Evaluación y auditoría de sistemas tecnológicos by Editorial Científica 3Ciencias

Evaluación y auditoría de sistemas tecnológicos: Estudios de casos resueltos

Leopoldo Venegas Loor Fredy Esparza Bernal Daniel Guerrón Benalcázar

Esta obra ha pasado satisfactoriamente la revisión por pares, cuya evaluación ha sido realizada por los siguientes expertos:

María J. Vilaplana Aparicio. PhD Student y Profesora Asociada en la Universidad de Alicante, Máster en Dirección Comercial y Ventas, Licenciada en Publicidad y Relaciones Públicas. Víctor Gisbert Soler. Doctor Ingeniero Industrial y Doctor of Business Administration Strategic Management, Diplomado en Investigación de Mercados, Máster en Gestión de Calidad y Medio Ambiente. Profesor en la Universidad Politécnica de Valencia. Premio Nacional Extraordinario en Investigación de mercados.

Editorial Área de Innovación y Desarrollo, S.L.

Quedan todos los derechos reservados. Esta publicación no puede ser reproducida, distribuida, comunicada públicamente o utilizada, total o parcialmente, sin previa autorización. ÁREA DE INNOVACIÓN Y DESARROLLO, S.L. © del texto: Los autores C/ Els Alzamora, 17 - 03802 - ALCOY (ALICANTE) info@3ciencias.com Primera edición: julio 2017 ISBN: 978-84-947208-3-3 DOI: http://dx.doi.org/10.17993/IngyTec.2017.20

ÍNDICE PRÓLOGO ......................................................................................... 1 Ejemplo práctico 1. NORMATIVA DE TECNOLOGÍA ITIL – ISO 20000. RELACION DE LA PELICULA APOLLO XIII CON EL ESTANDAR ITILv3 . 5 1.1.

INTRODUCCIÓN ................................................................ 5

1.2.

FUNDAMENTACIÓN DE ITIL .............................................. 6

1.3.

RESUMEN DE LA PELICULA APOLLO XIII ........................... 8

1.4. ANÁLISIS RELACIONAL DEL ESTANDAR ITIL V3 CON LA PELICULA APOLLO XIII................................................................. 14 1.5.

CONCLUSIONES .............................................................. 19

Ejemplo práctico 2. PLAN DE CONTINUIDAD DEL NEGOCIO BCP ... 21 2.1. INTRODUCCIÓN ................................................................... 21 2.2.

DEFINICIONES CLAVES .................................................... 21

2.3.

OBJETIVO ........................................................................ 22

2.4.

ALCANCE ......................................................................... 22

2.5. DEFINICIÓN DEL EQUIPO DE RECURSOS HUMANOS PARA EL TRABAJO DE AUDITORÍA ........................................................ 22 2.6.

EQUIPOS Y MATERIALES ................................................. 24

2.7.

RECURSOS FINANCIEROS................................................ 24

2.8.

PROGRAMA DETALLADO DE AUDITORÍA ....................... 26

2.9. PROCESOS CRÍTICOS DEL NEGOCIO..................................... 29 2.10. RIESGOS ............................................................................. 32 2.11.

CONTROLES EXISTENTES PARA LOS RIESGOS ............. 37

2.12.

OBJETIVOS DEL CUESTIONARIO DE CONTROL ........... 41

2.13.

CUESTIONARIO DE CONTROL ..................................... 42

2.14.

HALLAZGOS DE LA AUDITORÍA ................................... 47

2.15.

INFORME DE RESULTADOS ......................................... 52

2.16.

CONCLUSIONES DEL CASO ......................................... 56

Ejemplo práctico 3. COSO ERM ...................................................... 57 3.1.

DESCRIPCIÓN DEL CASO “CACSA ERM” .......................... 57

3.2.

ANÁLISIS SITUACIONAL DE “CACSA ERM” ...................... 58

3.3.

COSO ERM ...................................................................... 59

3.4.

COMPONENTES COSO ERM............................................ 61

3.5.

PROCEDIMIENTOS DE AUDITORIA A APLICAR ................ 65

3.5.1.

AMBIENTE DE CONTROL............................................. 65

3.6.

CONCLUSIONES .............................................................. 77

3.7.

RECOMENDACIONES ...................................................... 77

3.8.

ANEXOS .......................................................................... 79

Ejemplo práctico 4. SISTEMAS DE COMUNICACIONES. AUDITORÍA EN TELECOMUNICACIONES ............................................................ 95 4.1.

DESCRIPCIÓN DE LA EMPRESA ....................................... 95

4.2.

PLANIFICACIÓN DE LA AUDITORÍA ................................. 97

4.3.

OBJETIVO ........................................................................ 97

4.4.

ALCANCE ......................................................................... 97

4.5.

DEFINICIÓN DEL EQUIPO ................................................ 98

4.6.

IDENTIFICACIÓN DE RIESGOS ......................................... 98

4.7.

TOPOLOGÍA DE RED DE COMUNICACIONES................. 104

4.8.

LISTA DE VERIFICACIÓN ................................................ 105

4.9.

EJECUCIÓN DE LA AUDITORIA ...................................... 107

4.10.

INFORME DE HALLAZGOS ......................................... 110

4.11.

CONCLUSIONES ........................................................ 111

4.12.

RECOMENDACIONES ................................................ 112

4.13.

ANEXOS ........................................................................ 112

Ejemplo práctico 5. REGLAMENTO PARA EL USO DE HERRAMIENTAS TECNOLÓGICAS ................................................. 125 5.1.

INTRODUCCIÓN ............................................................ 125

5.2.

OBJETIVOS .................................................................... 127

5.3.

DEFINICIONES ............................................................... 127

5.4.

LINEAMIENTOS GENERALES ......................................... 130

5.5.

ORGANIZACIÓN DEL DOCUMENTO .............................. 131

5.6.

SERVICIOS ..................................................................... 131

5.7. NORMAS GENERALES SOBRE EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN ............. 132 5.8. NORMAS ESPECÍFICAS SOBRE EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN ............. 139 5.9. RIESGOS PARA LA EMPRESA DERIVADOS DEL MAL USO DE LAS HERRAMIENTAS TECNOLÓGICAS POR SUS EMPLEADOS 140 5.10.

PROTECCIÓN DE DATOS ........................................... 141

5.11.

DE LOS MENSAJES DE DATOS ................................... 142

5.12.

DEL CONTROL ........................................................... 144

5.13.

DE LAS SANCIONES ................................................... 146

6. REFERENCIAS BIBLIOGRÁFICAS ................................................ 149

PRÓLOGO La siguiente guía de ejercicios prácticos evaluación y auditoría de sistemas tecnológicos, pretende brindar al profesional en formación herramientas básicas de cómo realizar procesos de auditorías, conocer normativas de tecnologías como ITIL, COSO ERM, ISO 20000 entre otros. Hoy en día las organizaciones buscan alinear sus procesos a las tecnologías de la información y comunicación, y es vital conocer normativas y herramientas que puedan dar un sentido a dichos procesos, y darle un seguimiento para el correcto cumplimiento y funcionamiento, las organizaciones buscan proteger y categorizar su información que se ha vuelto un activo importante para las mismas. Este es un compendio de ejercicios propios desarrollados por un conjunto de profesionales expertos en procesos de Auditorías Informáticas aplicadas al sector público y privado, con vasta experiencia para asesorías y generación de servicios tecnológicos. Encontrarán con definiciones conceptuales básicas que les permitirán ir abordando y comprendiendo cada uno de los ejercicios propuestos y que se encuentran ya resueltos a manera de ejemplo. El primer ejercicio práctico abarca la normativa de Tecnología ITIL basada con el ejemplo de un estudio de caso APOLLO XIII cuyos objetivos son los siguientes: 

Por medio de la investigación del caso Apollo XIII, tendrás que aprender cómo usar los procesos ITIL en otros ambientes.



Entender la interdependencia de los procesos y del impacto de los procesos en la continuidad de los negocios.



Adquirir una mejor comprensión de los procesos de trabajo.



Aprender cómo cooperar y cómo perfeccionar los procesos de trabajo.



Adquirir mayor perspicacia sobre las posibles mejoras en su propio ambiente de trabajo.

