a p
lant
a d
e ene
rgía
de
resp
ald
o
OR
GA
NIZ
AC
ION
AL
ES
Flu
jo d
e p
erso
nal
Falta
de p
roce
dim
ient
os
pa
ra e
l reg
istr
o y
retir
o
de u
suarios
A
cceso
lib
re
a
la
info
rmac
ión,
in
cum
plim
ient
o e
n lo
s pro
ceso
s P
roce
dim
ient
os
inade
cuad
os
de
con
trata
ción
Falta
de
pol
ític
as
Falta
de
au
dito
rías
para
co
ntr
ola
r lo
s pro
ceso
s de
TI
Los
pro
ceso
s org
aniz
aci
on
ale
s se
lle
van a
ca
bo
sin c
ont
rol a
lgun
o
Falta
de
pro
ceso
s d
isci
plin
ario
s en
caso
de
in
cum
plim
ient
o
Falta
de
ges
tión
de
segu
rid
ad
info
rmátic
a
Falta
de c
ontr
ol s
obr
e e
l uso
de a
ctiv
os
de
TI d
e
la e
mpre
sa
Gra
n flu
jo d
e in
form
aci
ón d
e g
ran
im
por
tanc
ia p
ara
la e
mpre
sa
Ause
ncia
d
e
un
Ofic
ial
de
Seg
urid
ad
In
form
átic
a
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
51
1.4.4 ANÁLISIS DE RIESGOS
1.4.4.1 Escalas de Medición del Riesgo
Los resultados obtenidos del análisis de riesgos serán evaluados en base a la Norma
NTE ISO/IEC 27005 [9].
Tabla 23. Matriz Escala de Probabilidad x Impacto
MATRIZ PxI ESCALA DE PROBABILIDAD
MUY IMPROBABLE IMPROBABLE POSIBLE PROBABLE MUY PROBABLE 1 2 3 4 5
IMP
AC
TO
BAJO 1 1 x 1 2 x 1 3 x 1 4 x 1 5 x 1
MEDIO 2 1 x 2 2 x 2 3 x 2 4 x 2 5 x 2
ALTO 3 1 x 3 2 x 3 3 x 3 4 x 3 5 x 3
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
1.4.4.2 Categoría del Riesgo Se plantean tres categorías del riesgo:
· Bajo: 1 - 5
· Medio: 6 - 10
· Alto: 11 - 15
Figura 8. Categoría del Riesgo
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
1.4.4.3 Evaluación de Riesgos Una vez definidas las amenazas y vulnerabilidades que afectan a la empresa se
aplicará la definición para calcular el riesgo: Riesgo = Probabilidad x Impacto.
Es importante recategorizar los riesgos de acuerdo al valor obtenido durante el análisis
ya que algunos obtuvieron el mismo valor, por lo que se debe analizar cuál de ellos es
el que más afecta a la empresa y así en ese orden tener un control sobre estos riesgos.
52
Ta
bla
24
. E
valu
ació
n d
el
Rie
sg
o
AM
EN
AZ
AS
V
UL
NE
RA
BIL
IDA
DE
S
PR
OB
AB
ILID
AD
IM
PA
CT
O
VA
LO
R D
EL
R
IES
GO
C
AT
EG
OR
ÍA D
EL
R
IES
GO
Div
ulg
aci
ón
de
info
rmac
ión
con
fide
ncia
l N
o
exi
ste
u
n
con
tro
l de
m
edio
s e
xtra
íble
s 5
3
1
5 A
LTO
So
ftw
are
sin
lice
ncia
s S
e f
iltra
info
rma
ció
n c
onf
iden
cia
l 4
3
1
2 A
LTO
Div
ulg
aci
ón
de
info
rmac
ión
con
fide
ncia
l N
o
exi
ste
n
acu
erd
os
de
con
fide
ncia
lida
d
4
3
12
ALT
O
Fa
lta d
e g
est
ión
de
se
guri
dad
in
form
átic
a A
use
ncia
d
e u
n
Ofic
ial
de
Se
gu
rida
d In
form
átic
a
4
3
12
ALT
O
Ince
nd
ios
No
se
cue
nta
con
sa
lidas
d
e e
me
rge
nci
a
3
3
9
ME
DIO
Ma
l fu
nci
ona
mie
nto
de
los
eq
uip
os
Fa
lta d
e m
ante
nim
ien
to p
reve
ntiv
o a
los
equ
ipos
4
2
8
M
ED
IO
Fa
lta d
e co
ntr
ol e
n la
co
nfig
ura
ció
n d
e lo
s eq
uip
os
4
2
8
ME
DIO
Fa
lla d
e lo
s se
rvic
ios
con
tra
tado
s (I
SP
) T
ráfic
o d
e in
form
aci
ón
sen
sib
le s
in
pro
tecc
ión
4
2
8
ME
DIO
Fa
lta d
e p
olít
icas
F
alta
de
au
dito
ría
s pa
ra c
on
tro
lar
los
pro
ceso
s de
TI
4
2
8
ME
DIO
Fa
lta d
e g
est
ión
de
se
guri
dad
in
form
átic
a F
alta
de
con
tro
l so
bre
el
uso
de
act
ivos
de
TI
de la
em
pre
sa
4
2
8
ME
DIO
Fa
llas
de la
s ap
licac
ion
es
Con
figu
raci
on
es m
al r
ea
liza
das
3
2
6
M
ED
IO
Fa
lla d
e lo
s se
rvic
ios
con
tra
tado
s (I
SP
) C
on
exi
on
es
de
re
d
pú
blic
a si
n p
rote
cció
n
3
2
6
ME
DIO
Neg
lige
nci
a e
n e
l ma
ne
jo d
e a
ctiv
os d
e T
I U
so
ind
ebid
o d
e lo
s re
curs
os
tecn
oló
gico
s 2
3
6
M
ED
IO
Te
rre
mo
tos
Est
ruct
ura
s e
n m
al e
sta
do
2
3
6
ME
DIO
Ma
teri
ale
s de
co
nst
rucc
ión
de
ma
la c
alid
ad
2
3
6
ME
DIO
Inu
nda
cio
nes
F
alta
de
con
trol
de
ca
lida
d e
n l
as
inst
ala
cion
es
3
2
6
ME
DIO
Flu
jo d
e p
ers
on
al
Fa
lta
de
p
roce
dim
ien
tos
para
e
l re
gis
tro
y r
etir
o d
e u
sua
rios
3
2
6
ME
DIO
53
AM
EN
AZ
AS
V
UL
NE
RA
BIL
IDA
DE
S
PR
OB
AB
ILID
AD
IM
PA
CT
O
VA
LO
R D
EL
R
IES
GO
C
AT
EG
OR
ÍA D
EL
R
IES
GO
Pro
cedi
mie
nto
s in
ad
ecu
ados
d
e
con
tra
taci
ón
3
2
6
M
ED
IO
Fa
lta d
e p
olít
icas
F
alta
de
pro
ceso
s d
isci
plin
ario
s e
n ca
so d
e in
cum
plim
ien
to
3
2
6
ME
DIO
Hack
ing
Infr
aes
truc
tura
de
re
d in
seg
ura
2
2
4
B
AJO
Info
rma
ció
n s
in e
ncri
pta
r 2
2
4
B
AJO
Te
rro
rism
o
Ma
l fu
nci
ona
mie
nto
de
la
s cá
ma
ras
de
se
guri
dad
2
2
4
B
AJO
Fa
lta
de
pe
rso
na
l d
e
segu
rida
d p
ara
res
gua
rda
r la
em
pre
sa
2
2
4
BA
JO
Neg
lige
nci
a e
n e
l ma
ne
jo d
e a
ctiv
os d
e T
I In
duc
ció
n i
ncom
ple
ta a
l p
ers
on
al
nu
evo
2
2
4
B
AJO
Fa
llas
elé
ctric
as
No
se
revi
sa
el
est
ad
o
de
las
con
exi
on
es e
léct
ricas
2
2
4
B
AJO
Fa
lta d
e m
ante
nim
ien
to a
la p
lan
ta
de
ene
rgía
de
re
spa
ldo
2
2
4
B
AJO
So
ftw
are
sin
lice
ncia
s S
oft
wa
re a
mpl
iam
en
te d
istr
ibui
do
3
1
3
B
AJO
To
rme
nta
s e
léct
ricas
V
ari
aci
one
s e
n lo
s vo
ltaje
s 3
1
3
B
AJO
Fa
llas
de la
s ap
licac
ion
es
Inte
rfa
z de
usu
ario
co
mpl
eja
2
1
2
B
AJO
Inu
nda
cio
nes
N
o
se
revi
sa
el
est
ad
o
de
los
dre
na
jes
2
1
2
BA
JO
Ince
nd
ios
No s
e r
evi
san
los
ext
into
res
con
fre
cue
nci
a
1
2
2
BA
JO
Ma
l est
ad
o d
e la
s in
sta
laci
one
s
No
se
rea
liza
un
con
tro
l d
e la
s in
sta
laci
one
s 2
1
2
B
AJO
No
se
me
jora
la
s e
sta
cio
nes
en
m
al e
sta
do
2
1
2
B
AJO
To
rme
nta
s e
léct
ricas
F
alta
de
con
trol
de
ca
lida
d e
n l
os
UP
S
1
1
1
BA
JO
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
54
En la Tabla 24 se observa que al momento de obtener la valoración del riesgo, algunos
de dichos valores son iguales, por lo que se debe organizar para saber cuál de ellos
tratar primero tomando en cuenta cual puede afectar en mayor magnitud a la empresa.
En la Tabla 25 se muestra el orden de prioridad establecido para mitigar las
vulnerabilidades.
Tabla 25. Orden para Mitigar las Vulnerabilidades
VALOR DEL RIESGO VULNERABILIDADES
15 No existe un control de medios extraíbles
12
No existen acuerdos de confidencialidad
Se filtra información confidencial
Ausencia de un Oficial de Seguridad Informática
9 No se cuenta con salidas de emergencia
8
Tráfico de información sensible sin protección
Falta de mantenimiento preventivo a los equipos
Falta de control en la configuración de los equipos
Falta de control sobre el uso de los activos de TI de la
empresa
Falta de auditorías para controlar los procesos de TI
6
Conexiones de red pública sin protección
Uso indebido de los recursos tecnológicos
Falta de procedimientos para el registro y retiro de usuarios
Configuraciones mal realizadas
Procedimientos inadecuados de contratación
Falta de procesos disciplinarios en caso de incumplimiento
Falta de control de calidad en las instalaciones
4
Infraestructura de red insegura
Información sin encriptar
Inducción incompleta al personal nuevo
Falta de mantenimiento a la planta de energía de respaldo
No se revisa el estado de las conexiones eléctricas
55
Falta de personal de seguridad para resguardar la empresa
Mal funcionamiento de las cámaras de seguridad
3 Software ampliamente distribuido
Variaciones en los voltajes
2 Interfaz de usuario compleja
No se revisa el estado de los drenajes
1 Falta de control de calidad en los UPS
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Una vez definido el orden de prioridad, la empresa puede aplicar controles apropiados
para mitigar las vulnerabilidades.
El Departamento de TI tiene la necesidad de mantener operativas sus funciones y
proteger los activos en caso de un imprevisto. Realizado el análisis de vulnerabilidades
y riesgos, se determina que el Departamento de TI es susceptible a interrupciones en
sus actividades, por lo que nace la necesidad de desarrollar un Plan de Continuidad
del Negocio.
56
CAPÍTULO II
ELABORACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO
En este capítulo se desarrolla el Plan de Continuidad del Negocio, en cada sección se
describen los aspectos más relevantes establecidos por la Norma ISO 22301:2012
definidos por cada una de las siete cláusulas.
Dentro del estudio inicial se describe al Departamento de TI, de esta manera se obtiene
el Alcance del Plan de Continuidad del Negocio. Por medio de los requerimientos se
definen roles y responsabilidades, el compromiso de la gerencia y así llegar a realizar
la Política de Continuidad.
Se definen los objetivos del Plan de Continuidad con sus respectivos factores críticos
de éxito, también los recursos necesarios para llevar a cabo el Plan de Continuidad.
Posteriormente se describe la metodología de desarrollo del Plan de Continuidad,
finalizando con las estrategias y procedimientos para la Continuidad del Negocio y la
elaboración del documento.
2.1 ESTUDIO INICIAL El estudio inicial comprende una parte importante para la elaboración del Plan de
Continuidad del Negocio. En este estudio se detallan los aspectos más relevantes de
la norma como cada una de las cláusulas con sus respectivas entradas, actividades y
salidas, las cuales serán aplicadas al Departamento de TI.
La Norma ISO 22301 consta de 7 cláusulas [10] claves con las que se lleva a cabo la
Gestión de la Continuidad del Negocio:
- Cláusula 4: Contexto de la Organización
- Cláusula 5: Liderazgo
- Cláusula 6: Planeación
- Cláusula 7: Soporte
57
- Cláusula 8: Operación
- Cláusula 9: Evaluación del desempeño
- Cláusula 10: Mejoramiento
Esta norma fue elegida porque abarca los aspectos de gestión como un sistema,
permitiendo enfocarse en la revisión de riesgos para posteriormente poder estar
preparados ante cualquier desastre y minimizar el impacto, sin que la interrupción de
las actividades sea a largo plazo o a gran escala.
En la Figura 9 se explica de forma gráfica las entradas, actividades y salidas de cada
cláusula de la Norma ISO 22301.
58
Fig
ura
9.
Clá
usu
las
de
la I
SO
22
30
1
ISO
22
30
1
4.
CO
NTE
XTO
DE
LA
O
RG
AN
IZA
CIÓ
N
6.
PLA
NIF
ICA
CIÓ
N
7.
SO
PO
RTE
8.O
PE
RA
CIÓ
N9
. E
VA
LU
AC
IÓN
DE
L
DE
SE
MP
EÑ
O
10
. M
EJO
RA
MIE
NTO
En
tra
da
s
Acti
vid
ad
es
Sa
lid
as
Alc
an
ce
de
l BC
P
Ide
nti
fica
r p
rod
ucto
s y
serv
icio
s
Ide
nti
fica
r a
cti
vos
crí
tico
s
5.
LID
ER
AZ
GO
En
tra
da
s
Act
ivid
ad
es
Sa
lida
s
Ro
les
y re
sp
on
sab
ilid
ad
es
Ga
ran
tiza
r e
l co
mp
rom
iso
de
la
a
lta
dir
ecci
ón
Po
lític
a d
e
co
nti
nu
ida
d
En
tra
da
s
Act
ivid
ad
es
Sa
lida
s
Op
ort
un
ida
de
s y
ri
esg
os
De
term
ina
r lo
s
ob
jeti
vos
estr
até
gic
os
Ob
jeti
vos d
e
co
nti
nu
ida
d d
el
ne
go
cio
En
tra
da
s
Act
ivid
ad
es
Sa
lida
s
Re
curs
os
To
ma
de
co
ncie
nci
a
y co
mu
nic
ació
n
Info
rma
ció
n
do
cu
me
nta
da
En
tra
da
s
Act
ivid
ad
es
Sa
lida
s
Pro
ceso
s crí
tico
s
BIA
Eva
lua
ció
n d
e
rie
sgo
s
Estr
ate
gia
s d
e
co
nti
nu
ida
d d
el
ne
go
cio
En
tra
da
s
Act
ivid
ad
es
Sa
lida
s
BIA
Mo
nit
ore
o
Me
dic
ión
An
ális
is
Eva
lua
ció
n
Re
sult
ad
os d
e
au
dit
orí
a in
tern
a
En
tra
da
s
Act
ivid
ad
es
Sa
lida
s
Estr
ate
gia
s y
pro
ce
dim
ien
tos d
e
co
nti
nu
ida
d d
el
ne
go
cio
To
ma
de
acc
ion
es
pre
ven
tiva
s y
co
rre
cti
vas
Me
jora
Co
nti
nu
a
Pro
du
cto
s y
se
rvic
ios
Fu
ncio
ne
s
Pro
ceso
s d
e T
I
Fu
en
te:
ISO
22
301
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
59
2.1.1 CLÁUSULA 4: CONTEXTO DE LA ORGANIZACIÓN
Como el proyecto se enfoca en el Departamento de TI, se procederá a tratar las
cláusulas de la Norma ISO 22301:2012 [11] haciendo referencia a dicho departamento.
2.1.1.1 Entendimiento a la Organización y su Contexto
Este punto se encuentra descrito en el apartado 1.2.2 y 1.2.2.1 de este documento
donde se hace referencia al Departamento de TI.
2.1.1.2 Entendimiento de las Necesidades y Expectativas de las Partes Interesadas
· Partes Interesadas
Los principales interesados al momento de establecer el Plan de Continuidad son:
o Directorio
o Gerente General
o Gerente de Innovación y Desarrollo Tecnológico
o Gerente Actuarial y Riesgos
· Entendimiento de las Necesidades de la Continuidad
Dentro de la empresa se tiene la necesidad de establecer un Plan de Continuidad del
Negocio, ya que puede presentarse algún imprevisto que provoque desastres y
paralice las actividades del Departamento de TI. Por ser una empresa aseguradora no
puede detener sus funciones, debido a esto es necesario tener un respaldo
principalmente para los activos de TI como es el caso de los servidores, donde se
encuentra el núcleo de la empresa porque se almacena todo tipo de información, tanto
de los clientes como información para las actividades diarias de la empresa.
El Plan de Continuidad del Negocio aporta con varios procedimientos, que permiten
hacer frente a los imprevistos y buscar una pronta solución para continuar con
60
normalidad las actividades dentro del Departamento de TI y satisfacer las necesidades
de los clientes tanto internos como externos.
2.1.1.3 Alcance del Plan de Continuidad del Negocio
Para determinar el alcance del Plan de Continuidad del Negocio, se considera el
Macroproceso MP-150 Tecnología de Información (ver Figura 3), a partir del cual se
obtienen los procesos críticos involucrados en el Plan de Continuidad del Negocio.
Dentro del alcance del Plan de Continuidad se involucra a las siguientes personas:
· Gerente General
· Gerente de Innovación y Desarrollo Tecnológico
· Gerente del Macroproceso
· Líder del proceso
· Personal de TI involucrados en las actividades del proceso
Los activos de TI que se ven involucrados son:
· Aplicaciones
o SISE
o VECTOR
o Risk Control Service
o Intranet
o Correo exchange
· Infraestructura
o Equipos de escritorio
§ ThinkCentre M71z
§ ThinkCentre M73z
o Laptops
§ ThinkPad T440s
§ ThinkPad X121e
61
o Equipos de red
o Servidores
§ BLADE 3, Físico, IBM-VIOS, AIX
§ Virtual, VLK, 2003 Server
§ Físico, VmWare ESXi, VMWARE
§ Virtual, VLK, 2008 Server
2.2 DEFINICIÓN DE REQUERIMIENTOS Y ESTRATEGIA
La determinación de los requerimientos es un componente esencial al momento de
determinar el nivel de reacción del Departamento de TI ante una interrupción en las
operaciones [12] respectivas del negocio y los costos que esto implica.
El Departamento de TI como principal requerimiento de continuidad necesita mantener
operativas sus actividades a pesar de la ocurrencia de un evento inesperado, con la
finalidad de mantener una buena imagen a nivel corporativo.
El Departamento de TI debe reanudar sus actividades lo antes posible, es aquí donde
el Plan de Continuidad del Negocio entra en acción determinando los procedimientos
claves para seguir brindando los servicios a los clientes tanto internos como externos
que dependen de él para realizar sus actividades correspondientes.
2.2.1 CLÁUSULA 5: LIDERAZGO
2.2.1.1 Liderazgo y Compromiso
La Gerencia General de EQUIVIDA S.A. y el Departamento de TI deben involucrarse
en todas las actividades que se lleven a cabo dentro del Plan de Continuidad del
Negocio, tomando en cuenta que se debe nombrar una comisión que debe estar a
cargo de monitorear las actividades que constan en él, de esta manera se obliga a las
demás partes interesadas a formar parte del proceso y obtener los resultados
esperados de la mejor manera con la colaboración de todo el personal.
62
El Directorio y el líder principal del equipo deben conocer cómo se llevan a cabo las
actividades para mantener informados a todos los involucrados. El líder del Plan de
Continuidad del Negocio, será el encargado de formar comisiones para que hagan un
seguimiento, monitoreo, evaluación y correcciones en caso de haberlas, todo esto con
la finalidad de cumplir con los objetivos del Plan de Continuidad del Negocio.
2.2.1.2 Compromiso de la Gerencia
La Gerencia está comprometida a ser partícipe de las actividades del Plan de
Continuidad del Negocio, aportando con los recursos necesarios tanto financieros
como no financieros para la planificación, implementación y mejora continua.
2.2.1.3 Política de Continuidad del Negocio
· Introducción
La Política de Continuidad se desarrolla con el objetivo de garantizar la continuidad en
las actividades de los procesos críticos de TI en caso que un evento inesperado pueda
afectar la continuidad de las operaciones.
· Alcance
La Política de Continuidad aplica para el Departamento de TI de la empresa EQUIVIDA
S.A. en las instalaciones de la ciudad de Quito.
· Objetivo
Elaborar un Plan de Continuidad con la finalidad de estar prevenidos ante eventos
inesperados para recuperar y mantener operativas las actividades que se llevan a cabo
en el Departamento de TI.
· Declaración de la Política
La Política de Continuidad garantiza lo siguiente:
63
o Es prioridad proteger al personal del Departamento de TI ante cualquier
eventualidad, por lo que los brigadistas de la empresa están comprometidos
a brindar protección a través de simulacros con el fin de estar prevenidos.
o Los procesos críticos deben continuar operativos ante un evento inesperado.
Se debe comunicar a los involucrados en las actividades y proveer
permanentemente recursos ya sean financieros, humanos y materiales para
asegurar la recuperación del nivel operativo de las actividades de los
procesos críticos.
o Creación de la Comisión de Continuidad para que sea la encargada de
realizar el monitoreo, evaluación y mejora del Plan de Continuidad del
Negocio.
o Realizar jornadas de capacitación sobre continuidad a las partes interesadas
y colaboradores.
o El tiempo de recuperación ante cualquier eventualidad debe ser el que se
encuentra establecido en el Plan de Continuidad del Negocio.
o Tomar en cuenta las mejores prácticas con el fin de asegurar la mejora
continua de acuerdo a lo establecido en la Norma ISO 22301.
· Vigencia de la Política
La duración de la política se encuentra definida por la Comisión de Continuidad, la cual
dura un año desde la fecha de aprobación o hasta que exista algún cambio en el plan
o en la comisión.
· Incumplimiento de la Política
Las partes involucradas están comprometidas a cumplir estrictamente los puntos
detallados en la declaración de la política, en caso de no cumplir, la empresa tiene la
potestad de sancionar de acuerdo al nivel de impacto que tenga el incumplimiento
debido a que se toman en cuenta aspectos tanto operacionales como legales.
64
· Glosario
BCP; Plan de Continuidad del Negocio por sus siglas en inglés Business Continuity
Plan: plan para recuperar y mantener operativas las funciones de una empresa.
DRP; Plan de Recuperación de Desastres por sus siglas en inglés Disaster Recovery
Plan: plan para recuperar y mantener operativas las actividades referentes a
tecnología.
BIA; Análisis de Impacto del Negocio por sus siglas en inglés Business Impact
Analysis: elemento que se utiliza para calcular la estimación de la afectación que
podría padecer una empresa a consecuencia de algún incidente o un desastre.
RTO; Tiempo Objetivo de Recuperación por sus siglas en inglés Recovery Time
Objective: es el tiempo objetivo de recuperación.
RPO; Punto Objetivo de Recuperación por sus siglas en inglés Recovery Point
Objective: cantidad de información que la empresa puede perder.
WRT; Tiempo de Trabajo de Recuperación por sus siglas en inglés Work Recovery
Time: tiempo necesario para verificar la integridad del sistema y/o los datos.
MTD; Tiempo de Inactividad Máximo Tolerable por sus siglas en inglés Maximun
Tolerable Downtime: tiempo máximo que la empresa puede tolerar la no disponibilidad
de una función o proceso.
2.2.1.4 Roles y Responsabilidades
Por medio del Departamento de Talento Humano se deben realizar una serie de
pruebas para seleccionar al personal adecuado para conformar la Comisión de
Continuidad con lo que se pueden determinar los siguientes roles y responsabilidades:
· Coordinador de Continuidad del Negocio
o Programar y evaluar cambios en el Plan de Continuidad del Negocio.
o Reportar el estado del Plan de Continuidad del Negocio a la alta
dirección.
65
o Evaluar el desempeño de cada miembro de la Comisión de Continuidad.
o Programar reuniones continuas con los líderes de cada equipo.
· Coordinador Alterno de Continuidad del Negocio
o Reemplazar al Coordinador en caso de ausencia.
o Brindar soporte en las actividades del Coordinador.
· Equipo de Gestión de Riesgos
o Realizar análisis de riesgos periódicamente.
o Tomar acciones correctivas y preventivas para mitigar los riesgos
encontrados.
· Equipo de Recuperación
o Restablecer todos los sistemas necesarios.
o Verificar el funcionamiento de los equipos y sistemas.
· Equipo de Brigadistas
o Preparar al personal en caso de un desastre.
o Planificar simulacros.
· Equipo de Apoyo
o Dar soporte en las actividades a los diferentes equipos que conforman la
Comisión de Continuidad.
Una vez definidos los roles la Comisión como equipo tiene las siguientes
responsabilidades:
· Asegurar el cumplimiento de la Política de Continuidad.
· Realizar evaluaciones de riesgo constantes para determinar nuevas amenazas
y descartar las que ya han sido mitigadas.
· Asegurar el cumplimiento de las responsabilidades asignadas a los miembros
de la Comisión y el Equipo de Apoyo.
· Mantener actualizado el Plan de Continuidad del Negocio por medio de la
mejora continua.
· Garantizar una pronta recuperación de las operaciones de los procesos críticos.
66
· Garantizar la socialización del Plan de Continuidad con los empleados del
Departamento de TI.
· Capacitar al personal para que se mantengan al tanto de las acciones que se
llevan a cabo dentro del Plan de Continuidad.
2.2.2 CLÁUSULA 7: APOYO
2.2.2.1 Recursos
La alta dirección debe estar comprometida con la asignación de los recursos para
llevar a cabo el Plan de Continuidad del Negocio. Oportunamente debe destinar
recursos financieros, humanos, técnicos y materiales [13], para que el equipo que lleva
a cabo las actividades y controles del Plan de Continuidad del Negocio pueda
desempeñar sus funciones con normalidad.
2.2.2.2 Competencia
Para seleccionar las personas que se encuentran a cargo del Plan de Continuidad se
define lo siguiente:
· Coordinador de Continuidad del Negocio
o Experiencia laboral mínima de 2 años dentro del Departamento de TI de
la empresa
o Haber recibido capacitaciones referentes a Continuidad del Negocio por
entidades reconocidas.
· Coordinador Alterno de Continuidad del Negocio
o Experiencia laboral mínima de 2 años dentro del Departamento de TI de
la empresa
o Haber recibido capacitaciones referentes a Continuidad del Negocio por
entidades reconocidas.
· Equipo de Gestión de Riesgos
o Personal capacitado en metodologías de gestión de riesgos
o Experiencia laboral en el campo mínima de 1 año
67
o Conocimientos de las normas de la familia ISO 27001
· Equipo de Recuperación
o Experiencia laboral en el campo mínima de 1 año
o Conocimientos específicos en tareas de recuperación en área de las
TICs
· Equipo de Brigadistas
o Haber recibido capacitaciones por parte de las autoridades competentes
(bomberos, defensa civil, equipo de paramédicos)
o Capacidad de reacción ante desastres naturales inesperados
· Equipo de Apoyo
o Experiencia laboral en el área de TICs mínima de 1 año
o Conocimiento de las operaciones del Departamento de TI de la empresa
o Proactivo
2.2.2.3 Toma de Conciencia y Comunicación
El equipo que conforma la Comisión de Continuidad debe conocer la Política de
Continuidad, con la finalidad de hacer cumplir la declaración que se encuentra en ella
y tomar acciones contra el personal que no la cumpla. A su vez, cada miembro de la
Comisión de Continuidad debe estar consciente del rol que desempeña dentro del
equipo y estar siempre preparado ante cualquier eventualidad para dar una breve
solución a cualquier incidente que llegara a suceder o a su vez evitar que dicho
incidente ocurra con las acciones necesarias.
La Comisión de Continuidad también se debe encargar de transmitir información
relevante sobre las actividades que se desarrollan en el Plan de Continuidad del
Negocio, a través de capacitaciones para el personal del Departamento de TI, quienes
son los principales involucrados. Adicionalmente, para el personal entrante se debe
brindar inducción con la finalidad de que todos puedan cumplir de manera satisfactoria
las cláusulas definidas en el Plan de Continuidad del Negocio.
68
2.3 OBJETIVOS DEL PLAN DE CONTINUIDAD
2.3.1 CLÁUSULA 6: PLANEACIÓN
2.3.1.1 Objetivos Es necesario definir los objetivos que se pretenden alcanzar con la aplicación del Plan
de Continuidad del Negocio.
· Mantener el nivel operativo de las funciones de los procesos críticos del
Departamento de TI.
· Reducir la posibilidad de pérdida y divulgación de información sensible.
· Proteger al personal, clientes y terceras partes en caso de que un evento
inesperado cause daños.
· Garantizar la protección de los activos críticos del Departamento de TI.
· Garantizar y optimizar las acciones a realizar ante un desastre.
· Mantener la imagen corporativa del Departamento de TI.
Se deben tomar en cuenta todos los riesgos que pueden causar inconvenientes a la
operatividad de las funciones del Departamento de TI. Con una mitigación efectiva de
los mismos, las operaciones críticas del departamento no se verán afectadas. La
planificación se la debe realizar de manera rigurosa para cumplir a cabalidad los
objetivos antes mencionados, todo esto con el compromiso constante de las partes
interesadas.
2.3.1.2 Factores Críticos de Éxito En base a los objetivos planteados se realiza un análisis y en la Tabla 26 se presentan
los factores críticos de éxito por cada uno de ellos.
69
Tabla 26. Factores Críticos de Éxito
OBJETIVOS FACTORES CRÍTICOS DE ÉXITO
Mantener el nivel operativo de las
funciones de los procesos críticos
del Departamento de TI.
Implementar un centro de datos alterno que almacene el sistema core
SISE, así como la información utilizada por el mismo.
Subir el sistema a la nube y solicitar al proveedor del servicio una
disponibilidad de 99.99% (“4 nueves”) mensual.
Reducir la posibilidad de pérdida y
divulgación de información
sensible.
Implementar acuerdos de confidencialidad.
Controles de medios extraíbles.
Proteger al personal, clientes y
terceras partes en caso de que un
evento inesperado cause daños.
Realizar simulacros planificados ante desastres naturales, terrorismo y
fallas técnicas.
Garantizar la protección de los
activos de TI que son esenciales
para el desarrollo de las
actividades del Departamento de
TI.
Implementar un centro de datos alterno que almacene el sistema "core"
SISE, así como la información utilizada por el mismo.
Subir el sistema a la nube y solicitar al proveedor del servicio del 95%
mensual.
Garantizar y optimizar las acciones
a realizar ante un desastre. Definir roles y responsabilidades.
Mantener la imagen corporativa
del Departamento de TI. Crear políticas que garanticen confidencialidad, integridad y disponibilidad.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
2.4 METODOLOGÍA DE DESARROLLO DEL PLAN DE CONTINUIDAD
DEL NEGOCIO
El estándar ISO 22301:2012 “Seguridad Social: Sistemas de Continuidad del Negocio
- Requisitos” es un estándar internacional para la Gestión de la Continuidad del
Negocio, el cual fue desarrollado con la finalidad de ayudar a las organizaciones a
minimizar el riesgo ante desastres. Actualmente el estándar ISO 22301 reemplaza a
la Norma BS 25999. Los requerimientos especificados en la ISO 22301 son genéricos
y pueden ser aplicables para todo tipo de organización independiente de su tamaño o
naturaleza.
El estándar ISO 22301 aplica el ciclo PDCA (Plan, Do, Check, Act por sus siglas en
inglés) a la planeación, establecimiento, implementación, operación, monitoreo,
70
revisión, ejercicios, mantenimiento y mejora continua de la efectividad del Sistema de
Gestión de Continuidad del Negocio de una organización. El estándar ISO 22301 tiene
como referencias consistentes a otros estándares como son: ISO 9001:2008, ISO
14001:2004, ISO/IEC 27001:2005 e ISO/IEC 20000-1:2005 [30].
Figura 10. Ciclo PDCA Aplicado al Proceso de la Continuidad del Negocio
Fuente: Norma ISO 22301:2012
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
El PDCA aplicado a la Continuidad del Negocio [14] se puede describir de la siguiente
manera:
- PLAN: es esta sección se aplican las cláusulas 4, 5, 6 y 7 de la Norma
correspondientes a Contexto de la Organización, Liderazgo, Planeación y
Soporte.
- DO: en esta fase se aplica la cláusula 8 correspondiente a Operación.
- CHECK: en esta fase se aplica la cláusula 9 que corresponde a Evaluación del
desempeño.