El segundo ejercicio práctico trata los planes de continuidad del negocio BCP, dando a comprender a través del mismo que toda empresa debe contar con un plan "B" para sobreponerse ante cualquier emergencia y seguir funcionando a pesar de lo que suceda afuera o dentro de la organización, y acá te explicamos por qué, un BCP debe contemplar todas las medidas preventivas y de recuperación para cuando se produzca una contingencia que afecte al negocio. Es recomendable que todas las empresas, independiente de su tamaño y giro del negocio, cuenten con planes de contingencia para así contribuir a mitigar el impacto de la influenza en el desarrollo económico del país. El tercer ejercicio práctico se enfoca en la normativa COSO ERM, en donde el objetivo del mismo es dar a conocer que la administración de riesgos produce los siguientes beneficios:  Incremento en la capacidad para asumir apropiadamente los riesgos necesarios para ayudar a crear valor.  Brinda claridad en la toma de decisiones.  Genera confianza en las operaciones del negocio.  Mejora el seguimiento del desempeño.  Establece de procedimientos de gobierno consistentes.  Cuida la Reputación El cuarto ejercicio práctico aborda los procesos de auditorías en telecomunicaciones, en donde se quiere dar a entender que la misma es una evaluación del entorno de las Telecomunicaciones tanto a nivel global como a nivel empresarial. El propósito de una auditoria en telecomunicaciones es asegurar:     

Seguridad Cumplimiento de la política empresarial. Eficacia en cuanto al coste Efectividad del servicio El respaldo de las Telecomunicaciones al objetivo de la empresa. 2

El quinto y último ejercicio práctico comprende el tema de seguridad informática, específicamente una propuesta de reglamento para el uso de herramientas tecnológicas en donde es importante que toda persona que se desempeñe como; empleados administrativos, personal técnico y, prestador de servicio, entre otros, en una institución dentro de las instalaciones que lo conforman, y que cuenten con equipo de COMPUTO y TELECOMUNICACIONES como herramienta de trabajo, así como a invitados que pidan acceso a la red de voz y datos, sea de manera obligatoria la utilización y observancia del mismo, ya que está demostrado que:  Un trabajador pierde entre el 30 y el 40% de su tiempo de trabajo en funciones no relacionadas con su trabajo (Informe elaborado por la consultora IDC e Internet Security SistemsISS).  El 60% de las compras on-line, subastas y juegos de azar se efectúan desde el puesto de trabajo (WEBSENSE).  El 77% de los empleados de PYMES, usan redes sociales en horario de trabajo (Informe elaborado por PANDA Security). Esperamos que sea un apoyo significativo y que sepan aprovechar estos ejercicios prácticos que son el resultado de análisis, estudio y experiencias profesionales.

Los Autores

Ejemplo práctico 1. NORMATIVA DE TECNOLOGÍA ITIL – ISO 20000. RELACION DE LA PELICULA APOLLO XIII CON EL ESTANDAR ITILv3 “No hay mejor escuela que la vida…” sin embargo no siempre se la puede recrear, este ejercicio tiene como propósito introducirnos en un escenario imaginario, lo más cercano al que vivieron los astronautas en su misión, ambientándonos a condiciones donde el stress está presente y en el que podremos emplear ITIL como recurso clave. Más allá de familiarizarnos con los conceptos y aspectos teóricos nos conducirán identificar sus procesos, comprender de mejor manera su interrelación y a emplearlos, ésta es precisamente la relevancia del ejercicio, el vivir la experiencia provocará un reflexión respecto de la consistencia, utilidad y beneficio de llevarlo a la práctica en el ejercicio profesional. “Mejor aprende, quien lo hace”

1.1. INTRODUCCIÓN ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la informática para alcanzar sus objetivos de negocio. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. ITIL v3 eleva las TI (Tecnologías de Información) a un nivel estratégico. Sólo las organizaciones que hayan madurado en experiencia con la versión anterior serán capaces de afrontar la nueva. El presente trabajo trata de abordar y relacionar el núcleo de las 5 publicaciones de ITIL v3 que se puede encontrar inmersos en los diferentes procesos de la película Apollo XIII mediante un análisis crítico.

1.2. FUNDAMENTACIÓN DE ITIL

Definición.- La Biblioteca de Infraestructura de Tecnologías de Información, IT Infraestructure Library (ITIL), es la aproximación de Gestión del Servicio TI más ampliamente aceptada en el mundo [1]. ITIL es un marco de Buenas Prácticas que se ha elaborado por los sectores público y privado a nivel internacional. En él se describe cómo los recursos de TI deben ser organizados para ofrecer un valor empresarial documentando los procesos, funciones y roles del IT Service Management (ITSM).

Evolución de ITIL.- ITIL Versión 2 (V2) fue mejorado con un cambio de imagen a través de ITIL V3 (Versión 3). La versión 3 de ITIL representa un paso importantísimo que ha transformado la guía desde proporcionar un gran servicio a ser el más innovador y mejor en su clase. Al mismo tiempo, la integración entre la anterior y la nueva aproximación se consigue sin problemas ya que los usuarios no tienen que reinventar la rueda durante la actualización. La versión ITIL V3 permite a los usuarios construir sobre el éxito de la V2 y además llevar la gestión del servicio TI aún más adelante. La nueva edición, ITIL 2011, es una versión de actualización de la versión de ITIL V3, la primera actualización importante desde 2007, y aborda una amplia gama de cuestiones planteadas en el registro de control de cambios y resuelve los errores e incoherencias en el texto y diagramas a través de toda la suite. ITIL 2011 es una actualización, no una nueva versión.

ITIL v3.- La principal diferencia entre las versiones v2 y v3 de ITIL es que esta última versión basa su estructura sobre el concepto de Ciclo de Vida de los Servicios. El Ciclo de Vida del Servicio se compone de cinco fases que se retroalimentan entre ellas de una manera cíclica.  Los viejos conceptos de Provisión y Soporte al Servicio han sido transmutados en las cinco fases siguientes, que se retroalimentan entre ellas de una manera cíclica:  Estrategia del Servicio: cuyo propósito es definir qué servicios se prestarán, a qué clientes y en qué mercados. 6

 Diseño del Servicio: responsable de desarrollar nuevos servicios o modificar los ya existentes, asegurando que cumplen los requisitos de los clientes y se adecuan a la estrategia predefinida.  Transición del Servicio: encargada de la puesta en operación de los servicios previamente diseñados.  Operación del Servicio: responsables de todas las tareas operativas y de mantenimiento del servicio, incluida la atención al cliente.  Mejora Continua del Servicio: a partir de los datos y experiencia acumulados propone mecanismos de mejora del servicio. Sin embargo, ITIL v3 no sólo supone un cambio de perspectiva sino que propone una visión mucho más integral y conceptualmente detallada de todos los aspectos involucrados en la Gestión de los Servicios y sus procesos asociados [2]. Aunque ITIL v3 continúa orientada a procesos, la relación de éstos con las distintas fases del Ciclo de Vida no es tan rígida como lo era con el enfoque de Provisión y Soporte al Servicio de ITIL v2. ITIL v3 también introduce como elemento básico el concepto de «función», que puede ser brevemente definida como «una unidad especializada en la realización de una cierta actividad y que es la responsable de su resultado». Un ejemplo de función en el marco de ITIL v2 viene dado por el Centro de Servicios o Service Desk [3]. En el siguiente diagrama se muestran las fases del Ciclo de Vida con sus procesos y funciones más destacados:

Figura 1. Procesos y funciones del ciclo de vida ITIL. Elaborado por: Johnson, Brian. 2005.

1.3. RESUMEN DE LA PELICULA APOLLO XIII

Objetivo.- El propósito fundamental de esta misión espacial era llevar a la superficie lunar a tres seres humanos, que serían el quinto y sexto de la historia en lograr ese hito, alunizando en la región Fra Mauro, donde seguramente podrían obtener auténtico material lunar.

Equipo de trabajo.- La tripulación de Apolo 13 estaría integrada por James Lowell, de 42 años, veterano de 572 horas en el espacio en misiones anteriores; Thomas K. Mattingly, de 34 años, piloto del módulo de comando; y Fred W. Haise, de 36 años, piloto del módulo 8

lunar. También estaba la tripulación de reserva con John Young, de 39 años, comandante de misión; Jack L. Swigert de 38 años, piloto del módulo de mando, y Charles Duke Jr. de 34 años, piloto del módulo lunar. Charles Duke Jr., quien fuera el encargado de enlace (CAPCOM) con la histórica misión del Apolo 11, había contraído sarampión cinco días antes del lanzamiento del Apolo 13. Como los seis astronautas habían entrenado juntos los últimos tres meses, existía el riesgo de que el sarampión hubiera contagiado a otros miembros de la tripulación. Por ello tuvieron que someterse a análisis de sangre que demostraron que sólo era posible que Thomas K. Mattingly también estuviera infectado. Jack L. Swigert sustituyó en el vuelo a Mattingly. 1.3.1.

MISIÓN

Tras un intenso entrenamiento, Despegó el sábado 11 de abril de 1970 a las 13:13 horas. A los cinco minutos de vuelo, los astronautas notaron una vibración. El motor central de la segunda etapa se apagó dos minutos antes de lo programado lo que causó que los cuatro cohetes restantes tuvieran que seguir encendidos nueve segundos más que lo planeado para poner al Apolo 13 en órbita. Gene Kranz, el director de vuelo preguntó a Lovell si esto interfería gravemente la misión, la respuesta fue negativa. Pruebas en tierra antes del lanzamiento indicaron la posibilidad de un pobre aislamiento en el tanque de helio de la etapa de descenso del módulo lunar (un parámetro altamente crítico), así que el plan de vuelo se modificó con tres horas de anticipación para poder instalar sensores que proporcionaran lecturas adicionales en la presión. El tanque de oxígeno Nº 2, tenía que haber sido instalado tiempo atrás en el módulo de servicio del Apolo 10, pero fue quitado para una modificación y resultó dañado en el proceso de desmontaje. El tanque fue reparado y probado en fábrica y se instaló en el módulo de mando del Apolo 13, donde se probó nuevamente.