71
- ACT: en esta fase se aplica la cláusula 10 que corresponde al Mejoramiento
Continuo.
2.4.1 CLÁUSULA 8: OPERACIÓN
2.4.1.1 Análisis de Impacto del Negocio y Evaluación del Riesgo
Como parte del proceso de Continuidad del Negocio es necesario realizar un Análisis
de Impacto del Negocio [15] para evaluar los riesgos y su impacto en los procesos
críticos.
· Procesos de TI
Dentro del Departamento de TI existe el Macroproceso Tecnología de Información el
cual consta de los siguientes subprocesos:
o PR-153 Desarrollo e Implementación de Aplicativos
o PR-154 Gestión de Cambio
o PR-155 Gestión de Incidentes
o PR-156 Gestión de Problemas
o PR-1511 Gestión de Centro de Servicio
o PR-1513 Gestión de Configuraciones
o PR-1515 Gestión de Proyectos de TI
o PR-1516 Gestión de Niveles de Servicios
o PR-1517 Selección de Proveedores de TI
o PR-1518 Contratación de Proveedores de TI
o PR-1519 Evaluación de Proveedores
o PR-1520 Seguimiento y Control de Proveedores de TI
o PR-1521 Gestión de Peticiones de Servicios
· Selección de los Procesos Críticos de TI
Un paso para poder determinar el alcance del Plan de Continuidad es determinar los
procesos críticos, de esta manera se establecen indicadores los cuales nos ayudarán
72
a determinar los procesos que tienen un alto impacto dentro de las funciones de la
empresa.
Se toman en cuenta cuatro tipos de indicadores para la selección de los procesos
críticos:
o Suspensión de operaciones
o Pérdida de ingresos
o Necesidad de los clientes/Servicio al cliente
o Confianza de los accionistas
En base a estos criterios se procede a valorar los procesos y determinar su criticidad.
Los valores ponderados son establecidos de acuerdo al impacto que tiene en el
negocio:
o Bajo: 1
o Medio: 2
o Alto: 3
Figura 11. Escala de Criticidad
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
En la Tabla 27 se muestra el proceso de identificación de los procesos críticos del
Departamento de TI de EQUIVIDA S.A.
Tabla 27. Identificación de Procesos Críticos
CÓDIGO
PROCESO PROCESO
SUSPENSIÓN DE
OPERACIONES
PÉRDIDA DE
INGRESOS
NECESIDADES DE
LOS
CLIENTES/SERVICIO
AL CLIENTE
CONFIANZA
DE LOS
ACCIONISTAS
TOTAL
PR-153
Desarrollo e
Implementación de
Aplicativos
3 1 1 1 6
PR-154 Gestión de Cambio 2 2 1 2 7
73
CÓDIGO
PROCESO PROCESO
SUSPENSIÓN DE
OPERACIONES
PÉRDIDA DE
INGRESOS
NECESIDADES DE
LOS
CLIENTES/SERVICIO
AL CLIENTE
CONFIANZA
DE LOS
ACCIONISTAS
TOTAL
PR-155 Gestión de Incidentes 3 2 3 3 11
PR-156 Gestión de Problemas 2 1 2 2 7
PR-1511 Gestión de Centro de
Servicio 3 2 3 3 11
PR-1513 Gestión de
Configuraciones 3 3 3 2 11
PR-1515 Gestión de Proyectos
de TI 1 2 1 2 6
PR-1516 Gestión de Niveles de
Servicios 3 2 3 3 11
PR-1517 Selección de
Proveedores de TI 1 1 2 2 6
PR-1518 Contratación de
Proveedores de TI 1 1 2 2 6
PR-1519 Evaluación de
Proveedores 1 2 2 2 7
PR-1520 Seguimientos y Control
de Proveedores de TI 1 1 2 2 6
PR-1521 Gestión de Peticiones
de Servicios 1 1 3 1 6
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Una vez realizado el análisis se determinan como procesos críticos los siguientes:
o PR-155 Gestión de Incidentes
o PR-1511 Gestión de Centro de Servicio
o PR-1513 Gestión de Configuraciones
o PR-1516 Gestión de Niveles de Servicios
· Diagramas de Flujo de los Procesos Críticos
A continuación, de la Figura 12 - 15 se muestran los diagramas de flujo de cada uno
de los procesos críticos del Departamento de TI que han sido identificados.
74
Fig
ura
12
. G
es
tió
n d
e In
cid
ente
s
Fu
en
te:
EQ
UIV
IDA
S.A
. [3
]
75
Fig
ura
13
. G
es
tió
n d
e C
en
tro
de
Se
rvic
ios
Fu
en
te:
EQ
UIV
IDA
S.A
. [3
]
76
Fig
ura
14
. G
es
tió
n d
e C
on
fig
ura
cio
nes
Fu
en
te:
EQ
UIV
IDA
S.A
. [3
]
77
Fig
ura
15
. G
es
tió
n d
e N
ive
les
de
Se
rvic
io
Fu
en
te:
EQ
UIV
IDA
S.A
. [3
]
78
· Análisis de Impacto del Negocio o Objetivos del BIA
§ Analizar el impacto que causa una interrupción [16] en las actividades
de los procesos críticos del Departamento de TI.
§ Determinar los tiempos y estrategias de recuperación ante cualquier
eventualidad que cause una interrupción en las actividades.
o Impacto Financiero y Estratégico
Para determinar el impacto de cada proceso crítico, se establecen los
valores del impacto financiero e impacto estratégico. Para el impacto
estratégico se toman en cuenta tres criterios de evaluación: efectividad del
servicio, confianza del cliente y satisfacción del cliente. La escala de
medición para cada uno de estos criterios comprende de la siguiente
manera:
§ Bajo: 1
§ Medio: 2
§ Alto: 3
Tabla 28. Análisis de Impacto del Negocio
PROCESO IMPACTO
FINANCIERO (IF)
IMPACTO ESTRATÉGICO (IE) PONDERACIÓN
IF x IE Efectividad del servicio
Confianza del cliente
Satisfacción del cliente
Total
Gestión de Incidentes
3 3 3 2 8 24
Gestión de Centro de Servicio
2 3 3 2 8 16
Gestión de Configuraciones
3 3 2 2 7 21
Gestión de Niveles de Servicios
2 3 3 2 8 16
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
El criterio de calificación de acuerdo a la escala da un cierto tipo de impacto,
el mismo que cuantifica tanto la parte financiera como la parte estratégica,
por esta razón la ponderación se obtiene del producto de los valores totales
del impacto estratégico por el impacto financiero. Tomando en cuenta los
79
resultados obtenidos se establece el orden de importancia de los procesos
evaluados:
1. Gestión de Incidentes
2. Gestión de Configuraciones
3. Gestión de Niveles de Servicios
4. Gestión de Centro de Servicios
o Determinación del RPO, RTO, WRT y MTD
El primer paso para el desarrollo de la determinación de los tiempos de
recuperación y tolerancia es obtener los procesos críticos y sus actividades
relacionadas. En la Figura 16 se muestra la relación entre el RPO, RTO,
WRT y MTD.
Figura 16. Relación entre RPO, RTO, WRT y MTD [17]
RPO RTO WRT
NormalSe produce el
desastreRecuperación
Reanudar el
proceso
Tiempo
MTD
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Para determinar el punto objetivo de recuperación (RPO), el tiempo objetivo
de recuperación (RTO) y el tiempo de trabajo de recuperación (WRT) para
cada uno de los procesos críticos se realiza entrevistas a los responsables
de cada proceso. Esta información nos permitió también obtener las
estrategias de recuperación.
Para obtener el tiempo de inactividad máximo tolerable (MTD) se aplica la
fórmula [17]:
MTD= RTO + WRT.
80
Ta
bla
29
. T
iem
po
s d
e R
ec
up
era
ció
n
Pro
ce
so
A
cti
vid
ad
es
Ac
tivo
s d
e T
I
RP
O
RT
O
WR
T
MT
D=
R
TO
+W
RT
A
plic
acio
nes
Infr
aest
ruct
ura
D
atos
P
erso
nal
Ser
vidor
es
Com
puta
dora
s
Ge
stió
n d
e
Inci
de
nte
s
Rece
pta
r la
sol
icitu
d d
e in
cid
enc
ia
- S
ISE
-
Intr
anet
-
VE
CT
OR
-
Cor
reo
Exc
hang
e
- R
isk
Con
trol
S
ervi
ce
- B
lade
3,
Fís
ico,
IBM
-V
IOS
, AIX
-
Fís
ico,
V
MW
are,
E
SX
i, V
MW
AR
E
- V
irtu
al, V
LK,
2003
Ser
ver
- E
xpre
ssio
n E
ngin
e -
Virtu
al, V
LK,
2008
Ser
ver
- T
hin
kCen
tre
M73
z -
Thin
kPad
T
440
s -
Thin
kPad
X
121e
-
Thin
kCen
tre
M71
z -
Thin
kPad
T
430
- R
epor
tes
- B
ases
de
Dat
os
- M
anua
les
de
Usu
ario
de
las
aplic
acio
nes
- M
anua
les
de
proc
edim
ient
os
- In
vent
ario
s
- Ja
vier
Chi
caiz
a
- A
ndre
a B
ande
ra
0.5
hora
s 0.
5 ho
ras
0.5
hora
s 1
hor
a
An
aliz
ar
la in
cid
enc
ia
Em
itir
un
dia
gnó
stic
o d
e
la in
cid
enc
ia
Reso
lve
r la
inci
de
ncia
Ge
stió
n d
e C
en
tro
d
e S
erv
icio
Reg
istr
ar
la s
olic
itud
del
cl
ien
te in
tern
o
0.5
hora
s 0.
5 ho
ras
0.5
hora
s 1
hor
a
Asi
gna
r la
sol
icitu
d a
un
G
est
or
corr
esp
ond
ien
te
So
luci
ona
r la
sol
icitu
d
Ge
stió
n d
e
Con
figu
raci
on
es
Avi
so d
e a
lta o
ba
ja d
e
ele
me
nto
s de
co
nfig
ura
ció
n
1 h
ora
1
hor
a
2 ho
ras
3 h
ora
s R
eco
pila
r in
form
ació
n
Notif
ica
r la
act
ual
iza
ció
n
vía
ma
il
Mo
nito
rea
r C
MD
B
Act
ual
iza
r C
MD
B
Ge
stió
n d
e N
ive
les
de
Se
rvic
ios
Imp
lem
enta
r a
cció
n d
e
me
jora
de
serv
icio
s
1 h
ora
1
hor
a
1 ho
ra
2 h
ora
s
So
licita
r p
ara
me
triz
aci
ón
de
un
nu
evo
se
rvic
io
An
aliz
ar
el S
LA
Act
ual
iza
r ca
tálo
go
de
se
rvic
ios
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
81
· Evaluación de Riesgos
Esta sección se encuentra detallada en el apartado 1.4.4 de este documento.
2.4.1.2 Estrategia de Continuidad del Negocio
Para determinar las estrategias de Continuidad del Negocio se toman en cuenta los
factores tecnológicos, ambientales, humanos y los servicios que son tercerizados. Las
estrategias de continuidad son aplicadas a los procesos críticos del Departamento de
TI.
· Escenarios de Recuperación
Considerando la magnitud del impacto del incidente se puede tomar en cuenta el tipo
de recuperación que se requiera implementar. A continuación, se describen los
diferentes escenarios de recuperación.
o Hot Site (sitio caliente): es un escenario que tiene el equipo necesario para
que la empresa continúe con el desempeño normal de sus actividades. Este
escenario incluye los espacios necesarios de una oficina, muebles y demás
activos de tecnología, es decir se tiene una réplica del ambiente de
operación.
o Warm Site (sitio cálido): este escenario permite preinstalar los equipos y el
ancho de banda necesario para que en caso de un desastre solamente se
deba configurar el software y restablecer los sistemas del negocio.
o Cold Site (sitio frío): este escenario es un espacio que contiene
instalaciones eléctricas y aire acondicionado pero carece de los equipos
necesarios para restablecer las operaciones de manera inmediata.
o Mirror Site (sitio espejo): este escenario no es más que una réplica de las
estaciones de operación del sitio original, es decir debe ser una copia exacta,
que incluya los mismos equipos, mismas conexiones, etc. Este escenario es
el más usado al momento de realizar un Plan de Continuidad del Negocio.
o Mobile Site (sitio móvil): este escenario contiene los equipos necesarios
para implementar un centro de operación alternativo en caso de un desastre.
82
En la Tabla 30 se muestra un resumen de los escenarios de recuperación con los
indicadores más importantes al momento de tomar una decisión.
Tabla 30. Escenarios de Recuperación [18]
SITIO COSTO HARDWARE TELECOMUNICACIONES TIEMPO LOCALIZACIÓN
Cold Site Bajo No Ninguno 45 días Fijo
Warm Site Medio Parcial Parcial 10 días Fijo
Hot Site Alto Completo Parcial 15 días Fijo
Mobile Site Alto Variable Variable 8 días No fijo
Mirror Site Muy Alto Completo Completo 30 días Fijo
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
De acuerdo a lo descrito en la Tabla 30, se realiza un análisis en base a los costos y
tiempo estimado que conlleva implementar estos escenarios, determinando que no
son la mejor opción para ser tomados en cuenta.
· Estrategias de Continuidad del Negocio
o Acuerdos recíprocos con otras organizaciones: estos acuerdos
consisten en convenios realizados con otras empresas para que en caso de
un desastre se pueda trasladar ciertos empleados y equipos para continuar
con sus actividades de manera temporal.
o Almacenamiento en la nube: esta es una solución cada vez más atractiva
para las organizaciones ya que los datos residen en la Web. Los
proveedores del servicio de almacenamiento en la nube tienen distintos
centros de almacenamiento de datos con lo que garantizan que la
información se almacene de manera segura y esté disponible siempre que
el usuario lo requiera.
Las características del servicio se definen al momento en que la empresa
firma el contrato con el proveedor del servicio.
o Servicios en la nube [19]
§ Saas (Software as a Service/Software como Servicio): es una solución
en la cual los usuarios usan un navegador para acceder al software con
83
los programas y datos del usuario que residen en la nube. Esta solución
elimina la necesidad de aplicaciones in-house.
§ Paas (Platform as a Service/Plataforma como Servicio): esta solución
provee todas las fuentes requeridas para construir aplicaciones y
servicios directamente desde Internet, sin la necesidad de descargar o
instalar software.
§ Iaas (Infraestructure as a Service/Infraestructura como Servicio): este
servicio ofrece el hardware para que la organización pueda ponerlo en
donde lo necesite. IaaS permite rentar recursos como:
- Servidores
- Equipos de red
- Memoria
- Ciclos de CPU
- Espacio de almacenamiento
· Selección de la Estrategia de Continuidad del Negocio
Una vez analizadas las estrategias, se llega a la conclusión de que las mejores son:
o Acuerdos recíprocos con otras organizaciones
o Almacenamiento en la nube
Estas estrategias han sido elegidas debido a dos factores: los bajos costos de
implementación y aprovechar las diferentes alianzas estratégicas con las empresas
que forman parte del Grupo Futuro. Esto facilita la compartición de recursos tanto de
infraestructura y personal.
2.4.1.3 Procedimientos para Continuidad del Negocio [20]
· Implementación de un Centro de Datos Alterno
Este procedimiento se describe en base a la estrategia “Acuerdos recíprocos
con otras organizaciones”.
1. Establecer términos y condiciones entre las partes interesadas.
84
2. Analizar los términos y condiciones.
3. Firmar el acuerdo.
4. Replicar información del centro de datos una vez al día al finalizar la jornada
laboral.
· Almacenamiento en la Nube
1. Analizar los Acuerdos de Nivel de Servicio (Service Level Agreement, SLA
por sus siglas en inglés) del proveedor.
2. Contratar el servicio.
3. Instalar la aplicación.
4. Subir el contenido a la nube.
5. Mantener la aplicación actualizada.
· Procesar Fallas de Hardware
Para la descripción de este procedimiento serán tomados en cuenta los
siguientes activos:
o Laptops
o Desktops
o Switches
o Servidores
1. Reportar el daño al Departamento de TI.
2. Asignar un técnico al problema reportado.
3. El técnico asignado revisa el equipo y reporta el tipo y la gravedad del daño.
4. Verificar si el equipo cuenta con garantía.
a. Si tiene garantía se reporta el daño al proveedor del equipo donde éste
determina si aplica o no la garantía.
i. Si aplica la garantía el proveedor se encarga de reparar el equipo.
ii. Si no aplica la garantía el técnico del Departamento de TI puede
reparar el equipo o el proveedor lo repara con un costo adicional.
85
b. Si no tiene garantía el técnico del Departamento de TI puede reparar el
equipo o el proveedor lo repara con un costo adicional.
5. En caso de que el tiempo de reparación del equipo sea extenso se procede
al reemplazo del equipo, siempre y cuando sea posible hacerlo, caso
contrario se recurre a la estrategia establecida.
En el paso 4 se menciona “Verificar si el equipo cuenta con garantía”, este paso no
es aplicable para el caso de los switches ya que es factible reparar o sustituir el
equipo de manera inmediata.
· Procesar Fallas de Software
1. Reportar la falla al Departamento de TI.
2. Asignar un técnico al problema reportado.
3. El técnico asignado revisa la falla y en caso de:
a. Sistema operativo
i. Revisar la causa del problema
ii. Si el daño es mayor, se deben obtener los respaldos necesarios y
formatear el equipo.
iii. Instalar el sistema operativo, las aplicaciones y archivos respaldados.
iv. Probar que el problema haya sido solucionado.
b. Software de ofimática y antivirus
i. En caso de que las licencias no se hayan renovado se las debe
adquirir de manera inmediata.
ii. Reinstalar el software.
iii. Verificar su funcionamiento.
· Procesar Fallas de Aplicaciones
1. Reportar la falla al Departamento de TI.
2. Asignar un técnico al problema reportado.
3. El técnico asignado revisa la falla y reporta el problema al encargado de la
aplicación.
86
a. Si fallan las aplicaciones en el servidor:
i. Obtener respaldos para proceder a la depuración del servidor.
ii. Reparar el daño.
iii. Instalar las aplicaciones en el servidor.
iv. Configurar el servidor con los respaldos obtenidos.
b. Si fallan las aplicaciones en los equipos personales
i. Detectar la causa del problema.
ii. Solucionar la falla lo más pronto posible.
4. Hacer las pruebas para comprobar que el problema ha sido solventado.
Si el tiempo de reparación del servidor es alto, se recurre a la estrategia establecida
en la sección 2.4.1.2.3 de este documento.
· Procesar Problemas de Energía Eléctrica
El Departamento de TI cuenta con 25 dispositivos de alimentación ininterrumpida
(Uninterruptible Power Supply, UPS por sus siglas en inglés), los cuales mantienen la
energía mientras se activa el generador.
En el caso de una falla de la red eléctrica de la Empresa Eléctrica Quito:
1. Verificar el estado del generador eléctrico
a. El encargado de mantenimiento debe comprobar que se encuentre el
tanque cargado, lo que garantiza 8 horas de energía.
b. Si al generador le hace falta combustible se lo debe llenar de manera
inmediata.
2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el
generador entre en operación.
3. El generador entra automáticamente en funcionamiento en 10 segundos a
partir del corte de energía.
En el caso de que la falla eléctrica sea:
1. Interna
87
a. Reportar la falla a un especialista eléctrico.
b. Los UPS tienen un respaldo de 15 minutos de energía hasta que el
generador entre en operación.
c. El generador entra automáticamente en funcionamiento en 10 segundos
a partir del corte de energía.
d. El especialista eléctrico verifica el origen de la falla.
e. Se procede a reparar la falla
f. Se realiza una revisión del funcionamiento de los equipos.
2. En el caso de una falla interna y no funcionan los UPS
a. Reportar la falla a un especialista eléctrico.
b. El generador entra automáticamente en funcionamiento en 10 segundos
a partir del corte de energía.
c. El especialista eléctrico verifica el origen de la falla y la repara.
d. El técnico del Departamento de TI revisa si algún equipo tuvo daños.
i. Si los equipos tienen alguna falla producida por el corte de energía
se procede a la reparación o sustitución del mismo.
3. Si el daño producido a los equipos es grave y el tiempo de recuperación es
extenso se procede a implementar la estrategia de recuperación elegida.
· Procedimientos ante Desastres Naturales
Dentro de este procedimiento se toman en cuenta los siguientes escenarios:
o Incendios
o Inundaciones
o Terremotos
1. El equipo de brigadistas es el encargado de realizar las siguientes actividades:
a. Reportar el desastre ante las autoridades competentes. (Bomberos)
b. Iniciar el proceso de evacuación de las instalaciones.
c. Controlar el desastre.
88
d. Verificar que los empleados se encuentren en buenas condiciones.
e. Revisar las instalaciones.
f. Reportar al Departamento de TI sobre el estado de los equipos.
2. Los técnicos del Departamento de TI deberán:
a. Revisar el estado de los equipos
b. Reportar los daños
c. Realizar las reparaciones de los equipos en caso de ser posible.
En caso de daño y pérdida total de los equipos se inicia la acción con la estrategia
elegida.
· Procesar Fallas en los Servicios Contratados
Esta falla se refiere a los servicios contratados con el Proveedor de Servicio de Internet
(Internet Service Provider, ISP por sus siglas en inglés).
1. Reportar la falla al Departamento de TI.
2. Asignar un técnico para la revisión de la falla.
a. En caso de ser una falla interna el técnico asignado soluciona el
problema.
b. Si es una falla mayor, reporta al proveedor del servicio.
i. Conectar los routers móviles (MiFi) hasta que el problema sea
solucionado.
3. Restablecer el servicio.
· Procesar Fallas Humanas y Organizacionales
Este tipo de fallas hacen referencia a incidentes provocados por el hombre, por lo que
es necesario contar con un Oficial de Seguridad Informática y políticas.
En caso de existir un Oficial de Seguridad.
1. Reportar o anticipar el incidente de seguridad informática al Oficial de
Seguridad.
2. El Oficial de Seguridad analiza el caso.
89
3. Definir acciones tanto preventivas como correctivas.
En caso de no existir un Oficial de Seguridad.
1. Elaboración del perfil para contratación.
2. Llamado a postulación del cargo.
3. Evaluación y entrevista de los postulantes.
4. Notificación de resultados.
5. Contratación.
6. Asumir responsabilidades.
7. En caso de fallas:
a. Reportar o anticipar el incidente de seguridad informática al Oficial de
Seguridad.
b. El Oficial de Seguridad analiza el caso.
c. Definir acciones tanto preventivas como correctivas.
Para la elaboración de políticas.
1. Definición del alcance de la política
2. Creación de las políticas por parte del Oficial de Seguridad.
3. Revisión y aprobación de las políticas.
4. Aplicación de las políticas a través de la socialización de la misma con el
personal.
2.4.1.4 Ejercicios y Ensayos
La Comisión de Continuidad deberá realizar ejercicios y ensayos para garantizar el
correcto funcionamiento de los procedimientos establecidos [21].
· Ejercicios o Orientación: el propósito de este ejercicio es familiarizar al personal con el
Plan de Continuidad del Negocio de la organización. Este proceso se lo lleva
90
a cabo mediante reuniones de los diferentes departamentos para una mejor
comprensión y coordinación.
o Simulacro: el éxito de los simulacros está determinado por la
retroalimentación de los participantes y el impacto que tiene en la evaluación
y revisión de políticas y procedimientos.
o Ejercicio funcional o de simulación: el propósito de este ejercicio es
probar la capacidad de una organización para responder a un evento
simulado.
o Ejercicio a escala global: prueba la capacidad de respuesta global de
múltiples organizaciones mediante la simulación de un hecho real lo más
cerca posible.
· Ensayos
Es necesario probar los ejercicios mediante ensayos, los cuales se listan a
continuación:
o Discusiones: consiste en realizar reuniones en las cuales cada uno de los
asistentes expresa sus diferentes puntos de vista ante una situación.
o Lluvia de ideas: consiste en planificar sesiones de grupo en las que se
propone ideas al azar sobre un tema o problema determinado para alcanzar
una idea general que aporte a la mejora de los ejercicios.
o Caso de estudio: consiste en presentar casos de aplicación reales, donde
se pueden determinar aciertos y fallas de los procedimientos.
o Talleres de capacitación: consisten en brindar al personal de la empresa
charlas que les permita conocer el funcionamiento de la empresa con el fin
de que los empleados tengan claros los objetivos del negocio.
o Junta básica: los participantes discuten los problemas como un grupo, el
líder resume las conclusiones.
o Junta avanzada: los problemas a resolver necesitan una respuesta rápida,
en esta junta el facilitador guía la discusión.
91
2.4.2 CLÁUSULA 9: EVALUACIÓN DEL DESEMPEÑO
2.4.2.1 Monitoreo y Medición
Las variables [22] a ser tomadas en cuenta para este paso son tiempos, costos y
efectividad.
· Tiempo
o Tiempo de revisión y diagnóstico de los equipos
o Tiempo que el técnico del Departamento de TI tarda en dar el soporte
o Tiempo que el técnico del servicio contratado tarda en dar el soporte
o Tiempo que se tarda en reemplazar el equipo
o Tiempo que se tarda en configurar el equipo nuevo
o Tiempo que toma instalar las aplicaciones
o Tiempo total de los procesos de recuperación
· Costos
o Costos de reparación de los equipos
o Costos de compra de nuevos equipos
o Costos de logística
o Costo total
· Efectividad
o Duración del proceso inactivo
o Fallas en la aplicación del plan
o Tiempo que toma realizar el simulacro
o Consideración de los tiempos RTO, RPO y MTD
2.4.2.2 Análisis y Evaluación
A través de los procedimientos, ejercicios y ensayos establecidos anteriormente, se
realiza un análisis tomando en cuenta los parámetros de medición:
· Tiempo
· Costo
92
· Efectividad
Una vez realizado el análisis se procede a la evaluación [23] donde los resultados
obtenidos pueden ser acertados o fallidos. En caso de ser resultados excelentes se
tendrán reuniones cada mes con la finalidad de mantener actualizados los
procedimientos. En caso de tener errores, estos deben ser corregidos inmediatamente
actualizando los procedimientos. Los procedimientos corregidos serán sometidos a los
procesos de análisis y evaluación tomando en cuenta los parámetros de medición
antes mencionados.
2.4.2.3 Auditoría Interna
La auditoría interna es un proceso que debe estar controlado directamente por la
Gerencia ya que se debe garantizar el cumplimiento de los objetivos de la empresa.
Los encargados de la parte de auditoría interna deben realizar esta actividad de
manera permanente para agregar valor y optimizar el desempeño de las operaciones
dentro del Departamento de TI y a su vez mejorar la eficacia de los procesos que se
llevan a cabo dentro del mismo.
Los auditores internos obtienen información como buenas prácticas, mejoras,
cumplimiento de los requisitos y problemas; y están en la obligación de sugerir el
mejoramiento de los procedimientos que se desarrollan con el Plan de Continuidad en
caso de que sea necesario corregir alguno de estos.
2.4.2.4 Revisión Gerencial
Los auditores internos deben reportar directamente sus actividades a la Gerencia ya
que es oportuno que los directivos conozcan cómo se están llevando a cabo los
procedimientos de Continuidad del Negocio. En base a los resultados obtenidos de la
auditoría se puedan tomar las mejores decisiones que aporten al desarrollo del plan.
93
2.4.3 CLÁUSULA 10: MEJORAMIENTO
2.4.3.1 No Conformidad y Acción Correctiva
Los auditores internos están ligados a este punto ya que son los que evalúan
directamente el cumplimiento de los requisitos. En caso de alguna falta ante ellos se
da la no conformidad. Esta falta puede ser: documentación incompleta, incumplimiento
de las fechas de auditoría, falta de algún requisito de la norma o alguna inconsistencia
en las hojas de ruta. Esto se debe reportar a la gerencia y a su vez proponer las
acciones correctivas dependiendo del requisito que no ha sido cumplido
satisfactoriamente.
2.4.3.2 Mejora Continua
El proceso de mejora continua sigue el ciclo PDCA, lo que garantiza que los objetivos
sean identificados de la mejor manera definiendo los indicadores que van a permitir
establecer el punto inicial de donde se los puede cuantificar [24]. Identificados estos
objetivos, podemos llevar a cabo las acciones planificadas y realizar un análisis de los
resultados, los cuales pueden ser evaluados con los objetivos establecidos y
determinar si se han alcanzado. Caso contrario, se debe analizar el error que no
permitió conseguirlos.
Todo el personal debe estar involucrado con el proceso de mejora continua con la
finalidad de no ocultar información ni acontecimientos que afecten las actividades del
Departamento de TI. El aporte de sus propias experiencias en cuanto a las actividades
que realiza dentro del departamento es fundamental para poder realizar un estudio de
los procesos y procedimientos que se quieren mejorar.
El ciclo de mejora continua no tiene fin ya que cada vez es necesario mantener las
evaluaciones de los procesos para realizar cambios en caso de que existan anomalías
que puedan afectar el desarrollo de las actividades. Esto garantiza un cumplimiento de
los objetivos planificados en la primera fase del Plan de Continuidad del Negocio.
94
2.5 GENERACIÓN DEL DOCUMENTO El documento [25] cuenta con la siguiente estructura:
· Carátula
· Índice de contenidos
· Introducción
· Objetivos
· Política
· Gestión de riesgos
· Análisis de impacto del negocio – BIA
· Estrategias de continuidad
· Grupos para la Continuidad del Negocio
· Auditoría interna
· Mejora continua
· Términos y definiciones
Ver el documento en el Anexo 1.
95
CAPÍTULO III
APLICACIÓN DEL PLAN DE CONTINUIDAD
En este capítulo se recopila información necesaria para proceder a la aplicación del
Plan de Continuidad del Negocio, posteriormente se analizan los resultados y se
realiza una evaluación de la aceptación, colaboración y cumplimiento de los objetivos
del Plan.
3.1 RECOPILACIÓN DE DATOS DEL CASO DE APLICACIÓN
En esta sección se reúnen los datos necesarios como: actividades, activos y medidas
de defensa de cada proceso que es tomado en cuenta para el caso de aplicación.
En la Tabla 31 se resume una ficha técnica con información de la empresa EQUIVIDA
S.A. y el Departamento de TI.
Tabla 31. Datos del Caso de Aplicación
Nombre de la empresa EQUIVIDA S.A. Línea de negocio Seguros de vida para personas
Número de sucursales 3 Sucursal del caso de estudio Quito (Matriz)
Dirección Av. Amazonas N40-100 y Gaspar de Villarroel Teléfono (593)224 66 62
Gerente General Martha Tufiño Número de personas de la empresa 220
Dependencia de aplicación del caso de estudio
Gerencia de Innovación y Desarrollo Tecnológico
Gerente de la dependencia María Isabel Quiroz Número de personas del Departamento de TI 35
Número de laptops instaladas 142 Número de desktops instaladas 80 Número de switches instalados 12
Número de servidores 31 Número de aplicaciones 23
Procesos críticos Gestión de Incidentes
Gestión de Centro de Servicios
96
Gestión de Configuraciones Gestión de Niveles de Servicio
Aplicaciones críticas
SISE Intranet
VECTOR Risk Control Service
Correo Exchange Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
3.1.1 GESTIÓN DE INCIDENTES
Este proceso resuelve cualquier incidente que cause una interrupción o degradación
en el servicio de manera rápida.
Actividades del proceso
1. Receptar la solicitud de incidencia
2. Analizar la incidencia
3. Emitir un diagnóstico de la incidencia
4. Resolver la incidencia
Aplicaciones que usa el proceso
· SISE
· Intranet
· VECTOR
· Risk Control Service
· Correo Exchange
Activos usados por el proceso
· Laptops
o ThinkPad T440s: Intel® Core™ i5 4300U 1,9 GHz, HDD 500 GB, RAM 4
GB.
o ThinkPad T430: Intel® Core™ i5 3320M 2,6 GHz, HDD 500 GB, RAM 4
GB.
97
· Desktop
o ThinkCentre M73z: Intel® Core™ i5 4570S 2,9 GHz, HDD 500 GB, RAM
8 GB.
· Datos
o Bases de datos
o Reportes
o Manuales de usuario de las aplicaciones desarrolladas
o Manuales de procedimientos
o Inventarios
o Formularios
o Acuerdos
o Información archivada
· Switches
o Switch Marca 3COM Modelo 4500G
o Switch Marca 3COM Modelo 5500G
o Switch Marca 3COM Modelo 2900G
o Switch Marca HP Modelo HPV1910
· Personal
o José Almeida, Arquitecto de Infraestructura
o Javier Chicaiza, Arquitecto de Servicios de Aplicación
o Gustavo Ortiz, Coordinador de Servicios de Infraestructura
o Juan Salcedo, Desarrollador de Servicios
o Isvel López, Jefe de Arquitectura
o María Isabel Quiroz, Gerente de Innovación y Tecnología
Medidas de defensa
Tabla 32. Estado de las Medidas de Defensa – P. Gestión de Incidentes
INFRAESTRUCTURA Defensa del perímetro Autenticación Gestión y control
Reglas y filtros de cortafuegos • Usuarios administrativos • Informes sobre incidentes y respuesta •
Antivirus • Usuarios internos •
98
Antivirus - Equipos de escritorio • Directrices de contraseñas • Antivirus - Servidores • Directrices de contraseñas-Cuenta
de administrador •
Sistema de detección de intrusiones (IDS) • Directrices de contraseñas-Cuenta
de usuario •
APLICACIONES Implementación y uso Diseño de aplicaciones
Aplicación y recuperación de datos • Autenticación • Fabricante de software independiente (ISV) • Autorización y control de acceso • Registro • Validación de datos de entrada •
OPERACIONES Entorno Directrices de
seguridad Copias de seguridad y recuperación Host de gestión • Clasificación de datos • Archivos de registro • Uso aceptable • Planificación de recuperación ante
desastres y reanudación de negocio •
Gestión de cuentas de usuarios • Copias de seguridad •
Dispositivos de copia de seguridad • Copias de seguridad y restauración •
PERSONAL Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento
Requisitos de seguridad • Comprobaciones del historial personal • Conocimiento de seguridad • Evaluaciones de seguridad • Directrices de recursos humanos • Relaciones con terceros •
SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar • Carencias severas •
Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
3.1.2 GESTIÓN DE CENTRO DE SERVICIO
Este proceso es el encargado de receptar y direccionar los requerimientos del cliente
interno hacia otros procesos de TI.