Durante las pruebas de conteo y demostración en el Centro Espacial Kennedy desde el 16 de marzo de 1970. De los dos tanques, el Nº 1 se comportaba tal y como se esperaba pero el Nº 2 tenía problemas para evaporar el oxígeno líquido con el que se realizaban las pruebas. Tras los informes y estudios correspondientes, se decidió calentar el interior del tanque 2 con una serie de resistencias eléctricas que ya existían en cada tanque para evaporar el oxígeno remanente. La técnica funcionó pero necesitaba 8 horas a 65 voltios de corriente continua para evaporar el oxígeno. Las operaciones necesarias para llevar a cabo las modificaciones de diseño dañaron severamente los elementos calefactores internos de dicho tanque. En el trayecto a la Luna y pasadas 55 h. y 46 min. de la misión, la tripulación terminó una transmisión de televisión en vivo que duró 49 minutos y que mostraba la comodidad con la que se podía vivir en el espacio. Nueve minutos después de haber terminado dicha transmisión, Swigert fue autorizado a agitar los tanques de oxígeno, entonces el tanque Nº 2 explotó causando que el tanque Nº 1 fallara. Las células de combustible que proporcionaban electricidad, agua, oxígeno y luz fallaron mientras los astronautas se encontraban a 320.000 km. de distancia de la Tierra (dos tercios del trayecto a la Luna). La explosión dejó al descubierto un lado del módulo de servicio y una estela de restos [4]. El astronauta John Swigert, después de observar una luz de advertencia acompañada de un estallido, fue quien exclamó la famosa frase "Houston, tenemos un problema". La hora: 21:08 del 13 de abril. 1.3.2.

PROBLEMAS

Una gran cantidad de luces de advertencia se encendieron en serie indicando la pérdida de dos de las tres fuentes generadoras de energía. Las lecturas de los instrumentos señalaban que un tanque de oxígeno estaba completamente vacío y que el segundo se estaba vaciando. Trece minutos después de la explosión, Lovell observó a través de la ventana de la escotilla que estaba escapando un gas al exterior de la nave, que resultó ser oxígeno, evidencia segura de una catástrofe. Gene Kranz en conjunto con los ingenieros de vuelo realizaron cálculos de energía y solicitaron a los astronautas pasar al módulo lunar.

Los astronautas tuvieron que utilizar el módulo lunar como bote salvavidas. Gene Kranz decidió abortar la misión en su objetivo y traer de vuelta a los tripulantes. El módulo lunar o LEM estaba diseñado para albergar a dos astronautas durante 45 h., pero se necesitaba albergar a tres durante 90 horas. El oxígeno no era un problema, ya que con el de los tanques del módulo lunar y el de los trajes que se tenían que haber utilizado en los paseos lunares sería más que suficiente, además del oxígeno de las botellas de emergencia para el amerizaje. El módulo de servicio aún seguía perdiendo energía y oxígeno remanente aunque pudo ser frenado casi estando vacío. La capacidad amperimétrica (energética) de la nave estaba en punto crítico y se tuvieron que apagar la mayoría de los sistemas de navegación. El verdadero problema era la energía. Las baterías del módulo lunar no tenían la suficiente capacidad como para proveer la energía requerida. Esa fue una de las tareas principales de los ingenieros para poder proveer de energía a ambas naves. Para ello se ahorró energía apagando todos los sistemas eléctricos que no fueran críticos, reduciendo el consumo a un quinto de lo normal e intentando que en el momento de la reentrada de los astronautas a la atmósfera terrestre conservaran como medida de seguridad un 20% de la energía total disponible. El agua era el otro problema importante, se estimaba que se quedarían sin agua cinco horas antes de la reentrada a la Tierra. Gracias a los datos obtenidos del Apolo 8 (cuyo módulo lunar no se envió a la Luna) se dedujo que los mecanismos podrían seguir funcionando en el espacio por un período adicional de 7 u 8 horas sin agua para su refrigeración, la cual pudo ser usada por la tripulación para su soporte vital, que racionaron 177 cc. diarios (un poco más de la mitad de capacidad de un biberón), además de jugos de frutas que llevaban. La tripulación se deshidrató y todos perdieron peso: Lovell adelgazó 7 kg y entre los tres perdieron un total de 16 kg., casi un 50% más que cualquier tripulación anterior. La eliminación del dióxido de carbono fue otro problema importante. Los recipientes que contienen hidróxido de litio, material químico que elimina el dióxido de carbono de la cabina, eran de forma cuadrada en 11

el módulo de comando y redonda (como un queso grande) en el módulo Lunar, de esta manera no se podían utilizar o intercambiar entre las naves (con el fin de evitar este problema en otras ocasiones, el sistema fue modificado después de esta misión). Teniendo en cuenta que el módulo lunar estaba diseñado para mantener dos personas por dos días y se le estaba requiriendo mantener con vida a tres personas durante cuatro días. Un día y medio después del incidente, las luces de advertencia del nivel de contaminación por CO2 avisaron que se estaba llegando a niveles peligrosos. 1.3.3.

IMPROVISACIÓN

Desde tierra los ingenieros en una reunión Brainstorm idearon y explicaron a los astronautas la forma de adaptar dichos recipientes con bolsas de plástico, cartones, cinta adhesiva y demás material que llevaban a bordo. Otro de los problemas críticos era el realizar un encendido de motores en un momento en el que la Luna se interponía entre la Tierra y la nave e impedía las transmisiones de radio. Dicho encendido de motores era necesario para que la nave aumentara su velocidad, saliera de órbita lunar y enfilara una trayectoria con la suficiente velocidad hacia la Tierra. Normalmente dicha labor la realiza el módulo de comando cuando ya los astronautas han regresado de su exploración en la superficie lunar. Esta labor era un punto de suma importancia y tenía que ser realizada con extrema exactitud, cualquier fallo provocaría que los tripulantes perdieran la trayectoria correcta y nunca regresarían a la Tierra. 1.3.4.

ACTITUD

Por un momento la desazón cundió en el centro de dirección y el director Gene Kranz reunió a su equipo y pronunció su famosa frase: “El fracaso no es una opción-, traeremos a esos hombres sanos y salvos”. Para suerte de todos, el astronauta Ken Mattingly, que había sido descartado de la misión acudió a los simuladores del centro espacial y después de varias pruebas de ensayo y error logró obtener energía adicional para la etapa de reingreso.

El viaje fue muy incómodo en conjunto por la falta de agua y alimentos. La temperatura bajó hasta los 3 °C debido al apagado de los sistemas eléctricos, ya que la nave perdió una importante fuente de calor y se formó condensación en todo el interior de la nave. Esto hacía que el dormir fuera prácticamente imposible. Uno de los mayores logros del Centro de Control de la Misión, fue el rápido desarrollo de procedimientos para re-energizar el módulo de comando después de haber estado desactivado a temperaturas muy bajas y reaccionar favorablemente. Los controladores de vuelo normalmente documentan toda la información en tres meses, pero en esta ocasión lo hicieron en tres días, gracias a los esfuerzos de Ken Mattingly. Las paredes, piso, techo, instrumentos, arneses, cables, paneles de instrumentos (por la parte trasera también), prácticamente todo el interior, estaba cubierto con gotas semi-congeladas de agua. De esta manera cabía la posibilidad de un cortocircuito al momento de energizar la nave, pero no sucedió gracias a las medidas de seguridad que fueron implementadas tras el incendio del Apolo 1 en enero de 1967. Las gotas de agua, al ir desacelerando en la atmósfera, caían e hicieron sentir algo único a los astronautas... el que "lloviera" dentro del módulo de comando. 1.3.5.

UN FRACASO EXITOSO

Faltando cuatro horas para el aterrizaje, la tripulación abandonó el módulo lunar; el centro de control insistió en no hacerlo hasta ese momento ante el temor de que existiera algún daño causado por el intenso frío al no estar protegido por sus paneles calefactores. Al separarse la cápsula de reingreso del módulo de comando y todavía acoplada la cápsula al módulo lunar, se pudo apreciar y fotografiar en el módulo de comando. En el lugar donde debería estar el panel faltante y la zona dañada por la explosión se mostraban gravemente afectados. Entonces cundió el pánico entre los controladores especulando sobre la integridad del escudo de protección térmica del Módulo de comando, pero era un riesgo que había que correr. Tres horas más tarde, la tripulación aterrizó perfectamente en el Océano Pacífico cerca de Samoa, el 17 de abril de 1970 para júbilo del centro espacial y para el mundo.