Actividades del proceso
1. Registrar la solicitud del cliente interno
2. Asignar la solicitud al gestor correspondiente
3. Atender la solicitud
99
Aplicaciones que usa el proceso
· SISE
· Intranet
· VECTOR
· Risk Control Service
· Correo Exchange
Activos usados por el proceso
· Laptops
o ThinkPad T440s: Intel® Core™ i5 4300U 1,9 GHz, HDD 500 GB, RAM 4
GB.
· Desktop
o ThinkCentre M73z: Intel® Core™ i5 4570S 2,9 GHz, HDD 500 GB, RAM
8 GB.
o ThinkCentre M71z: Intel® Core™ i5 2400S 2,5 GHz, HDD 500 GB, RAM
4 GB.
· Datos
o Bases de datos
o Reportes
o Manuales de usuario de las aplicaciones desarrolladas
o Manuales de procedimientos
o Inventarios
o Formularios
o Acuerdos
o Información archivada
· Switches
o Switch Marca 3COM Modelo 4500G
o Switch Marca 3COM Modelo 5500G
o Switch Marca 3COM Modelo 2900G
o Switch Marca HP Modelo HPV1910
100
· Personal
o Silverio Albuja, Gestor del Centro de Servicios
o José Almeida, Arquitecto de Infraestructura
o Javier Chicaiza, Arquitecto de Servicios de Aplicación
o Gustavo Ortiz, Coordinador de Servicios de Infraestructura
o Paulina Oviedo, Jefe de Servicios de Tecnología
o Juan Salcedo, Desarrollador de Servicios
o Andrea Bandera, Especialista de Proyectos
o María Isabel Quiroz, Gerente de Innovación y Tecnología
Medidas de defensa
Tabla 33. Estado de las Medidas de Defensa – P. Gestión de Centro de Servicio
INFRAESTRUCTURA Defensa del perímetro Autenticación Gestión y control
Reglas y filtros de cortafuegos • Usuarios administrativos • Seguridad física • Antivirus - Equipos de escritorio • Usuarios internos •
Antivirus - Servidores • APLICACIONES
Implementación y uso Diseño de aplicaciones Equilibrio de carga • Autenticación • Aplicación y recuperación de datos • Autorización y control de acceso • Fabricante de software independiente (ISV) • Registro • Validación de datos de entrada •
OPERACIONES Entorno Directrices de
seguridad Gestión de actualizaciones y
revisiones Copias de seguridad y
recuperación Host de gestión • Clasificación de
datos • Documentación de la red • Copias de seguridad • PERSONAL
Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento Requisitos de seguridad • Comprobaciones del historial personal • Conocimiento de seguridad • Evaluaciones de seguridad • Directrices de recursos humanos • Relaciones con terceros •
SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar • Carencias severas •
Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
101
3.1.3 GESTIÓN DE CONFIGURACIONES
Este proceso proporciona información precisa y fiable al resto de la organización de
todos los elementos que conforman la estructura de TI.
Actividades del proceso
1. Aviso de alta o baja de elementos de configuración
2. Recopilar información
3. Monitorear CMDB
4. Actualizar CMDB
5. Notificar la actualización vía correo electrónico
Aplicaciones que usa el proceso
· SISE
· Intranet
· VECTOR
· Risk Control Service
· Correo Exchange
Activos usados por el proceso
· Laptops
o ThinkPad X121e: AMD® Fusion E-240 1,5GHz, HDD 320 GB, RAM 8
GB.
· Desktop
o ThinkCentre M71z: Intel® Core™ i5 2400S 2,5 GHz, HDD 500 GB, RAM
4 GB.
· Datos
o Bases de datos
o Reportes
o Manuales de usuario de las aplicaciones desarrolladas
o Manuales de procedimientos
102
o Inventarios
o Formularios
o Acuerdos
o Información archivada
· Switches
o Switch Marca 3COM Modelo 4500G
o Switch Marca 3COM Modelo 5500G
o Switch Marca 3COM Modelo 2900G
o Switch Marca HP Modelo HPV1910
· Personal
o Silverio Albuja, Gestor del Centro de Servicios
o José Almeida, Arquitecto de Infraestructura
o Javier Chicaiza, Arquitecto de Servicios de Aplicación
o Gustavo Ortiz, Coordinador de Servicios de Infraestructura
o Paulina Oviedo, Jefe de Servicios de Tecnología
o Juan Salcedo, Desarrollador de Servicios
o Andrea Bandera, Especialista de Proyectos
o Isvel López, Jefe de Arquitectura
o Carina Muñoz, Gestor de Servicios TI
o María Isabel Quiroz, Gerente de Innovación y Tecnología
Medidas de defensa
Tabla 34. Estado de las Medidas de Defensa – P. Gestión de Configuraciones
INFRAESTRUCTURA Defensa del perímetro Autenticación Gestión y control
Reglas y filtros de cortafuegos • Usuarios administrativos • Informes sobre incidentes y respuesta •
Antivirus • Usuarios internos • Seguridad física • Antivirus - Equipos de escritorio • Usuarios de acceso remoto •
Antivirus - Servidores • Directrices de contraseñas •
Acceso remoto • Directrices de contraseñas-Cuenta de administrador •
Sistema de detección de intrusiones (IDS) • Directrices de contraseñas-
Cuenta de usuario •
Cuentas inactivas •
103
APLICACIONES Implementación y uso Diseño de aplicaciones Equilibrio de carga • Autenticación •
Aplicación y recuperación de datos • Directrices de contraseñas • Fabricante de software independiente (ISV) • Autorización y control de acceso •
Registro • Validación de datos de entrada •
Metodologías de desarrollo de seguridad de software •
OPERACIONES
Entorno Directrices de seguridad Gestión de
actualizaciones y revisiones
Copias de seguridad y recuperación
Host de gestión • Clasificación de datos • Documentación de la red • Archivos de registro •
Eliminación de datos • Flujo de datos de la aplicación •
Planificación de recuperación ante
desastres y reanudación de
negocio
•
Protocolos y servicios • Gestión de actualizaciones • Copias de seguridad •
Uso aceptable • Gestión de cambios y configuración • Dispositivos de copia
de seguridad •
Gestión de cuentas de
usuarios • Copias de seguridad y restauración •
Regulación •
Directrices de
seguridad •
PERSONAL Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento Requisitos de seguridad • Comprobaciones del historial
personal • Conocimiento de seguridad •
Evaluaciones de seguridad • Directrices de recursos humanos •
Relaciones con terceros •
SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar • Carencias severas •
Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
3.1.4 GESTIÓN DE NIVELES DE SERVICIO
Este proceso pone la tecnología al servicio de los clientes y vela por la calidad de los
servicios de tecnología alineados a los procesos del negocio.
104
Actividades del proceso
1. Implementación de mejora de servicios
2. Solicitar parametrización de un nuevo servicio
3. Actualizar catálogo de servicios
Aplicaciones que usa el proceso
· SISE
· Intranet
· VECTOR
· Risk Control Service
· Correo Exchange
Activos usados por el proceso
· Laptops
o ThinkPad T440s: Intel® Core™ i5 4300U 1,9 GHz, HDD 500 GB, RAM 4
GB.
o ThinkPad X121e: AMD® Fusion E-240 1,5GHz, HDD 320 GB, RAM 8
GB.
· Desktop
o ThinkCentre M73z: Intel® Core™ i5 4570S 2,9 GHz, HDD 500 GB, RAM
8 GB.
o ThinkCentre M71z: Intel® Core™ i5 2400S 2,5 GHz, HDD 500 GB, RAM
4 GB.
· Datos
o Bases de datos
o Reportes
o Manuales de usuario de las aplicaciones desarrolladas
o Manuales de procedimientos
o Inventarios
o Formularios
105
o Acuerdos
o Información archivada
· Switches
o Switch Marca 3COM Modelo 4500G
o Switch Marca 3COM Modelo 5500G
o Switch Marca 3COM Modelo 2900G
o Switch Marca HP Modelo HPV1910
· Personal
o Javier Chicaiza, Arquitecto de Servicios de Aplicación
o Gustavo Ortiz, Coordinador de Servicios de Infraestructura
o Juan Salcedo, Desarrollador de Servicios
o Carina Muñoz, Gestor de Servicios TI
o María Isabel Quiroz, Gerente de Innovación y Tecnología
Medidas de defensa
Tabla 35. Estado de las Medidas de Defensa – P. Gestión de Niveles de Servicio
INFRAESTRUCTURA Defensa del perímetro Autenticación Gestión y control
Reglas y filtros de cortafuegos • Usuarios administrativos • Seguridad física • Antivirus • Usuarios internos •
Usuarios de acceso remoto • APLICACIONES
Implementación y uso Diseño de aplicaciones Equilibrio de carga • Autenticación • Aplicación y recuperación de datos • Registro • Fabricante de software independiente (ISV) • Validación de datos de entrada •
OPERACIONES
Entorno Directrices de seguridad Gestión de
actualizaciones y revisiones
Copias de seguridad y recuperación
Host de gestión • Protocolos y servicios • Flujo de datos de la aplicación • Copias de seguridad •
Uso aceptable • PERSONAL
Requisitos y evaluaciones Directrices y procedimientos Formación y conocimiento Requisitos de seguridad • Comprobaciones del historial
personal • Conocimiento de seguridad • Evaluaciones de seguridad • Directrices de recursos humanos •
106
Relaciones con terceros •
SIMBOLOGÍA Cumple las mejores prácticas recomendadas • Necesita mejorar • Carencias severas •
Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
3.2 APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Los procesos críticos identificados tienen medidas de defensa que necesitan ser
mejoradas y en otros casos implementadas debido a sus carencias, en las Tablas 36
- 39 se indican las medidas de defensa y posteriormente las mejores prácticas
recomendadas para corregir dichas falencias.
Tabla 36. Medidas de Defensa de Gestión de Incidentes
GESTIÓN DE INCIDENTES
Me
did
as
de
de
fen
sa
Necesitan Mejorar
•
Infraestructura
Defensa del perímetro Reglas y filtros de cortafuegos Autenticación Usuarios internos
Gestión y control Informes sobre incidentes y
respuesta
Aplicaciones Diseño de aplicaciones Registro
Validación de datos de entrada
Operaciones Directrices de seguridad Gestión de cuentas de usuario Copias de seguridad y
recuperación Dispositivos de copia de seguridad
Carencias Severas
•
Infraestructura Defensa del perímetro Sistema de detección de
intrusiones
Aplicaciones
Implementación y uso Aplicación y recuperación de datos
Fabricante de Software independiente
Diseño de aplicaciones Autenticación
Autorización y Control de acceso
Operaciones
Entorno Host de gestión Directrices de seguridad Clasificación de datos
Copias de seguridad y recuperación
Archivos de registro
Planificación de recuperación ante desastres y reanudación de
negocio
Personal
Requisitos y evaluaciones Requisitos de seguridad
Evaluaciones de seguridad Directrices y
procedimientos Comprobaciones del historial
personal
Formación y conocimiento Conocimiento de seguridad Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Tabla 37. Medidas de Defensa de Gestión de Centro de Servicio
107
GESTIÓN DE CENTRO DE SERVICIO M
ed
ida
s d
e d
efe
nsa
Necesitan Mejorar
•
Infraestructura Defensa del perímetro Reglas y filtros de cortafuegos
Autenticación Usuarios internos
Gestión y control Seguridad Física
Aplicaciones Diseño de aplicaciones Registro
Validación de datos de entrada
Carencias Severas
•
Aplicaciones Implementación y uso
Equilibrio de carga Aplicación y recuperación de datos
Fabricante de software independiente (ISV)
Diseño de aplicaciones Autenticación
Autorización y control de acceso
Operaciones
Entorno Host de gestión Directrices de seguridad Clasificación de datos
Gestión de actualizaciones y
revisiones Documentación de la red
Personal
Requisitos y evaluaciones Requisitos de seguridad
Evaluaciones de seguridad Directrices y
procedimientos Comprobaciones del historial
personal Formación y conocimiento
Conocimiento de seguridad
Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Tabla 38. Medidas de Defensa de Gestión de Configuraciones
GESTIÓN DE CONFIGURACIONES
Me
did
as
de
de
fen
sa
Necesitan Mejorar
•
Infraestructura
Defensa del perímetro Reglas y filtros de cortafuegos Autenticación Usuarios internos
Gestión y control Informes sobre incidentes
Seguridad física
Aplicaciones Diseño de aplicaciones Registro
Validación de datos de entrada
Operaciones Directrices de seguridad Gestión de cuentas de usuarios Copias de seguridad y
recuperación Dispositivos de copia de
seguridad
Carencias Severas
•
Infraestructura Defensa del perímetro
Sistema de detección de intrusos (IDS)
Autenticación Usuarios de acceso remoto
Aplicaciones
Implementación y uso
Equilibrio de carga Aplicación y recuperación de
datos Fabricante de software
independiente (ISV)
Diseño de aplicaciones
Autenticación Directrices de contraseñas
Autorización y control de acceso Metodologías de desarrollo de
seguridad de software
108
Operaciones
Entorno
Host de gestión Host de gestión-Servidores
Host de gestión - Dispositivos de red
Directrices de seguridad Clasificación de datos Eliminación de datos
Protocolos y servicios
Gestión de actualizaciones y revisiones
Documentación de la red Flujo de datos de la aplicación
Gestión de actualizaciones
Copias de seguridad y recuperación
Archivos de registro Planificación de recuperación
ante desastres y reanudación de negocio
Personal
Requisitos y evaluaciones Requisitos de seguridad
Evaluaciones de seguridad
Directrices y procedimientos Comprobaciones del historial
personal Formación y conocimiento Conocimiento de seguridad
Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Tabla 39. Medidas de Defensa de Gestión de Niveles de Servicio
GESTIÓN DE NIVELES DE SERVICIO
Me
did
as
de
de
fen
sa
Necesitan Mejorar
•
Infraestructura Defensa del perímetro Reglas y filtros de cortafuegos
Autenticación Usuarios internos
Gestión y control Seguridad física
Aplicaciones Diseño de aplicaciones Registro
Validación de datos de entrada
Carencias Severas
•
Infraestructura Autenticación Usuarios de acceso remoto
Aplicaciones Implementación y uso
Equilibrio de carga
Aplicación y recuperación de datos
Fabricante de software independiente (ISV)
Diseño de aplicaciones Autenticación
Operaciones
Entorno Host de gestión Directrices de seguridad Protocolos y servicios
Gestión de actualizaciones y revisiones
Flujo de datos de la aplicación
Personal
Requisitos y evaluaciones Requisitos de seguridad
Evaluaciones de seguridad
Directrices y procedimientos Comprobaciones del historial
personal Formación y conocimiento Conocimiento de seguridad
Fuente: Herramienta MSAT
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
109
Una vez presentado el resumen de las falencias en las medidas de defensa de los
procesos críticos, se listan las mejores prácticas recomendadas para cada uno de los
factores que son: infraestructura, aplicaciones, datos y personal [26].
Infraestructura
· Defensa del perímetro
o Reglas y filtros de cortafuegos
§ Los firewalls se deben colocar en todo el perímetro de la red. Las
reglas implementadas en los firewalls deben ser muy restrictivas
y establecerse host a host y servicio a servicio.
§ Al crear reglas de firewall y listas de control de acceso (ACL por
sus siglas en inglés), se debe enfocar primero en la protección de
los dispositivos de control y de la red frente a ataques.
§ El firewall debe estar configurado con denegación
predeterminada, permitiendo únicamente el tráfico necesario.
o Sistema de detección de intrusos
§ Los sistemas de detección de intrusos basados en host y en red
deben implantarse para detectar y notificar cualquier ataque que
se produzca contra los sistemas corporativos.