1.4. ANÁLISIS RELACIONAL DEL ESTANDAR ITIL V3 CON LA PELICULA APOLLO XIII La película Apollo XIII, nos muestra la planificación de un proyecto que involucra procesos, procedimientos, recursos humanos, recursos tecnológicos, servicios, toma de decisiones, etc., y permite analizar, relacionar e integrar con las cinco publicaciones del estándar ITIL v3 como son: Estrategia del Servicio, Diseño del Servicio, Transición del Servicio, Operación del Servicio, Mejora Continua del Servicio. En la siguiente tabla se describe el análisis relacional entre ITIL v3 y la película Apollo XIII: Tabla 1. Relación y análisis de ITIL v3 con APOLLO XIII.

PUBLICACIONES ITILv3 Estrategia servicio

PELICULA APOLLO XIII

de El objetivo del Apolo XIII fue que un hombre se desembarque en la luna y regrese de forma segura a la tierra, para lograr esta meta se realizó una planificación y se definió estrategias que den valor al proyecto, tales como: • Tener un objetivo claro y conciso. • Escoger los mejores tripulantes. • Tener un buen equipo de soporte. • Tener el mejor equipamiento y Tecnología. • Entrenamiento intensivo. 14

ANALISIS

Según ITIL para conseguir este objetivo es imprescindible determinar en primera instancia qué servicios deben ser prestados y por qué han de ser prestados desde la perspectiva del usuario. En la película se muestra justamente la definición de estrategias para lograr la seguridad para los tripulantes, la confianza de un país, la potenciación de la relación costo beneficio al cumplir

Diseño Servicio

• Preparación para lo inesperado. • Actitud positiva, nunca rendirse. • Preparado para improvisar. • Tomar riesgos. • Encontrar éxito aun en la falla. de Apolo XIII, evidencia una completa organización para ejecutar el evento, tales como: • Diseño y construcción de la infraestructura física de la base de propulsión de la nave. • Diseño y fabricación de la nave. • Diseño de fabricación de los trajes de seguridad de los tripulantes. • Diseño de los catálogos de servicios con toda la información relevante de la nave y sus instrumentos tecnológicos. • Establecimiento de políticas y normas en la conducción, y comportamiento en la nave.

con la meta, entre otras.

En la película se puede evidenciar el diseño de los diferentes servicios mediante la aplicación de las estrategias establecidas en la fase anterior, como por ejemplo: ¿Por qué la nave fue diseñada para 3 tripulantes y no para más o menos? ¿Por qué despego a las 13h13 y no en la noche? ¿Por qué no pasó nada cuando los tripulantes desconectaron sus trajes? Las respuestas reflejan el diseño de los servicios), (Gestión de catálogos de servicio, Gestión de Disponibilidad, Gestión de la

Transición servicio

Operación servicio

Capacidad, Gestión de la continuidad de los servicios). La misión de la fase de Transición del Servicio es hacer que los productos y servicios definidos en la fase de Diseño del Servicio se integren en el entorno de producción y sean accesibles a los clientes y usuarios autorizados. En este caso de Apolo XIII, el entrenamiento de los tripulantes principales y alternos para el nuevo evento fue trascendental, así como las pruebas que se hicieron en los equipos de simulación antes y durante el evento.

del Apolo XIII fue precedido por Apolo XI y XII que trajeron muestras de mares lunares, pero en esta vez descendería en un terreno elevado, la región del cráter Fra Mauro, donde seguramente podrían obtener auténtico material lunar. Por tal razón, implicaba un cambio en todo el proyecto, donde los astronautas del Apolo fueron entrenados constantemente hasta el último momento antes del lanzamiento. Un equipo de respaldo se entrenó a la par de ellos, en caso que algún miembro del equipo original no estuviese disponible. Se realizaron todas las pruebas necesarias para asegurar la adecuación del nuevo proyecto a los requisitos predefinidos. de Todo era tranquilidad La fase de Operación en el equipo hasta que del Servicio de ITIL una luz roja del panel es, sin duda, la más 16

se enciende; La luz roja se acompaña pocos segundos después de un sonido de alarma, aquella anhelada paz había terminado en la nave espacial, la misión del Apolo XIII, tenía un problema, o acaso ¿era un incidente? En el Apolo XIII la preparación para lo inesperado fue parte crucial del programa. Ellos sabían que explorarían territorio desconocido por lo tanto tuvieron que preparar contingencias para situaciones que se presentarían. Tanto los tripulantes como el Centro de Control de la Misión estuvieron con actitud positiva y lo más importante las armas para lograr el objetivo que en ese momento era traer a tierra a los tripulantes con vida. Cómo determinar cuándo nos enfrentamos a un problema o un incidente, desde la perspectiva de ITIL son dos cosas diferentes, por un lado, el incidente nos 17

crítica entre todas. La percepción que los clientes y usuarios tengan de la calidad de los servicios prestados depende en última instancia de una correcta organización y coordinación de todos los agentes involucrados. Imaginemos al inicio de los sucesos del Apolo XIII, a partir de una alerta que hace presumir una situación inusual, indica a los tripulantes sobre un incidente, puede ser que sea corregida en el momento por los miembros de la nave, pero, y si no puede ser corregida y lo que antes era una advertencia le está causando inestabilidad, fugas de combustible y atenta con peligrar el regreso a la Tierra, entonces... ¡Houston tenemos un problema!; en este caso, el incidente se transformó en un problema.

evidencia una alteración del flujo normal de eventos a partir de una excepción, mientras por el otro lado tenemos una reiteración de eventos, situaciones o incidentes que afectan directamente a la organización. Un incidente podría convertirse en un problema si la condición persiste, pero ¿podríamos acaso tener un problema que no haya sido antecedido por un incidente?, la respuesta es sí. Mejoramiento Cuando el desastre continuo del ocurrió la tripulación servicio del Apolo XIII y la misión entera nunca se permitieron considerar la posibilidad que la tripulación no iba a regresar a salvo. Cuando suceda una falla o desastre en un proyecto y no hayan en juego vidas humanas, los principios deben mantenerse intactos, de lo contrario cambian. Cuando un desastre golpea un proyecto y 18

Sólo se puede alcanzar mediante la continua monitorización y medición de todas las actividades y procesos involucrados en la prestación de los servicios TI. Durante el evento del Apolo XIII, desde el Centro de Control de la Misión hubo recomendaciones para mejorar todos los procesos y actividades

uno ha estimado y procedimentado que este suceso debe y puede suceder, se debe encontrar la forma de resolverlo. Se fueron realizando cambios para mejorar la situación de cada proceso con el fin lograr que lleguen los tripulantes con vida. Después de una intensa investigación, el comité que se formó para ello, identificó la causa de la explosión.

involucrados en la gestión y prestación de los servicios TI en la nave, tales como: - Monitorización y análisis. - Soporte a la fase de estrategia y diseño para la definición de nuevos servicios y procesos/ actividades asociados a los mismos.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

1.5. CONCLUSIONES  Los esfuerzos y la actitud de un grupo de personas para devolver a los astronautas sanos y salvos a la tierra, tratando solucionar problemas en cada situación que se daba en la nave y en Centro de Control de la Misión, y es la mejor lección aprendida de trabajo en equipo que nos muestra esta película en lo que respecta a la gestión de problemas en un proyecto.  Haciendo relación de las buenas prácticas de ITIL con la película Apollo XIII, se puede decir que debemos estar mejor preparados en el manejo de la infraestructura de TI de una organización, para lograr las metas establecidas y llegar con vida a tierra, caso contrario no vamos a saber qué es lo que nos pasó, o como llegamos al último rincón del Sistema Solar que es en donde se hubiese estacionado Apollo XIII.  ITIL se convierte en una buena práctica o guía para el desarrollo e implantación de estrategias y soluciones de gestión de problemas y de incidentes, entre otras cosas, 19

viendo cada una de estas como áreas diferentes que en algún momento pueden relacionarse. La Administración de Incidentes es la restauración la operación normal del servicio de la forma más rápida posible minimizando el impacto negativo en el negocio o la operación, asegurando de la mejor forma posible los niveles de calidad y disponibilidad definidos en los acuerdos de nivel de servicio (SLA).  Se puede decir también que la Administración de Problemas implica minimizar el impacto adverso de los incidentes y problemas que son causados por errores en la infraestructura de TI, así como la prevención de la recurrencia de incidentes relacionados con estos errores, buscando la causa de los incidentes e iniciando acciones para la corrección de la situación.

Ejemplo práctico 2. PLAN DE CONTINUIDAD DEL NEGOCIO BCP Este ejercicio a la vez constituye una guía metodológica porque a mientras procura concientizar en la importancia de formular un BCP en las organizaciones, nos permite estructurar y organizar el trabajo, documentarlo, evidenciando en papeles de trabajo lo identificado, facilita la reflexión sobre los puntos críticos y la formulación de cuestionamientos para visibilizar en la organización la situación, ponderar el impacto y sensibilizarlos sobre las acciones a tomar.

2.1. INTRODUCCIÓN La auditoría es un medio de información que nos permite conocer el control interno de una Compañía, este control se lo realiza por medio de una evaluación del negocio, utilizando técnicas de auditoría que nos van a permitir determinar el riesgo del negocio. Esto le permite al auditor realizar un informe final con observaciones y recomendaciones de los procesos analizados.

2.2. DEFINICIONES CLAVE Control Interno: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los eventos indeseables serán prevenidos o detectados y corregidos. Objetivo de control: Una declaración del resultado o propósito que se desea alcanzar al implementar procedimientos de control en un proceso en un proceso en particular. Programa: Una agrupación estructurada de proyectos independientes que incluye el alcance completo del negocio, del proceso, de las personas, de la tecnología y las actividades organizacionales que se requieren (tanto necesarios como suficientes) para lograr un resultado de negocios claramente especificado.

Riesgo: El potencial de que una amenaza específica explote las debilidades de un activo o grupo de activos para ocasionar pérdida y/o daño a los activos. Por lo general se mide por medio de una combinación del impacto y la probabilidad de ocurrencia.

2.3. OBJETIVO Realizar un diagnóstico del Plan de Continuidad del Negocio de la Compañía XYZ mediante el uso de herramientas de auditoría, para identificar vulnerabilidades existentes en el plan, con el fin de emitir las respectivas recomendaciones al respecto.

2.4. ALCANCE La presente auditoría consistirá en realizar una evaluación del Plan de Continuidad del Negocio de la Compañía XYZ mediante la utilización de matrices de riesgos y la evaluación de la madurez del negocio, además de evaluará el conocimiento de los funcionarios sobre el Plan de Continuidad del Negocio en la Organización.

2.5. DEFINICIÓN DEL EQUIPO DE RECURSOS HUMANOS PARA EL TRABAJO DE AUDITORÍA Para la ejecución del trabajo de campo de auditoría se considerará un tiempo estimado de días laborables, conforme a la distribución de actividades que constan en la presente tabla: Tabla 2. Equipo de trabajo, asignación de responsabilidades y tiempos.

NOMBRES Y APELLIDOS Ing. ABC  Especialista en Auditoría  Financiera y de Gestión  

ACTIVIDADES O TIEMPO COMPONENETES ASIGNADO ASIGNADOS Evaluación de control 3 días. interno. Planificación de trabajo de auditoría. Revisión de papeles de trabajo. Elaboración de borrador de informe. 22

Ing. DEF Ing. GHI Especialistas en la evaluación de Planes de Continuidad del Negocio

Ing. JKL Ing. MNO Especialistas en la evaluación de Sistemas de Información

Ing. PQR Especialista en la evaluación de pruebas

 Comunicación de resultado.  Planificación de 3 días. trabajo de auditoría.  Evaluación del Plan de Continuidad del Negocio.  Elaboración de informe, identificación de control y evaluación del riesgo.  Evaluación de 3 días. sistemas de informáticos.  Evaluación del control interno y riesgos.  Elaboración de informe, síntesis y memorando de antecedentes.  Evaluación de pruebas 3 días. de control sustantivas y de cumplimiento.  Evaluación de cuestionarios de control.  Elaboración de informe, síntesis y memorando de antecedentes.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

2.6. EQUIPOS Y MATERIALES Conforme a lo establecido en la reunión mantenida con los altos directivos de la Compañía XYZ, se proporcionará una oficina adecuada para el trabajo de auditoría con el fin de realizar una buena labor. Lo oficina estará constituida por: Muebles de Oficina       

5 Escritorios 3 Archivadores aéreos 1 Impresora 5 Cajas de Cartón 5 Sillas Suministros de Oficina entre otros 1 Línea telefónica

Instalaciones La presente auditoría se llevará a cabo en las instalaciones de la Compañía XYZ, que está ubicada en la calle Fernando Zambrano (Oficinas Administrativas). Equipos de Computación Los Equipos de Computación serán personales y no formarán parte de los materiales pedidos por el Equipo de Auditoría.

2.7. RECURSOS FINANCIEROS Financiamiento y Principales Rubros de Gastos El Pago de los Honorarios Profesionales se realizará por parte de la Compañía de Auditores Independientes Muchos Riesgos Cía. Ltda., a través de lo acordado en el contrato celebrado con la Compañía XYZ en el que establece lo siguiente en el presente contrato: SEPTIMA.- HONORARIOS PARA LA AUDITORIA.- Los honorarios de la Compañía de Auditores Independientes Muchos Riesgos Cía. Ltda., por los servicios de auditoría se establecen en USD $10.000,00 y serán 24

facturados y pagados de la siguiente manera: 25% a la aprobación de la propuesta, 25% al inicio del trabajo preliminar, 25% después de la entrega de los informes borradores, y el 25% restante a la entrega del informe final. Adicionalmente el “CONTRATANTE” rembolsará al “CONTRATADO” el monto de los gastos incurridos por su cuenta, originados en el traslado de personal, traducción de informes y otros gastos menores relacionados con la auditoria. Estimamos que el monto de estos conceptos no será superior al 5% del valor de los honorarios. Los impuestos aplicables a los conceptos arriba indicados serán incluidos en las respectivas facturas y a las tasas establecidas en las disposiciones legales vigentes. Tabla 3. Plan de trabajo.

FASES DE TRABAJO Nº 1 2 3 4 5 6 7 8 9 10 11

FASES

DÍAS LABORABLES

Inicio de la Auditoria de Gestión. Firma del Contrato. Visita Preliminar Institución. Entrevista Máximas Autoridades. Planificación Preliminar. Planificación Especifica. Estudio Base Legal. Programa de Auditoria. Evaluación del Control Interno. Obtención de Resultados. Resultados parciales.

OBSERVACIÓN

1 3 5 2 2 2 2

Apoyo jurídico.

4 4 4

Comunicacion es de resultados al personal.

Conclusión del Trabajo. Entrega de Resultados. Retiro del Equipo. Elaboración del borrador del informe. Lectura del Informe.

Emisión del Informe.

13 14 15

TOTAL

2 2 3

En la compañía auditada. A la Gerencia General.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

2.8. PROGRAMA DETALLADO DE AUDITORÍA Para el análisis de auditoría se elaboró el siguiente programa de trabajo:

XYZ. Programa de Trabajo Plan de Continuidad del Negocio Tabla 4. Plan de Continuidad del Negocio (PCN).

A. INFORMACIÓN ELAB. GENERAL POR: a. Realizar reuniones con los altos directivos. b. Solicitar copias de la siguiente documentación de la Compañía: 1. Constitución y sus reformas. 2. Nombramientos de la directiva. 3. Organigrama. 4. Reglamento Interno. 5. Plan de Continuidad del Negocio. 6. Cadena de Valor. 7. Manuales de procedimiento. 8. Informes de auditorías. externas o de entes de control. 9. Reuniones con el personal. Toda la documentación solicitada anteriormente y que sea de elaboración exclusiva de la Compañía deberá estar firmada por el Auditor Interno o Contralor.

P/T

OBSERVACIONES

B. EVALUACIÓN DEL ELAB. RIESGO POR: a. Realizar una narrativa del proceso de elaboración del Plan de Continuidad del Negocio. b. Realizar un cuestionario para determinar el conocimiento de los involucrados en la realización del PCN. c. Realizar pruebas sustantivas y de cumplimiento. d. Elaborar la matriz de riesgo. e. Elaborar la matriz de madurez. f. Identificar los riesgos en la organización. g. Realizar pruebas de simulación en caso de ocurrencia de una situación de riesgo. h. Verificar si se cumple con las políticas expuestas en el PCN cuando ocurren incidencias. i. Indagar sobre la utilización de metodologías para realizar el PCN. j. Verificar las personas que son las encargadas de elaborar y difundir el PCN. k. Indagar sobre las evaluaciones realizadas al PCN. l. Verificar si el personal conoce que hacer en casos de incidencias. 28

P/T

OBSERVACIONES

m. Verificar si en la cadena de valor se identificaron todos los procesos críticos del negocio. n. Solicitar informes de las evaluaciones y diagnósticos realizados al PCN. C. CONCLUSIONES DEL ELAB. TRABAJO POR: a. Documentar y ponderar los cuestionarios realizados. b. Elaborar las matrices de riesgos y de madurez del negocio para determinar los riesgos y el grado en el que se encuentra el negocio. c. Verificar la metodología del trabajo de auditoría realizado. d. Elaborar el informe borrador.

P/T

OBSERVACIONES

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

2.9. PROCESOS CRÍTICOS DEL NEGOCIO El Plan de Continuidad del Negocio contempla los escenarios de riesgo derivados de situaciones de desastre o catástrofe, donde el tiempo estimado de reanudación de las operaciones de la empresa es superior al que puede ser soportado por los procesos críticos de la organización. Tabla 5. Procesos Críticos del Negocio.

PROCESO CRÍTICO CONTRATACIÓN

DESCRIPCIÓN

UNIDADES AFECTADAS Contrataciones de • Atención al nuevos asegurados cliente. que se realizan • Comercial. 29

AUTORIZACIÓN

LIQUIDACIÓN PROFESIONALES

normalmente de una forma individualizada, y excepcionalmente de forma masiva (a partir de ficheros de intercambio recibidos de otras organizaciones). Los asegurados se identificarán en el próximo sistema de gestión por su Número de Cliente, a partir del cual se establecerán todas sus relaciones con XYZ. Autorizaciones que se otorgan a los asegurados para que los mismos sean beneficiarios de los servicios sujetos a cobertura que les correspondan. Estas autorizaciones se realizan en varias unidades de XYZ, y requieren normalmente de un gran volumen de información a chequear con el fin de verificar la pertinencia o no de dichas coberturas. A En la unidad de grabación se graban 30

• Atención cliente. • Comercial. • Prestaciones.