· Autenticación
o Usuarios internos
§ Para las cuentas de usuario, se debe implementar una directriz
que requiera el uso de contraseñas complejas que cumplan los
siguientes criterios:
- Caracteres alfanuméricos
- Uso de mayúsculas y minúsculas
- Al menos un carácter especial
- Longitud mínima de 8 caracteres
§ Para limitar aún más el riesgo de un ataque a contraseñas, se
debe implementar los siguientes controles:
110
- Caducidad de contraseña
- Bloqueo de cuenta después de 3 intentos de inicio de
sesión erróneos
o Usuarios de acceso remoto
§ Implementar controles de contraseña complejos para todos los
usuarios de acceso remoto.
§ Implementar una fase adicional de autenticación para las cuentas
a las que se ha concedido acceso remoto.
§ Es importante proteger el entorno mediante el uso de prácticas de
gestión de cuentas seguras, buenas prácticas de registro y
capacidad de detección de intrusos.
· Gestión y control
o Informes sobre incidentes y respuestas
§ Establecer procedimientos para la creación de informes de
incidentes y sus respuestas, problemas o preocupaciones sobre
seguridad.
§ Designar un equipo de respuesta de emergencia que incluya
representantes de varias áreas, incluidas: tecnología, recursos
humanos y legal para responder a todos los incidentes y
problemas de seguridad.
§ Los Planes de Recuperación ante Desastres y de Continuidad del
Negocio deben estar bien documentados y actualizados para
asegurar la recuperación en un período de tiempo aceptable.
o Seguridad física
§ Establecer controles de acceso físico como protección contra
personas no autorizadas que acceden al edificio y a información
confidencial.
§ Evaluar todos los controles de acceso físico para garantizar que
son adecuados y que se cumplen.
§ Todos los equipos informáticos se deben proteger contra robos.
111
§ Los servidores y los equipos de red deben asegurarse en
ubicaciones cerradas con acceso controlado.
Aplicaciones
· Diseño de aplicaciones
o Registro
§ Activar archivos de registro en todas las aplicaciones del entorno.
Los datos de archivos de registro son importantes para los análisis
de incidentes, tendencias y auditorías.
§ La aplicación debe registrar los intentos de autenticación que tienen
éxito y los fallidos, además de los cambios de datos de la aplicación,
incluidas las cuentas de usuarios.
o Validación de datos de entrada
§ La aplicación puede permitir la entrada de datos en distintos puntos
a partir de fuentes externas, por ejemplo: usuarios, aplicaciones de
cliente o alimentación de datos. Comprobar que los datos de entrada
tengan una sintaxis y semántica correctas.
§ Comprobar si los datos cumplen con la longitud de cadenas y los
juegos de caracteres.
o Autenticación
§ La aplicación debe utilizar un mecanismo de autenticación
proporcional a las necesidades de seguridad de los datos o de su
funcionalidad.
§ Las aplicaciones que dependen de contraseñas deben requerir el
uso de contraseñas complejas.
§ Crear contraseñas de administradores más estrictas que las de las
cuentas normales.
o Autorización y Control de Acceso
§ Las aplicaciones deben utilizar mecanismos de autorización que
permitan sólo a los usuarios o clientes autorizados el acceso a datos
y funciones confidenciales.
112
§ Las aplicaciones deben mantener controles de acceso basados en
roles, tanto para la base de datos como para la interfaz de la
aplicación.
§ Registrar todos los intentos de acceso sin autorización adecuada.
o Directrices de contraseñas
§ Tener entre 8 y 14 caracteres e incluir caracteres alfanuméricos y
especiales.
§ Establecer una longitud mínima, un historial, un límite de duración y
una caducidad para reforzar la defensa.
§ Configurar la caducidad de las contraseñas de la siguiente manera:
- Duración máxima de 90 días
- Las cuentas nuevas deben cambiar la contraseña al inicio
de la sesión
§ Las contraseñas de administradores deben ser más estrictas que las
que se emplean para cuentas normales.
§ Activar una práctica de bloqueo de la cuenta después de 3 intentos
fallidos en todas las cuentas de usuario.
o Metodologías de desarrollo de software seguro
§ Establecer el uso de metodologías de desarrollo de software seguro
para aumentar la confidencialidad, integridad y disponibilidad de las
aplicaciones.
§ El personal de desarrollo debe recibir formación sobre la
metodología elegida de desarrollo de software seguro. Esto incluye
administradores de desarrollo, desarrolladores y personal de control
de calidad.
§ El uso de herramientas de prueba mejora la capacidad del equipo
para escribir código seguro.
· Implementación y uso
o Aplicación y recuperación de datos
§ Realizar copias de seguridad regularmente.
113
§ Probar el mecanismo de copias de seguridad y recuperación que
restaura la aplicación a un estado normal de operación.
o Fabricante de software independiente
§ Los fabricantes de software independiente (ISV por sus siglas en
inglés) deben ofrecer revisiones y actualizaciones periódicas, en las
que se explique su finalidad y las consecuencias derivadas de su
uso en términos de funcionalidad, configuración y seguridad.
§ Describir los mecanismos de seguridad de la aplicación y
proporcionar la documentación actualizada.
o Equilibrio de carga
§ Se debe utilizar equilibradores de carga de hardware en el primer
nivel de los servidores Web para obtener una mayor disponibilidad.
Operaciones
· Directrices de seguridad
o Gestión de cuentas de usuario
§ Crear una cuenta de usuario individual para el acceso a los recursos
de TI.
§ Los usuarios no deben compartir cuentas, las cuentas se crearán
con los privilegios necesarios.
§ Los administradores de las redes y los servidores deben tener una
cuenta con privilegios (administrativa) y otra sin privilegios.
§ A medida que cambia el personal, se debe revisar y modificar los
privilegios de la cuenta.
o Clasificación de datos
§ Definir un esquema de clasificación de datos corporativos.
§ Proporcionar a todo el personal una guía y un proceso de formación
adecuados acerca de la clasificación de datos.
§ Definir requisitos de manejo y protección útiles correspondientes a
los niveles de clasificación de datos.
114
o Eliminación de datos
§ Crear procedimientos formales para que los usuarios conozcan la
manera adecuada para eliminar información electrónica y en formato
impreso.
o Protocolos y servicios
§ Documentar las normas y las prácticas permitidas con respecto a los
protocolos y servicios admitidos por la empresa.
· Entorno
o Host de gestión
§ Cuando se utilizan paquetes de gestión, las estaciones de trabajo se
deben reforzar y proteger físicamente.
· Copias de seguridad y recuperación
o Dispositivos de copia de seguridad
§ Establecer directrices detalladas para administrar el
almacenamiento y la gestión de los dispositivos de copias de
seguridad. Estas directrices deben abordar temas como:
- Almacenamiento dentro de las instalaciones o fuera de
ellas
- Rotación de los dispositivos
- Controles de seguridad
- Controles de acceso para empleados
§ Los dispositivos extraíbles de copias de seguridad deben
almacenarse en armarios cerrados, a prueba de fuego, a los que
sólo tengan acceso los empleados autorizados.
§ El almacenamiento fuera de las instalaciones propicia la
recuperación adicional de datos en caso de producirse algún
desastre.
o Archivos de registro
§ Configurar para grabar las actividades planificadas sin sobrescribir
entradas.
115
§ Establecer un proceso automático de rotación de los archivos de
registro cada día, así como la descarga de los archivos a un servidor
seguro en la red de gestión.
§ Revisar periódicamente los archivos de registro para detectar
actividades sospechosas.
o Planificación de Recuperación ante Desastres y Continuidad del Negocio
§ Desarrollar, documentar, implementar y someter estos planes a
revisiones, pruebas y actualizaciones periódicas.
· Gestión de actualizaciones y revisiones
o Documentación de la red
§ Los diagramas actuales de las relaciones físicas y lógicas de las
redes internas y externas tienen que estar disponibles.
§ Actualizar los diagramas conforme se produzcan cambios en el
entorno.
o Flujo de datos de la aplicación
§ Los diagramas de la arquitectura de las aplicaciones deben mostrar
los principales componentes y los flujos de datos fundamentales del
entorno, además de los sistemas por los que pasa el tráfico de
información.
§ Actualizar los diagramas conforme surjan cambios en la aplicación
o el entorno donde se alberga la aplicación.
o Gestión de actualizaciones
§ Comprobar las actualizaciones y revisiones en un entorno de
laboratorio antes de su instalación definitiva.
§ Probar cada uno de los sistemas para detectar conflictos que
provoquen desinstalar la actualización.
Personal
· Requisitos y evaluaciones
o Requisitos de seguridad
116
§ Identificar al personal con experiencia en el tema de la seguridad
para incluirlos en todas las reuniones y decisiones relacionadas.
§ Los requisitos de seguridad, definidos por representantes
comerciales y técnicos, se deben documentar y publicar para que
el personal los pueda consultar y contrastar para diseños futuros.
o Evaluaciones de seguridad
§ Las evaluaciones por parte de terceros aportan una perspectiva
objetiva muy valiosa para las medidas de seguridad de una
empresa. Estas evaluaciones pueden resultar beneficiosas para
cumplir las normativas y los requisitos de los clientes, socios y
fabricantes.
· Directrices y procedimientos
o Comprobaciones del historial personal
§ Comprobar el historial personal para descubrir posibles
problemas, con objeto de reducir el riesgo al que se exponen la
empresa y los empleados.
§ El proceso de contratación de personal debe incluir una
evaluación del historial laboral y cualquier antecedente penal del
aspirante.
· Formación y conocimiento
o Conocimiento de seguridad
§ Comunicar las medidas de seguridad a los empleados para
contribuir a la seguridad global de la empresa.
§ Poner en práctica directrices para regular la utilización de los
recursos corporativos por parte de los empleados.
§ Proporcionar información actualizada y cursos para asegurar que
todos los empleados conozcan las prácticas y los riesgos más
recientes.
117
§ Realizar comprobaciones periódicas para asegurarse de que los
empleados han asimilado la información.
3.2.1 ESCENARIOS DE APLICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Después de realizar una evaluación de amenazas, de acuerdo a su valoración se
toman en cuenta las que tienen un impacto mayor sobre el Departamento de TI, de las
Tablas 40 - 46 se resumen los diferentes escenarios de aplicación con sus respectivos
indicadores como: amenaza, riesgo, perjuicio, control, responsable y el respectivo
procedimiento ante cada escenario [27].
Tabla 40. Escenario 1: Mal Funcionamiento de los Equipos
Amenaza Mal funcionamiento de los equipos Riesgo Daño en los activos de TI.
Escenario El mal funcionamiento de los equipos puede afectar seriamente al Departamento de TI ya que puede interrumpir en el desempeño de las actividades ya sea por fallas de configuración o un mal mantenimiento.
Perjuicio Perdida de información.
Control Implementar un cronograma de mantenimiento continuo para los equipos. Evaluaciones de desempeño constante a los equipos del Departamento de TI.
Responsable Departamento de TI.
Procedimiento
Para la descripción de este procedimiento serán tomados en cuenta los siguientes activos:
· Laptops
· Desktops
· Switches
· Servidores
1. Reportar el daño al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa el equipo y reporta el tipo y la gravedad del daño. 4. Verificar si el equipo cuenta con garantía.
a. Si tiene garantía se reporta el daño al proveedor del equipo donde éste determina si aplica o no la garantía.
i. Si aplica la garantía el proveedor se encarga de reparar el equipo.
ii. Si no aplica la garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional.
b. Si no tiene garantía el técnico del Departamento de TI puede reparar el equipo o el proveedor lo repara con un costo adicional.
5. En caso de que el tiempo de reparación del equipo sea extenso se procede al reemplazo del equipo, siempre y cuando sea posible hacerlo, caso contrario se recurre a la estrategia establecida.
118
En el paso 4 se menciona recurrir a la estrategia de “Acuerdos recíprocos con otras
organizaciones”, esta estrategia no es aplicable para el caso de los switches ya que
es factible reparar o sustituir el equipo de manera inmediata. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Tabla 41. Escenario 2: Fallas de Software
Amenaza Software sin licencias Riesgo Documentos digitales pueden ser dañados y no recuperados.
Escenario
Al momento de adquirir cualquier software sin una licencia se puede dar el caso de que un código malicioso pueda afectar el desempeño y configuración de los equipos. Se puede tener problemas de carácter legal debido a asuntos de propiedad intelectual y reglamentaciones del uso de software ilegal.
Perjuicio Filtro y pérdida de información importante. Daño irrecuperable en documentos importantes.
Control Verificación de la legalidad del software adquirido. Actualizaciones constantes de las licencias del software.
Responsable Departamento de TI
Procedimiento
1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado. 3. El técnico asignado revisa la falla y en caso de:
a. Sistema operativo i. Revisar la causa del problema ii. Si el daño es mayor, se deben obtener los respaldos necesarios y
formatear el equipo. iii. Instalar el sistema operativo, las aplicaciones y archivos respaldados. iv. Probar que el problema haya sido solucionado.
b. Software de ofimática y antivirus i. En caso de que las licencias no se hayan renovado se las debe adquirir
de manera inmediata. ii. Reinstalar el software. iii. Verificar su funcionamiento.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Tabla 42. Escenario 3: Fallas de las Aplicaciones
Amenaza Fallas de las aplicaciones Riesgo Mal manejo de información y mal uso de las aplicaciones.
Escenario El levantamiento de requerimientos de las aplicaciones que necesita la empresa puede que se encuentre mal definido por lo que ocasiona un mal funcionamiento o simplemente la aplicación no realiza la acción requerida.
Perjuicio Bajo desempeño en las labores del Departamento de TI.
Control Analizar los requerimientos para proceder al desarrollo de los aplicativos. En caso de haber fallas en las aplicaciones corregirlas de manera urgente.
Responsable Área de Desarrollo del Departamento de TI Amenaza Fallas de las aplicaciones.
Procedimiento 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico al problema reportado.
119
3. El técnico asignado revisa la falla y reporta el problema al encargado quien se encarga de resolver el problema.
a. Si fallan las aplicaciones en el servidor: i. Obtener respaldos para proceder a la depuración del
servidor. ii. Reparar el daño. iii. Instalar las aplicaciones en el servidor. iv. Configurar el servidor con los respaldos obtenidos.
b. Si fallan las aplicaciones en los equipos personales i. Detectar la causa del problema. ii. Solucionar la falla lo más pronto posible.
4. Hacer las pruebas para comprobar que el problema ha sido solventado.
Si el tiempo de reparación del servidor es demasiado se recurre a la estrategia establecida.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Tabla 43. Escenario 4: Fallas de los Servicios Contratados (ISP)
Amenaza Falla de los servicios contratados (ISP) Riesgo Información de fácil de acceso.
Escenario Al existir un mal servicio por parte del ISP se pueden tener problemas como conexiones remotas no seguras debido a un tráfico de información sensible sin protección, lo que ocasiona el acceso de usuarios no deseados en las redes internas de la empresa.
Perjuicio Filtro de información valiosa para la empresa. Intranet insegura.
Control Sistemas de detección de intrusos NIDS, HIDS. Firewall. DMZ.
Responsable Jefe de Infraestructura
Procedimiento
Esta falla se refiere a los servicios contratados con el ISP. 1. Reportar la falla al Departamento de TI. 2. Asignar un técnico para la revisión de la falla.
a. En caso de ser un fallo interno el técnico asignado soluciona el problema.
b. Si es una falla mayor, reporta al proveedor del servicio. i. Conectar los routers MiFi hasta que el problema sea
solucionado. 3. Restablecer el servicio.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
12
0
Ta
bla
44
. E
sce
na
rio
5:
Fa
llas
Hu
ma
nas
y O
rga
niz
ac
ion
ale
s
Am
en
aza
Hac
kin
g
Div
ulg
ac
ión
d
e
info
rma
ció
n
co
nfi
de
nc
ial
Te
rro
ris
mo
N
egli
ge
nc
ia e
n
el
ma
ne
jo d
e l
os
ac
tivo
s d
e T
I
Ma
l es
tad
o
de
la
s in
sta
lac
ion
es
Flu
jo d
e
pe
rso
na
l F
alt
a d
e
po
líti
cas
Fa
lta
de
g
es
tió
n d
e
se
gu
rid
ad
info
rmá
tica
Rie
sg
o
Info
rma
ció
n
clas
ifica
da
p
ue
de
ser
acc
esa
da
.
Docu
me
nto
s p
riva
do
s al
a
lcan
ce
de
tod
os
Acc
eso
a
cua
lqu
ier
áre
a
de
la
em
pre
sa
sin
nin
gun
a
rest
ricci
ón
.
La
s a
ctiv
idad
es
no
se
cu
mpl
en
satis
fact
oria
me
nt
e.