• Departamento financiero.

todos los volantes entregados por los médicos junto con sus hojas de liquidación, para pasar a continuación a tratar dichos volantes con el fin de realizar las liquidaciones a dichos médicos, junto con las correspondientes órdenes de transferencias. FACTURACIONES Y Aunque la facturación RECIBOS A CLIENTES / recibos a los clientes se realiza trimestral, semestral o anualmente, el grueso de la misma actualmente se realiza de la primera forma a partir de las modificaciones contractuales, de coberturas, y de circunstancias personales que son incorporadas continuamente al sistema. NÓMINA Generación de la Nómina y los Seguros Sociales.

• Grabación.

• Comercial.

• Departamento financiero.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

2.10. RIESGOS Tabla 6. Alcance del Programa.

N°

PROCESO

TIPIFICACIÓN RIESGO

RC_01

RC_02

ALCANCE DEL PROGRA MA

RC_03

RC_04

RC_05

RIESGO EVALUADO

¿Han realizado el Análisis costo/beneficio. (incluyendo análisis de las partes interesadas, regulación y legislación). ¿Han realizado el Análisis DOFA. (Debilidades/Oportunidade s/Fortalezas/Amenazas) de la gestión de Continuidad de negocio? ¿Tienen presupuesto para la gestión de continuidad de negocio? ¿Poseen Técnicas de análisis del mercado para determinar la viabilidad probable del suministro de un producto luego de una interrupción? ¿Existe una estrategia acordada para la protección de cada uno de los productos y servicios de la organización?

CRITICIDAD

Medio

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 7. Análisis de Requerimientos de Continuidad.

N°

PROCESO

TIPIFICACIÓN RIESGO

RC_06

Análisis de Requerim ientos de Continuid ad

RC_07

RC_08

RC_09

RIESGO EVALUADO

¿Existe la Precalificación de compañías candidatas para la externalización (entrega de productos o servicios)? ¿Existen una Especificación de requerimientos de la GCN (Gestión de continuidad del negocio) en los términos de referencia documentados de licitaciones y contratos? ¿Existen Acuerdos de Niveles de Servicio (ANS) realistas para utilizarlos durante incidentes en cualquier organización? ¿La compañía se Involucra en formación, capacitación y ejercicios en la externalización?

CRITICIDAD

Medio

Alto

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar. Tabla 8. Desarrollo y Gestión de Planes.

N°

PROCESO

Desarrollo y Gestión de Planes

TIPIFICACIÓ N RIESGO

RC_10

RIESGO EVALUADO ¿Se encuentran asignados los roles y responsabilidades dentro el programa de GCN (Gestión de continuidad del negocio) los cuales han sido

CRITICIDAD

Bajo

provistos con el nivel de formación apropiado?

RC_11

¿Se evalúa anualmente los niveles y competencias del Equipo GCN (Gestión de continuidad del negocio)?

Bajo

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar. Tabla 9. Implementación de la Gestión de Continuidad del Negocio (GCN).

N°

PROCESO

TIPIFICACIÓN RIESGO

RC_12

Implement ación de la GCN 2

RC_13

RC_14

RIESGO EVALUADO ¿Se han realizado ejercicios de escritorio con los Altos Directivos para demostrar qué podría suceder ante la ausencia de estructuras y procedimientos de respuesta a incidentes? ¿Se han realizado Cuestionarios o entrevistas para determinar el estado actual de disponibilidad de la organización? ¿Se encuentra definido el alcance de la Política GCN (Gestión de continuidad del negocio)?

CRITICIDAD

Bajo

Alto

RC_15

RC_16

RC_17

¿Se han tomado Medidas para mitigar amenazas específicas percibidas? ¿Se han Creado procedimientos para la Gestión de incidentes? ¿Se identifican e implementan medidas de bajo costo?

Bajo

Medio

Alto

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar. Tabla 10. Cultura Organizacional.

N °

PROCESO

TIPIFICACIÓN RIESGO

RC_18

RC_19

Cultura Organizac ional

RC_20

RC_21

RC_22

RIESGO EVALUADO

¿Existe el Apoyo visible y continuo de la Alta Dirección? ¿Se ha Consultado con todos los involucrados en el desarrollo de la GCN (Gestión de continuidad del negocio)? ¿Se ha Focalizado en las prioridades de negocio de la organización? ¿Se ha Especificado el nivel deseado de sensibilización o formación y cómo se medirá? ¿Se ha Identificado la naturaleza y alcance de 35

CRITICIDAD

Medio

Bajo

Medio

“La Brecha de Formación” que debe ser cubierta por la campaña? Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar. Tabla 11. Evaluación de Amenazas.

N °

PROCESO

TIPIFICACIÓN RIESGO

RC_23

RC_24

Evaluación de amenazas 3

RC_25

RC_26

RC_27

RIESGO EVALUADO

¿Se Obtiene la aprobación del dueño del proceso para confirmar la exactitud de la información en la GCN (Gestión de continuidad del negocio)? ¿Se Presentan a la Alta Dirección los resultados para determinar si serán impactados por cualquier cambio propuesto en el negocio? ¿Se Registran las amenazas internas y externas que pueden causar interrupción a las actividades más urgentes de la organización, definidas en el AIN? ¿Se Determina el sistema de calificación para impactos y probabilidades? ¿Estima el impacto de cada amenaza, sobre la organización, utilizando el sistema de calificación acordado? 36

CRITICIDAD

Medio

Alto

Medio

RC_28

RC_29

RC_30

RC_31

¿Calcule el riesgo de cada amenaza mediante la combinación de la calificación de su impacto y probabilidad, según una fórmula acordada? ¿Prioriza las amenazas por nivel de riesgo? ¿Recomienda las acciones que puedan tomarse para reducir la amenaza de interrupción sobre las actividades más urgentes de la organización? ¿Identifica las áreas inaceptables de riesgo o los puntos únicos de falla?

Medio

Alto

Medio

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

2.11. CONTROLES EXISTENTES PARA LOS RIESGOS Tabla 12. Control existentes para los riesgos. N° PROCESO RIESGO EVALUADO ¿Han realizado el Análisis costo/beneficio (incluyendo análisis de las partes interesadas, regulación y 1 legislación). Alcance del program a

CONTROLES Recomendaciones sobre acciones a ser tomadas para reducir la amenaza de interrupción sobre las actividades más urgentes de la organización. ¿Han realizado el Análisis El alcance y la DOFA estrategia utilizada (Debilidades/Oportunidades para la protección de /Fortalezas/Amenazas) de la productos y servicios. 37

gestión de Continuidad de negocio? ¿Tienen presupuesto para la gestión de continuidad de negocio? ¿Poseen Técnicas de análisis del mercado para determinar la viabilidad probable del suministro de un producto luego de una interrupción? ¿Existe una estrategia acordada para la protección de cada uno de los productos y servicios de la organización? ¿Existe la Precalificación de compañías candidatas para la externalización (entrega de productos o servicios)?

Análisis de Requeri mientos de Continui dad

¿Existen una Especificación de requerimientos de la GCN (Gestión de continuidad del negocio) en los términos de referencia documentados de licitaciones y contratos? ¿Existen Acuerdos de Niveles de Servicio (ANS) realistas para utilizarlos durante incidentes en cualquier organización?

Aprobación de presupuesto por la Máxima Autoridad. El alcance y la estrategia utilizada para la protección de productos y servicios. Políticas que establezcan estrategias de protección de productos y servicios. Actas de Comité Fiscalización de servicios y productos.

Actas de Comité Fiscalización de servicios y productos.

Informes y actas de pruebas determinando tiempos de disponibilidad de servicios y productos comprobados y aceptados por ambas partes. ¿La compañía se Involucra en Actas firmadas de formación, capacitación y capacitación ejercicios en la recibida. externalización? 38

Desarroll oy Gestión de Planes

Impleme ntación de la GCN

¿Se encuentran asignados los roles y responsabilidades dentro el programa de GCN (Gestión de continuidad del negocio) los cuales han sido provistos con el nivel de formación apropiado? ¿Se evalúa anualmente los niveles y competencias del Equipo GCN (Gestión de continuidad del negocio)? ¿Se han realizado ejercicios de escritorio con los Altos Directivos para demostrar qué podría suceder ante la ausencia de estructuras y procedimientos de respuesta a incidentes? ¿Se han realizado Cuestionarios o entrevistas para determinar el estado actual de disponibilidad de la organización? ¿Se encuentra definido el alcance de la Política GCN (Gestión de continuidad del negocio)? ¿Se han tomado Medidas para mitigar amenazas específicas percibidas?

¿Se han Creado procedimientos para la Gestión de incidentes? ¿Se identifican e implementan medidas de bajo costo?

Documentación de Roles asignados y Bitácoras.

Objetivos, metas de medición y estándares. Actas firmadas por Máxima autoridad de ejercicios de escritorios realizados con recomendaciones. Pruebas cumplimiento.

Objetivos.

Autorización de Máxima Autoridad para realizar medidas para mitigar amenazas. Estrategia y técnicas adoptadas para la recuperación. Balance entre costo y velocidad de recuperación

(prioridad proceso). ¿Existe el Apoyo visible y Autorizaciones. continuo de la Alta Dirección?

19 Cultura Organiza cional 20

Evaluación de Amenaza s

¿Se ha Consultado con todos los involucrados en el desarrollo de la GCN (Gestión de continuidad del negocio)? ¿Se ha Focalizado en las prioridades de negocio de la organización?

¿Se ha Especificado el nivel deseado de sensibilización o formación y cómo se medirá? ¿Se Obtiene la aprobación del dueño del proceso para confirmar la exactitud de la información en la GCN (Gestión de continuidad del negocio)? ¿Se Presentan a la Alta Dirección los resultados para determinar si serán impactados por cualquier cambio propuesto en el negocio? ¿Se Registran las amenazas internas y externas que pueden causar interrupción a las actividades más urgentes de la organización, definidas en el AIN? ¿Se Determina el sistema de calificación para impactos y probabilidades? 40

Actas de participación de desarrollo de involucrados. Prioridades establecidas por la máxima Autoridad, y reportes de evaluación. Informes de Campañas de sensibilización. Acuerdos de Niveles de Servicio.

Informes de Recomendaciones a la Alta Gerencia de resultados de impactos. Políticas recuperación.

Registro de incidente por nivel de prioridad (procesos core).

¿Estima el impacto de cada amenaza, sobre la organización, utilizando el sistema de calificación acordado? ¿Calcule el riesgo de cada amenaza mediante la combinación de la calificación de su impacto y probabilidad, según una fórmula acordada? ¿Prioriza las amenazas por nivel de riesgo? ¿Recomienda las acciones que puedan tomarse para reducir la amenaza de interrupción sobre las actividades más urgentes de la organización? ¿Identifica las áreas inaceptables de riesgo o los puntos únicos de falla?

Registro de incidente por nivel de prioridad.

Evaluación del riesgo por cada dueño de procesos.

Políticas de recuperación. Estrategia de largo Plazo.

Estrategias para minimizar el riesgo Y documentación de impactos y urgencias.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

2.12. OBJETIVOS DEL CUESTIONARIO DE CONTROL  Recolectar evidencia con el propósito de probar el cumplimiento del Plan de Continuidad del Negocio en la Empresa XYZ.  Determinar si los controles están siendo aplicados de manera que cumplen con las políticas y los procedimientos del Plan de Continuidad del Negocio en la Empresa XYZ.  Probar la existencia y efectividad del plan de continuidad

del negocio.

2.13. CUESTIONARIO DE CONTROL El presente cuestionario está dirigido al Comité Directivo, a los Gerentes y Jefes Departamentales de la Empresa XYZ. 1. ¿La Compañía posee un Plan de Continuidad del Negocio? SÍ ( ) NO ( ) 2. ¿Cada que tiempo es actualizado el Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 3. ¿Se forma equipos de trabajo interdisciplinario para trabajar en las reformas al Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 4. ¿Describa una fortaleza u oportunidad de poseer el Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 5. ¿Describa una debilidad o amenaza de poseer el Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 42

6. ¿Cuál es el presupuesto aprobado para invertir en el Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 7. ¿Se han presentado problemas con respecto a la continuidad del negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 8. ¿La Compañía posee una cadena de valor para poder identificar los procesos críticos y de apoyo? SÍ ( ) NO ( )

9. ¿Se han realizado auditorías internas y externas al Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________

10. ¿Existen tiempos mínimos de respuesta ante eventualidades presentadas en la continuidad del negocio de la Empresa? ________________________________________________________ ________________________________________________________ ________________________________________________________ _______________________________

11. ¿Cuál es el tiempo de respuesta mínimo ante un daño de Hardware o Software, que fue aceptado al momento de realizar la firma del contrato de mantenimiento correctivo? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 12. ¿Posee políticas de seguridad de la empresa? SÍ ( ) NO ( ) 13. ¿Tiene su empresa un área de Riesgos? SÍ ( ) NO ( ) 14. ¿Tiene personal capacitado para implementar el Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 15. ¿El personal que se encuentra inmerso en el Plan de Contingencias posee las descripciones de sus funciones? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 16. ¿Existen informes de resultados de la puesta a prueba del Plan de Continuidad del negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________

17. ¿Existen levantamiento de procedimientos para suplir la falta de estructuras de información durante una contingencia? ________________________________________________________ ________________________________________________________ ________________________________________________________ _______________________________ 18. ¿Cuándo se realizó la última prueba del plan de contingencias y bajo qué escenario se realizó? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 19. ¿Con que objetivo se pretende la empresa mantener el Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 20. ¿Cuáles son los controles levantados para mitigar amenazas externas e internas? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 21. ¿Nombre los Departamentos/Direcciones/Secciones que se encuentran inmersas en el Plan de Continuidad del Negocio? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________

22. ¿Cuáles son los procesos principales de la Empresa? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 23. ¿Los informes de resultados de la puesta a prueba del Plan de Continuidad del Negocio se encuentran en conocimiento de la Alta Gerencia? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 24. ¿Nombre el principal riesgo que se ha levantado? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________ 25. ¿Cómo considera Usted el Plan de Continuidad del Negocio? ¿Inversión o Gasto? ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________

Firma Entrevistado: __________________________________ Fecha: ___/_______/____ Departamento: _______________________________________ Cargo: ______________________________________________

2.14. HALLAZGOS DE LA AUDITORÍA Dentro de la revisión se identificaron los siguientes hallazgos de auditoría: Tabla 13. Alcance del programa.

Hallazgo:

Políticas y gestión del programa GCN No establecida una política del programa GCN. La política de la GCN es el documento clave que instaura el gobierno y el alcance del programa GCN. El alcance no está claramente definido. Esto provoca no tener establecidas las áreas de la organización que deben incluirse en el programa de GCN. No alinear la política con la estrategia, objetivos y cultura organizacional. XYZ no presenta la documentación con las Políticas para la implementación del programa GCN.

Condición Criterio

Causa

Efecto

Evidencia

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 14. Evaluación de amenazas.

Hallazgo Condición Criterio

Causa

Efecto

Evidencia

Análisis de Impacto sobre el Negocio Identifican procesos críticos y las áreas que serían afectadas en caso de ocurrir alguna interrupción. El proceso de planificación conlleva un alto nivel de análisis de los procesos críticos, el impacto de estos en la organización, personal implicado en dichos procesos, el tiempo máximo de interrupción tolerable, periodos críticos, etc. El Análisis de Impacto sobre el Negocio es el fundamento sobre el cual se construye la GCN. No contar con la suficiente información que ayude a determinar tiempos razonables de interrupción en los procesos, omitir áreas y personal crítico. No identificar, cuantificar y calificar eficientemente los impactos en la organización cuando ocurre una interrupción. No se definen las estrategias adecuadas para la continuidad del negocio. XYZ identifica los procesos críticos de una manera superficial, dejando de lado muchos criterios importantes que deben ser analizados como tiempos máximos tolerables de interrupción, tiempos máximos para volver a las operaciones normales, niveles mínimos de calidad, etc.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 15. Evaluación de amenazas.

Hallazgo Condición

Criterio

Análisis de Riesgos No cuenta con un Análisis de Riesgos implementado formalmente. El Análisis de Riesgos permite identificar, analizar y evaluar las posibles amenazas que pueden afectar a los procesos críticos de la organización, e implementar medidas para reducir la probabilidad y el impacto de estas amenazas sobre las actividades de la organización.

Causa Efecto

Evidencia

No identificar todos los riesgos a los que están expuestos los procesos críticos de la organización. La organización que no identifica sus riesgos es vulnerable ante cualquier amenaza o interrupción, afectando directamente a la continuidad del negocio. XYZ no identifica o trata las posibles amenazas que puedan interrumpir el normal funcionamiento de los procesos críticos en la organización.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar. Tabla 16. Análisis de requerimientos de continuidad.

Hallazgo Condición

Criterio

Causa

Efecto

Evidencia

Políticas y procedimientos para manejo de Proveedores Críticos. Falta de políticas y procedimientos para administrar y evaluar a terceros que presten servicios a la organización. Las políticas para administrar y evaluar a proveedores son fundamental cuando aquellos servicios que proveen forman parte de procesos críticos de la organización. Debe mantenerse evaluaciones periódicas de la capacidad de los proveedores e implementación de planes adecuados de soporte ante interrupciones en el servicio que presta a la organización. No realizar evaluaciones periódicas a los proveedores de servicios que soporten procesos críticos en la organización pueden provocar afectación directa en la continuidad y calidad de los servicios del negocio. XYZ no cuenta con políticas y procedimientos para evaluar a proveedores, este tema se vuelve delicado para la organización cuando los servicios prestados por terceros son utilizados en actividades críticas de la organización.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 17. Cultura Organizacional.