Dañ
o
en
lo
s e
qu
ipo
s.
Retr
aso
e
n la
s a
ctiv
ida
des
d
e
la
em
pre
sa.
Pé
rdid
as
eco
nóm
icas
. B
ajo
d
ese
mp
eño
.
Acc
eso
libre
a
la in
form
ació
n,
incu
mpl
imie
nt
o
en
los
pro
ceso
s.
Lo
s p
roce
sos
org
an
izac
ion
ale
s se
lle
van
a ca
bo
sin
co
ntr
ol
alg
uno
.
Flu
jo
de
info
rma
ció
n
de
g
ran
imp
ort
anc
ia
pa
ra
la
em
pre
sa.
Es
ce
na
rio
Un
hac
ker
pu
ed
e
filtr
ar
info
rma
ció
n
ing
resa
ndo
a la
in
tra
net
de
la
em
pre
sa
fáci
lmen
te
me
dia
nte
in
yecc
ión
de
cód
igo
m
alic
ioso
, a
taq
ues
a
los
serv
ido
res
y a
taq
ues
de
de
ne
gaci
ón
de
serv
icio
.
Lo
s e
mp
lea
dos
d
el
Dep
art
ame
nto
d
e
TI
y de
la
e
mp
resa
en
g
en
era
l tie
nen
la
fa
cilid
ad
de
co
me
nta
r cu
alq
uie
r tip
o d
e
act
ivid
ad
clas
ifica
da
a
terc
ero
s,
ya
qu
e n
o e
xist
en
con
tro
les
sob
re
est
e te
ma
.
El
pe
rson
al
inte
rno
d
e la
e
mp
resa
tie
ne
acce
so
sin
res
tric
ció
n a
cu
alq
uie
r á
rea
d
e la
e
mp
resa
a
l ig
ual
q
ue
cua
lqu
ier
visi
tant
e
ext
ern
o
ya
qu
e n
o e
xist
e u
n c
on
tro
l d
e se
gu
ridad
d
e la
s p
ers
ona
s q
ue
in
gre
san
a
las
inst
ala
cion
es.
Lo
s e
mpl
ead
os
no
h
an
re
cibi
do
un
a
corr
ecta
in
duc
ció
n
sob
re
el
uso
d
e
los
act
ivos
de
TI
po
r lo
q
ue
lo
s re
curs
os
son
util
izad
os
de
ma
ne
ra
inco
rre
cta
lo
qu
e p
ue
de
ca
usa
r p
rob
lem
as
en
cua
nto
a
ren
dim
ien
to
de
los
act
ivo
s.
Pu
ed
en
oca
sio
nar
da
ños
a
los
eq
uip
os
y le
sio
nes
d
e g
rave
da
d a
l p
ers
ona
l de
la
em
pre
sa.
Exi
ste
g
ran
fluid
ez
de
pe
rson
al
lo
qu
e
no
es
co
nve
nie
nte
p
ara
la
e
mp
resa
p
orq
ue
se
pu
ed
en
oca
sio
nar
pro
ble
mas
d
e d
ivu
lgac
ión
de
info
rma
ció
n.
El
pe
rso
nal
no
cum
ple
co
n su
s o
blig
aci
one
s d
eb
ido
a la
falta
d
e
polít
icas
y
pro
ced
imie
nto
s p
ara
e
l d
ese
mp
eño
d
e su
s a
ctiv
ida
des
.
El
pe
rso
nal
no
es
co
nsci
en
te
de
la
s b
ue
nas
p
ráct
icas
d
e se
gu
ridad
in
form
átic
a lo
q
ue
p
ued
e in
fluir
d
e m
an
era
p
erj
udi
cia
l p
ara
la
e
mp
resa
.
12
1
Am
en
aza
Hac
kin
g
Div
ulg
ac
ión
d
e
info
rma
ció
n
co
nfi
de
nc
ial
Te
rro
ris
mo
N
egli
ge
nc
ia e
n
el
ma
ne
jo d
e l
os
ac
tivo
s d
e T
I
Ma
l es
tad
o
de
la
s in
sta
lac
ion
es
Flu
jo d
e
pe
rso
na
l F
alt
a d
e
po
líti
cas
Fa
lta
de
g
es
tió
n d
e
se
gu
rid
ad
info
rmá
tica
Pe
rju
icio
Pé
rdid
a d
e in
form
aci
ón
Pé
rdid
a d
e p
osi
cio
nam
ien
to
e
n
el
me
rca
do
.
Filt
ro
de
info
rma
ció
n
clas
ifica
da
. P
érd
ida
de
po
sici
on
amie
nt
o
en
el
m
erc
ad
o.
Rob
os.
D
añ
os
a
las
inst
ala
cion
es.
Inst
alac
ión
de
soft
wa
re
ma
licio
so.
Fa
llas
técn
ica
s e
n lo
s eq
uip
os.
Dañ
o
de
lo
s e
qu
ipo
s.
Pé
rdid
a e
conó
mic
a.
Div
ulg
aci
ón
d
e
info
rma
ció
n
con
fide
ncia
l.
Pé
rdid
a
de
po
sici
on
amie
nt
o e
mp
resa
rial
.
Pé
rdid
a
de
info
rma
ció
n.
Co
ntr
ol
So
ftw
are
d
e e
ncr
ipta
ción
de
da
tos.
P
olít
icas
d
e co
ntr
ase
ña
s se
gu
ras.
M
an
ten
er
act
ualiz
ado
e
l so
ftw
are
de
los
serv
ido
res.
Con
tro
l de
m
ed
ios
ext
raíb
les.
A
cue
rdo
s de
co
nfid
enc
ialid
ad
.
Con
tro
l a
tra
vés
de
cám
ara
s d
e se
gu
ridad
. V
eri
fica
ció
n
de
id
entid
ad
de
lo
s vi
sita
nte
s e
xte
rno
s.
Acc
eso
co
n ta
rje
tas
ma
gné
tica
s d
e c
on
trol
.
Rest
ricci
ón
a
pá
gin
as
we
b
inse
gu
ras.
C
on
tro
les
de
inic
io d
e s
esi
ón
.
Con
tro
l d
e ca
lida
d d
e lo
s m
ate
riale
s in
mob
ilia
rios.
M
an
ten
imie
nt
o
pre
ven
tivo
pa
ra
las
inst
ala
cion
es
de
la
s e
stac
ion
es
de
tra
ba
jo.
Pro
cedi
mie
nto
s pa
ra e
l re
tiro
de
cl
ave
s d
el
pe
rson
al
salie
nte
. P
olít
icas
d
e co
ntr
ol
de
acc
eso
.
Cre
aci
ón
d
e p
olít
icas
pa
ra
un
m
ejo
r d
ese
mp
eño
d
e la
s a
ctiv
ida
des.
Im
ple
men
taci
ón
de
au
dito
rías
in
tern
as
pa
ra e
l co
ntr
ol
de
po
lític
as
y p
roce
dim
ient
os
.
Con
tra
taci
ón
de
un
Ofic
ial
de
Se
guri
dad
Info
rmá
tica
. R
eg
ula
cion
es
en
lo
s p
roce
sos
de
seg
urid
ad d
e la
in
form
aci
ón
. C
on
tro
l d
e a
cce
sos.
Res
po
nsa
ble
Je
fe
de
Infr
aes
truc
tura
D
ep
art
ame
nto
d
e T
I A
dm
inis
tra
ció
n
Dep
art
ame
nto
de
TI
Eq
uip
o d
e b
rig
adi
sta
s.
Dep
art
ame
nt
o d
e S
alu
d y
Se
gu
rida
d
Ocu
pac
iona
l.
Dep
art
ame
nto
d
e T
I.
Dep
art
ame
nto
d
e T
I.
Dep
art
ame
nt
o d
e T
I.
Pro
ce
dim
ien
to
Est
e t
ipo
de
fa
llas
hac
en
ref
ere
nci
a a
in
cid
ente
s p
rovo
cad
os
por
el
ho
mb
re,
po
r lo
qu
e e
s ne
cesa
rio
con
tar
con
un
Ofic
ial
de
Se
gu
rida
d In
form
átic
a, p
olít
ica
s.
En
cas
o d
e e
xist
ir u
n O
ficia
l de
Se
gu
rida
d.
1.
Rep
ort
ar
o a
ntic
ipa
r el
inci
de
nte
de
se
gu
ridad
info
rmá
tica
al O
ficia
l d
e S
egu
rid
ad.
12
2
Am
en
aza
Hac
kin
g
Div
ulg
ac
ión
d
e
info
rma
ció
n
co
nfi
de
nc
ial
Te
rro
ris
mo
N
egli
ge
nc
ia e
n
el
ma
ne
jo d
e l
os
ac
tivo
s d
e T
I
Ma
l es
tad
o
de
la
s in
sta
lac
ion
es
Flu
jo d
e
pe
rso
na
l F
alt
a d
e
po
líti
cas
Fa
lta
de
g
es
tió
n d
e
se
gu
rid
ad
info
rmá
tica
2
. E
l Ofic
ial d
e S
egu
rida
d a
na
liza
el c
aso
. 3
. D
efin
ir a
ccio
ne
s ta
nto
pre
ven
tiva
s co
mo
co
rrec
tivas
.
En
cas
o d
e n
o e
xist
ir u
n O
ficia
l de
Seg
urid
ad
.
1.
Ela
bo
raci
ón
de
l pe
rfil
pa
ra c
ont
rata
ció
n.
2.
Lla
ma
do
a p
ostu
laci
ón
de
l ca
rgo
. 3
. E
valu
aci
ón
y e
ntre
vist
a d
e lo
s p
ost
ula
nte
s.
4.
Notif
ica
ció
n d
e r
esul
tado
s.
5.
Con
tra
taci
ón.
6.
Asu
mir
res
po
nsab
ilid
ade
s.
7.
En
cas
o d
e f
alla
s:
a.
Rep
ort
ar
o a
ntic
ipa
r el
inc
ide
nte
de
seg
uri
dad
inf
orm
átic
a a
l O
ficia
l de
Se
gu
ridad
. b
. E
l Ofic
ial d
e S
egu
rida
d a
na
liza
el c
aso
. c.
D
efin
ir a
ccio
ne
s ta
nto
pre
ven
tiva
s co
mo
co
rrec
tivas
.
Pa
ra la
ela
bo
raci
ón d
e p
olít
icas
.
1.
Defin
ició
n d
el a
lcan
ce d
e la
pol
ític
a
2.
Cre
aci
ón
de
las
polít
icas
po
r pa
rte
del
Ofic
ial d
e S
eg
urid
ad.
3.
Revi
sió
n y
ap
roba
ció
n d
e la
s po
lític
as.
4.
Ap
lica
ció
n d
e la
s p
olít
ica
s a
trav
és
de
la s
ocia
liza
ció
n d
e la
mis
ma
con
el p
ers
ona
l.
Ela
bo
rad
o p
or:
Sa
nd
ra M
ilena
Na
zam
ués
Quen
gu
án y
Sa
ntia
go
Ale
jan
dro
Sa
ndo
val H
inoj
osa
123
Tabla 45. Escenario 6: Desastres Naturales
Amenaza
Terremotos Tormentas eléctricas
Inundaciones Incendios
Riesgo
Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño.
Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño.
Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño.
Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño.
Escenario
Dependiendo del grado del terremoto este puede afectar tanto al área de tecnología como la destrucción total de toda la empresa.
Se puede provocar cortos circuitos en las instalaciones, sobrecargas de energía, cortes de luz e incendios.
Debido a las fuertes lluvias se pueden dar fallas en los sistemas de drenaje por lo que pueden provocar inundaciones leves o graves en las instalaciones incluso se pueden generar cortos circuitos
Los incendios pueden causar daños parciales y totales a las instalaciones de la empresa incluyendo daños a los empleados.
Perjuicio
Daño irreparable de los equipos Pérdida de información Pérdida de talento humano.
Daño irreparable de los equipos. Pérdida de información.
Daño irreparable de los equipos. Pérdida de información. Pérdida de talento humano.
Daño irreparable de los equipos. Pérdida de información. Pérdida de talento humano. Pérdida económica.
Control
Simulacros constantes. Evacuación de las instalaciones.
Implementar UPS. Mantenimiento constante a la planta de respaldo. Simulacros.
Limpieza de los drenajes de agua. Mantenimiento constante de las instalaciones.
Extintores de polvo químico. Extintores de espuma.
Responsable Equipo de brigadistas.
Equipo de brigadistas.
Equipo de brigadistas. Personal operativo de limpieza.
Equipo de brigadistas.
Procedimiento
1. El equipo de brigadistas es el encargado de realizar las siguientes actividades: a. Reportar el desastre ante las autoridades competentes. (Bomberos) b. Iniciar el proceso de evacuación de las instalaciones. c. Controlar el desastre. d. Verificar que los empleados se encuentren en buenas condiciones. e. Revisar las instalaciones. f. Reportar al Departamento de TI sobre el estado de los equipos.
2. Los técnicos del Departamento de TI deberán: a. Revisar el estado de los equipos b. Reportar los daños c. Realizar las reparaciones de los equipos en caso de ser posible.
En caso de daño y pérdida total de los equipos se inicia la acción con la estrategia elegida. Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
124
Tabla 46. Escenario 7: Fallas Eléctricas
Amenaza Fallas eléctricas
Riesgo
Daño en los equipos. Retraso en las actividades de la empresa. Pérdidas económicas. Bajo desempeño.
Escenario Se pueden presentar variaciones en los voltajes provocando daños en los equipos y en las instalaciones de toda la empresa.
Perjuicio Daño de los equipos. Pérdida económica.
Control Mantenimiento de las instalaciones eléctricas. UPS para los servidores. Control de uso de energía eléctrica.
Responsable Oficial de Mantenimiento de la empresa. Equipo de brigadistas.
Procedimiento
El Departamento de TI cuenta con UPS, los cuales mantienen la energía mientras se activa el generador. En el caso de una falla de la red eléctrica de la Empresa Eléctrica Quito:
1. Verificar el estado del generador eléctrico a. El encargado de mantenimiento debe comprobar que se encuentre
el tanque cargado, lo que garantiza 8 horas de energía. b. Si al generador le hace falta combustible se lo debe llenar de
manera inmediata. 2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador
entre en operación. 3. El generador entra automáticamente en funcionamiento en 10 segundos a
partir del corte de energía.
En el caso de una falla eléctrica interna 1. Reportar la falla a un especialista eléctrico. 2. Los UPS tienen un respaldo de 15 minutos de energía hasta que el generador
entre en operación. 3. El generador entra automáticamente en funcionamiento en 10 segundos a
partir del corte de energía. 4. El especialista eléctrico verifica el origen de la falla. 5. Se procede a reparar la falla 6. Se realiza una revisión del funcionamiento de los equipos.
En el caso de una falla interna y no funcionan los UPS 1. Reportar la falla a un especialista eléctrico. 2. El generador entra automáticamente en funcionamiento en 10 segundos a
partir del corte de energía. 3. El especialista eléctrico verifica el origen de la falla y la repara. 4. El técnico del Departamento de TI revisa si algún equipo tuvo daños.
a. Si los equipos tienen alguna falla producida por el corte de energía se procede a la reparación o sustitución del mismo.
Si el daño producido a los equipos es grave y el tiempo de recuperación es extenso se procede a implementar la estrategia de recuperación elegida.
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
125
3.2.2 CRONOGRAMA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO
La Tabla 47 presenta un cronograma de desarrollo del Plan de Continuidad del
Negocio, donde se detallan las tareas, la duración y los responsables.
Tabla 47. Cronograma de Aplicación
TAREA DURACIÓN RESPONSABLE
Desarrollo del Plan de Continuidad del Negocio
160 horas
Inicio y Gestión del Proyecto 32 horas
Concientización 8 horas
Formación del Comité Responsable 8 horas Director de Talento Humano Gerente de Innovación y Desarrollo Tecnológico
Definición de recursos necesarios 8 horas Director Financiero Gerente de Innovación y Desarrollo Tecnológico
Revisión 8 horas Gerente General Gerente de Innovación y Desarrollo Tecnológico
Evaluación y Gestión de Riesgos 64 horas
Identificación de Amenazas 8 horas Equipo de Gestión de Riesgos
Identificación de la Vulnerabilidad 8 horas Equipo de Gestión de Riesgos
Determinación de la probabilidad 8 horas Equipo de Gestión de Riesgos
Análisis del impacto 8 horas Equipo de Gestión de Riesgos
Determinación del riesgo 8 horas Equipo de Gestión de Riesgos
Recomendaciones de control 8 horas Equipo de Gestión de Riesgos
Documentación de resultados 8 horas Equipo de Gestión de Riesgos
Revisión 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio
Análisis de Impacto del Negocio (BIA) 32 horas
Identificación de procesos críticos 8 horas Equipo de Gestión de Riesgos Responsable de cada proceso
Valoración de la criticidad de los procesos
8 horas Equipo de Gestión de Riesgos Responsable de cada proceso
Período máximo de interrupción 8 horas Equipo de Gestión de Riesgos Responsable de cada proceso
Revisión 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio
Desarrollo de estrategias para la Continuidad del Negocio
16 horas
126
TAREA DURACIÓN RESPONSABLE
Elección de la estrategia 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio
Revisión 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio
Respuestas ante emergencias 16 horas
Desarrollo de las respuestas para emergencias
8 horas
Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio Equipo de Gestión de Riesgos Equipo de Recuperación Equipo de Brigadistas Equipo de Apoyo
Revisión 8 horas Gerente de Innovación y Desarrollo Tecnológico Coordinador de Continuidad del Negocio
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
3.3 ANÁLISIS DE RESULTADOS
Una vez aplicado el Plan de Continuidad del Negocio se procede a aplicar las
respectivas pruebas, ejercicios y ensayos, para analizar los resultados de acuerdo al
factor tiempo, factor financiero y factor organizacional.
· Factor Tiempo
Tabla 48. Factor Tiempo
PARÁMETRO VALOR
Tiempo que el servicio pasa inactivo 60 minutos
Tiempo que toma en reportar el incidente 2 minutos
Tiempo de revisión de los equipos para determinar el problema 5 minutos
Tiempo que tarda el proveedor de los equipos en dar una solución al problema 40 minutos
Tiempo que tarda el técnico del Departamento de TI en dar una solución al problema 10 minutos
Tiempo necesario para conseguir un servidor de características similares al equipo
que presenta problemas 120 minutos
Tiempo necesario instalar y configurar las aplicaciones en el servidor 180 minutos
Tiempo necesario de instalación y configuración de los servicios y aplicaciones
críticas de TI 120 minutos
127
PARÁMETRO VALOR
Tiempo necesario para reiniciar un servidor e iniciar la aplicación 10 minutos
Tiempo necesario para la verificación de que el estado de los servicios sean óptimos
para los usuarios 10 minutos
Tiempo necesario para encender la planta de energía 0,17 minutos
Tiempo aproximado de imprevistos 30 minutos
Tiempo promedio de fallas 48.93 minutos
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Respecto al factor tiempo el parámetro que representa un mayor problema es el tiempo
que se necesita para instalar y configurar las aplicaciones en el servidor lo que implica
que restaurar las aplicaciones tomaría mínimo tres horas. Los tiempos necesarios para
conseguir un servidor de características similares, instalación y configuración de los
servicios y aplicaciones críticas de TI tomarían por lo menos dos horas. Los demás
parámetros son tiempos que dependen de terceros y son tiempos asequibles. El
tiempo promedio entre fallas es de 48.93 minutos, el cual es un tiempo aceptable.
· Factor Financiero
Tabla 49. Factor Financiero
PARÁMETRO VALOR
Costo de almacenamiento en la nube $ 100 anual
Costo de la adquisición de un servidor con características similares al servidor con
daño, en el caso de no tener garantía $ 850 anual
Costo de alquiler de equipos para acceder a los enlaces de red, en caso de no
tener equipos para la sustitución inmediata $ 2000 anual
Costo asesoría de un proveedor $ 600 anual
Costo de capacitación al personal $ 10000 anual
Costo de equipos para aplicar la estrategia de acuerdos recíprocos $ 2500 anual
Costo de equipos de internet móvil (MiFi) $ 3600 anual
Costo promedio de fallas $ 2807.14 anual
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
En el análisis de costos se detallan los valores de forma anual tomando en cuenta el
tiempo de uso de los equipos. El costo promedio de las fallas es de $2807.14 por año.
128
· Factor Organizacional
Dentro del factor organizacional se define el recurso humano que es necesario para la
aplicación del Plan de Continuidad del Negocio. El Departamento de TI cuenta con el
equipo de brigadistas que será el encargado de dar soporte a distintos casos como:
Ø Incendios
Ø Primeros auxilios
Ø Contingencia
Ø Evacuación
Los equipos de Gestión de Riesgos, Recuperación y Apoyo están conformados por
miembros del personal del Departamento de TI.
Se debe implementar un Sistema de Salud y Seguridad Ocupacional [28] con el fin de
tener un nivel de operación aceptable de las actividades dentro de la empresa y
prevenir los riesgos que puedan ser causados garantizando la integridad del personal
de la empresa. Para ello se requiere la colaboración del personal ya que debe ser
capacitado constantemente.
Para la implementación del Sistema de Salud y Seguridad Ocupacional se puede usar
la Norma OHSAS 18000 que puede ser aplicada a cualquier tipo de empresa ya que
ayuda a fomentar ambientes laborales seguros y saludables [29]. Con la aplicación de
este Sistema se garantiza una preparación y respuesta ante situaciones de
emergencia teniendo en cuenta los siguientes aspectos:
· Creación de una política de Salud y Seguridad Ocupacional
· Identificar riesgos de Salud y Seguridad Ocupacional
· Definir objetivos del Sistema
· Análisis, evaluación y mejora del Sistema
129
3.3.1 ACEPTACIÓN, COLABORACIÓN Y CUMPLIMIENTO DEL PLAN DE CONTINUIDAD DEL NEGOCIO
Con el objetivo de cuantificar los resultados, en la Tabla 50 se presenta una serie de
indicadores y el nivel de cumplimiento con su respectiva escala donde 10 es el valor
más alto y 1 el más bajo.
Tabla 50. Indicadores y Nivel de Cumplimiento del BPC
ACEPTACIÓN
Indicador Valor
1 2 3 4 5 6 7 8 9 10
Se ha realizado un análisis de la situación actual de la organización X
Se ha realizado el análisis de vulnerabilidades y riesgos X
Se ha desarrollado una Política de Continuidad X
Se han definido los roles y responsabilidades X
El personal ha recibido charlas sobre la Continuidad del Negocio X
Se ha realizado el análisis de impacto del negocio (BIA) X
Se han definido procedimientos de continuidad X
Se han definido estrategias de continuidad X
Se han definido las variables para monitoreo y medición X
Se ha elaborado una guía para aplicación del Plan de Continuidad X
COLABORACIÓN
Indicador Valor
1 2 3 4 5 6 7 8 9 10
Se ha socializado el Plan de Continuidad con los empleados X
Se ha conformado la Comisión de Continuidad X
Se ha conformado el Equipo de Gestión de Riesgos X
Se ha conformado el Equipo de Brigadistas X
Se ha conformado un Equipo de Apoyo X
Se ha conformado un equipo de Recuperación X
El personal ha colaborado en el desarrollo del Plan de Continuidad X
Los directivos se han involucrado en el proceso X
CUMPLIMIENTO DE LOS OBJETIVOS
Indicador Valor
1 2 3 4 5 6 7 8 9 10
Mantener el nivel operativo de las funciones de los procesos críticos del Departamento de TI.
X
Reducir la posibilidad de pérdida y divulgación de información sensible.
X
Proteger al personal, clientes y terceras partes en caso de que un evento inesperado cause daños.
X
130
Garantizar la protección de los activos de TI que son esenciales para el desarrollo de las actividades del Departamento de TI.
X
Garantizar y optimizar las acciones a realizar ante un desastre. X
Mantener la imagen corporativa del Departamento de TI. X Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
Al finalizar el análisis, se obtuvieron resultados aceptables los cuales garantizan la
continuidad de las actividades del Departamento de TI.
Tabla 51. Resultados que Garantizan la Continuidad de las Actividades
PARÁMETRO PORCENTAJE
Aceptación del Plan de Continuidad 100%
Colaboración en el desarrollo del Plan 100%
Cumplimiento de los objetivos 95%
Promedio 98.33%
Elaborado por: Sandra Milena Nazamués Quenguán y Santiago Alejandro Sandoval Hinojosa
El promedio de los resultados es 98.33%, valor que es aceptable ya que se han
conseguido alcanzar los objetivos del Plan de Continuidad en su mayor parte.
131
CAPÍTULO IV
CONCLUSIONES Y RECOMENDACIONES
Al finalizar el proyecto de titulación podemos indicar que el objetivo Desarrollar un Plan
de Continuidad del Negocio para el Departamento de TI para empresas, se ha
cumplido en un 100%, haciendo uso de un estándar internacional como es la Norma
ISO 22301:2012.
Del trabajo realizado se desprenden las siguientes conclusiones y recomendaciones.
4.1 CONCLUSIONES
· Por medio del análisis de la situación actual y el análisis FODA se pudo determinar
las fortalezas y debilidades tanto de la empresa como del Departamento de TI.
Adicionalmente, se pudo determinar que la empresa no cuenta con un Plan de
Continuidad de TI, por lo que fue necesario el desarrollo del Plan para garantizar la
Continuidad del Negocio.
· Se ha realizado el Plan de Continuidad del Negocio en base a la Norma ISO
22301:2012 debido a que la norma internacional proporciona una guía completa,
determinada por siete cláusulas las cuales se aplican a cualquier tipo de negocio
de acuerdo a las necesidades y objetivos del mismo.
· Se ha desarrollado el Plan de Continuidad aplicando una guía que provee los
procedimientos necesarios para dar una solución breve ante cualquier tipo de
incidente reduciendo el impacto sobre la organización, lo que implica una fuerte
inversión. Se debe tomar en cuenta que este tipo de inversión es necesario para
mantener un Gobierno de TI robusto, lo que genera una ventaja competitiva sobre
las organizaciones que carecen del Plan.
· Los objetivos de continuidad deben estar muy claros para determinar cuáles son
los factores críticos de éxito, ya que van de la mano para poder proporcionar las
estrategias de continuidad que son la base para consolidar un Plan de Continuidad
exitoso.
132
· Con el análisis de impacto del negocio (BIA) se puede obtener la criticidad de los
procesos a través de la ponderación que se realiza con los valores obtenidos del
impacto estratégico y el impacto financiero, lo que nos ayuda a determinar el orden
de importancia de los procesos evaluados.
4.2 RECOMENDACIONES
Se recomienda:
· Realizar una caracterización del entorno por medio del análisis PESTEL (Político,
Económico, Social, Tecnológico, Ecológico y Legal), con la finalidad de
complementar el análisis FODA.
· Usar la Norma ISO 22301:2012 para el desarrollo del Plan de Continuidad debido
a que es una Norma internacional que se ajusta a cualquier tipo de organización,
pero también se pueden usar otras normas tales como la BS 25999, ITIL v3, UNE
71599-1 y UNE 71599-2.
· Evaluar periódicamente el Plan de Continuidad a través de los ejercicios y ensayos
propuestos, con la finalidad de mantener actualizados todos los puntos del mismo
además que todos los miembros de la organización incluyendo a los altos
directivos, colaboren y participen activamente en la implementación y mejora
continua del Plan.
· Capacitar constantemente al personal del Departamento de TI con el objetivo que
cualquier miembro sea capaz de asumir un rol o responsabilidad en el caso de
rotación del personal lo que da opción a obtener una certificación de la Norma ISO
22301 con la finalidad de garantizar la mejora continua del Plan de Continuidad ya
que es un beneficio para la organización y sus miembros.
133
BIBLIOGRAFÍA [1] EQUIVIDA S.A., Datos Históricos de EQUIVIDA S.A., Quito, 2012.
[2] EQUIVIDA S.A., "Induccón Estratégica TTHH Para Tecnología," Quito, Ecuador,
2014.
[3] EQUIVIDA S.A., "Plan Estratégico," Quito, Ecuador, 2014.
[4] EQUIVIA S.A., "Catálogo de Productos," Quito, Ecuador, 2014.
[5] S. P. Robbins and M. Coulter, Administración, Décima Edición, México: Prentice
Hall, 2010.
[6] A. Cassidy, A Practical Guide to Information Systems Strategic Planning, Boca
Raton, Florida: Taylor & Francis Group, 2006.
[7] EQUIVIDA S.A., "Presentación Catálogo de Servicios TI," Quito, Ecuador, 2014.
[8] Tecnofor, Formación Oficial ITIL Fundamentos, Madrid: Tecnofor Ibérica, 2011.
[9] Instituto Ecuatoriano de Normalización, Tecnología de la Información - Técnicas
de Seguridad - Gestión del Riesgo en la Seguridad de la Información. Norma
Técnica Ecuatoriana NTE INEN-ISO/IEC 27005:2012, Quito, Ecuador: INEN,
2012.
[10] A. Servat, "Nuevo Estándar en Continuidad del Negocio ISO 22301:2012,"
Gestión, pp. 26-31, 2012.
[11] L. G. Rojas, "ISACA Costa Rica," 2013. [Online]. Available:
http://www.isacacr.org/archivos/Sistema%20Gestion%20Continuidad%20del%
20Negocio%20(ISO%2022301).pdf. [Accessed 30 Septiembre 2015].
[12] Caja Costarricense de Seguro Social, Manual para Elaborar un Plan de
Continuidad de la Gestión en Tecnologías de Información y Comunicaciones
134
TIC-ASC-CGN-0001, San José: Dirección de Tecnologías de Información y
Comunicaciones, 2007.
[13] J. Gaspar Martínez, El Plan de Continuidad de Negocio. Guía Práctica para su
Elaboración, Madrid: Díaz de Santos S.A., 2006.
[14] J. Botha and R. Von Solms, "A cyclic approach to business continuity planning,"
Information Management & Computer Security, vol. 12, no. 4, pp. 328-337, 2004.
[15] C. Castillo Galindo, "Escuela Bancaria de Guatemala," Octubre 2013. [Online].
Available: http://www.ebg.edu.gt/wp-
content/themes/ebg/pdf/corerif/presentacion_02.pdf. [Accessed 03 Noviembre
2015].
[16] M. Á. Mendoza, "We Live Security," 06 Noviembre 2014. [Online]. Available:
http://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/.
[Accessed 16 Noviembre 2015].
[17] M. Zdrojewski, "Default Reasoning," 10 Diciembre 2013. [Online]. Available:
http://defaultreasoning.com/2013/12/10/rpo-rto-wrt-mtdwth/. [Accessed 16
Noviembre 2015].
[18] R. Ferrer, "SISTESEG," [Online]. Available:
http://www.sisteseg.com/files/Microsoft_Word_-
_METODOLOGIA_PLAN_RECUPERACION_ANTE_DESASTRES_DRP.pdf.
[Accessed 21 Noviembre 2015].
[19] A. T. Velte, T. J. Velte and R. Elsenpeter, Cloud Computing: A Practical
Approach, McGraw-Hill, 2010.
[20] Ready, "Ready - Prepare, Plan, Stay Informed," Deparment of Homeland
Security, [Online]. Available:
135
http://www.ready.gov/business/implementation/continuity. [Accessed 16
Octubre 2015].
[21] L. del Pino Jiménez, Guía de Desarrollo de un Plan de Continuidad de Negocio,
Madrid: Escuela Universitaria de Informática, Universidad Politécnica de Madrid,
2007.
[22] M. Pitt and S. Goyal, "Business continuity planning as a facilities management
tool," Facilities, vol. 22, no. 3, pp. 87-99, 2012.
[23] Public Safety Canada, "Public Safety Canada," Goverment of Canada, 2015.
[Online]. Available: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/bsnss-cntnt-
plnnng/index-eng.aspx. [Accessed 15 Noviembre 2015].
[24] K. Lindros and E. Tittel, "CIO," 14 Noviembre 2013. [Online]. Available:
http://www.cio.com/article/2381021/best-practices/how-to-create-an-effective-
business-continuity-plan.html. [Accessed 2015 Octubre 2015].
[25] 27001 Academy, "Lista de documentación obligatoria para ISO 22301," 27001
Academy, Zagreb, 2014.
[26] Microsoft Security Assessment Tool, "Informe Completo EQUIVIDA S.A.," Quito,
Ecuador, 2015.
[27] J. Gaspar Martínez, Planes de Contingencia: la continuidad del negocio en las
organizaciones, Madrid: Díaz de Santos S.A., 2004.
[28] bsi, "bsi," 2015. [Online]. Available: http://www.bsigroup.com/es-ES/Seguridad-
y-Salud-en-el-Trabajo-OHSAS-18001/. [Accessed 14 Diciembre 2015].
[29] Calidad y Gestión, "Calidad y Gestión," 2010. [Online]. Available:
http://www.calidad-gestion.com.ar/boletin/50_ohsas_18000.html. [Accessed 14
Diciembre 2015].
136
[30] International Organization for Standarization, Norma ISO 22301:2012 Seguridad
de la Sociedad: Sistemas de Continuidad del Negocio - Requisitos, ISO, 2012.
137
ANEXOS
Anexo 1 - Plantilla BCP