Hallazgo Condición Criterio

Causa

Efecto

Evidencia

Integrar la Gestión de la Continuidad del Negocio en la Cultura Organizacional. Poco énfasis en la integración de la Gestión de la Continuidad del Negocio en la Cultura Organizacional. La cultura organizacional es un proceso que amerita actualizaciones y ajustes periódicos, que permita a la organización mejorar la eficiencia y desempeño de sus actividades, para alcanzar una mejor alineación con las prioridades del negocio. La poca concienciación del programa de GCN ocasiona el desconocimiento total o parcial de los procedimientos por parte del personal para enfrentar de una forma eficiente cualquier interrupción que afecte a la continuidad del negocio. No desarrollar un programa de concienciación coloca a la organización en un estado de vulnerabilidad donde la ocurrencia de cualquier interrupción podría generar grandes pérdidas tanto económicas como de reputación ante sus clientes. El personal no respondería de la mejor manera y seguramente excederían el tiempo máximo de interrupción tolerable para resolver o volver al estado normal los procesos críticos de la organización. En XYZ no se evidencia un cronograma o actas que certifiquen las medidas que se toman para la integración de la GCN en la cultura organizacional (Sesiones de formación al personal, utilización de medios internos para este efecto, etc.).

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 18. Implementación de la GCN.

Hallazgo Condición

Criterio

Causa

Efecto

Evidencia

Desarrollar e Implementar una Respuesta de la GCN No cuenta con procedimientos documentados e información desarrollada para ser usada durante un incidente. El objetivo de los diferentes planes o procedimientos es identificar, en la medida de lo posible, las acciones y recursos necesarios para permitir a la organización manejar los incidentes sin importar su causa; y retornar al correcto funcionamiento de las actividades de la organización. La organización no cuenta con un manejo de Incidentes y Planes de recuperación que le ayuden en el menor tiempo posible a reanudar sus actividades en forma normal. La implementación de un Plan de Gestión de Incidentes, Plan de Continuidad y de Recuperación, permitirá a la organización un mejor manejo de las interrupciones y disminución en los tiempos de recuperación. En XYZ no se evidencia la implementación formal de un Plan de Gestión de Incidente, Plan de Continuidad y de Recuperación. Estos Planes de acción deben ser documentados, incluyen las personas clave, recursos, los servicios y las acciones necesarias para implementar los procesos que apoyaran en el tratamiento de los incidentes.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar. Tabla 19. Desarrollo y gestión de planes.

Hallazgo Condición

Criterio

Manejo de Roles y Responsabilidades No cuenta con documentación que especifique los roles y responsabilidades del personal asignado a los distintos procesos y planes de continuidad del negocio. Los roles del equipo y de individuos específicos deben estar documentados; y cada rol debe tener 51

Causa

Efecto

Evidencia

identificado su suplente. Las responsabilidades para el equipo o los individuos nombrados, incluyen líderes de equipo, operaciones, soporte técnico, apoyo administrativo, etc. No contar con roles y funciones asignadas al personal maximiza el tiempo que se requiere para evaluar y resolver incidentes. La asignación de roles y responsabilidades permite un mayor control al ejecutar las distintas actividades para lograr la continuidad del negocio, el personal tiene bien definido su campo de acción lo que lleva a enfocar los esfuerzos al personal destinado para ello. En XYZ no se evidencia documentación que especifique la asignación de roles y funciones del personal que lleva a cabo los distintos procesos en la organización.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

2.15. INFORME DE RESULTADOS 2.15.1. INFORME PLAN DE CONTINUIDAD DEL NEGOCIO

(Período de Revisión Año 2016) Adjunto a la presente sírvase encontrar el informe con las recomendaciones del control interno, producto de la visita de auditoría realizada a la Compañía XYZ, que está ubicada en la calle Fernando Zambrano (Oficinas Administrativas). En la revisión se efectuaron procedimientos de auditoría para obtener información relevante de la empresa, para eso se utilizó técnicas de auditoria para determinar observaciones al Plan de Continuidad del Negocio y obtener evidencia suficiente y competente. A continuación, se indican las principales observaciones: Observación: Políticas y gestión del programa GCN 52

La Empresa XYZ no ha establecido una política para implementar un programa de Gestión de Continuidad del Negocio. Esto ocasiona que ciertas áreas no se encuentren incluyendo políticas de gestión en los diferentes procesos que manejan, además estas políticas se deberían alinear con los objetivos y cultura organizacional de la Compañía. Recomendación: La empresa XYZ deberá realizar una política de presentación de documentos e implementación del programa Gestión de Continuidad del Negocio, para que sea expuesta a toda la Compañía y que se encuentre en conocimiento de los empleados. Análisis de Impacto sobre el Negocio XYZ identifica procesos críticos de una manera superficial, dejando de lado muchos criterios importantes que deben ser analizados como tiempos máximos tolerables de interrupción, tiempos máximos para volver a las operaciones normales, niveles mínimos de calidad, etc. Esto también causa que no se cuente con suficiente información que ayude a determinar tiempos razonables de interrupción en los procesos de la Compañía, en áreas y personal crítico. Recomendación: Indicar a la Alta Gerencia que el proceso de planificación conlleva un alto nivel de análisis de cada uno de los procesos críticos del negocio, este impacto en la organización, implica que dichos procesos, no se tenga tiempos máximos para determinar la interrupción tolerable y periodos críticos en la Empresa XYZ. Además, un análisis de impacto sobre el negocio es el fundamento sobre el cual se construye la Gestión de Continuidad del Negocio. Análisis de Riesgos XYZ no identifica ni trata de observar las posibles amenazas, que puedan interrumpir el normal funcionamiento de los procesos críticos en la organización. Lo que conlleva a que los costos se eleven y los clientes comiencen a perder credibilidad en la Empresa.

Recomendación: Realizar un análisis de riesgos que permitirá identificar, analizar y evaluar las posibles amenazas que pueden afectar a los procesos críticos de la organización e implementar medidas para reducir la probabilidad y el impacto de estas amenazas sobre las actividades de la organización. Políticas y procedimientos para manejo de Proveedores Críticos XYZ no cuenta con políticas y procedimientos para evaluar a los proveedores, este tema se vuelve delicado para la organización, cuando los servicios prestados por terceros son utilizados en actividades críticas de la organización. Recomendación: Realizar políticas para administrar y evaluar a proveedores, cuando aquellos servicios que proveen, forman parte de procesos críticos de la organización. Integrar la Gestión de la Continuidad del Negocio en la Cultura Organizacional La Empresa XYZ no mantiene un cronograma o actas que certifiquen las medidas que se toman para la integración de la Gestión de Continuidad del Negocio y de la cultura organizacional (Sesiones de formación al personal, utilización de medios internos para este efecto, etc.) Recomendaciones: Implementar una cultura organizacional, con el fin de que este proceso realice actualizaciones y ajustes periódicos, que permita a la organización mejorar la eficiencia y desempeño de sus actividades, para alcanzar una mejor alineación con las prioridades del negocio.

Desarrollar e Implementar una Respuesta de la Gestión de Continuidad del Negocio La Empresa XYZ no se evidencia la implementación formal de un Plan de Gestión de Incidentes, Plan de Continuidad y de Recuperación. Estos Planes de acción deben ser documentados, incluyen las personas claves, los recursos, los servicios y las acciones necesarias para implementar los procesos que apoyaran el tratamiento, de los incidentes. Recomendación: Efectuar diferentes planes o procedimientos para identificar en la medida de lo posible, las acciones y recursos necesarios para permitir a la organización, manejar los incidentes sin importar su causa y retornar al correcto funcionamiento de las actividades en la organización. Manejo de Roles y Responsabilidades La Empresa XYZ no evidencia una documentación, que especifique la asignación de roles y funciones del personal, que lleva a cabo los distintos procesos en la organización. Recomendación: Efectuar roles de los equipos multidisciplinarios específicos y a la vez deben estar documentados, cada rol e identificado su suplente. Las responsabilidades de cada equipo o los individuos nombrados, deben incluir líderes por equipo, operaciones, soporte técnico y apoyo administrativo. 2.15.2. FECHA DEL INFORME 20/10/2016 Tabla 20. Identificación y firma de auditores.

Ing. ABC Ing. DEF Ing. GHI

AUDITOR TI AUDITOR TI AUDITOR TI 55

VN EN TP

Ing. JKL Ing. MNO Ing. PQR

AUDITOR TI AUDITOR TI AUDITOR TI

NR LV FV

Elaborado por: autores.

2.16. CONCLUSIONES DEL CASO  La Empresa XYZ cuenta con planes de respuesta, de respaldo y recuperación, pero que no se encuentran debidamente socializados a todo el personal de la empresa.  El tiempo de recuperación de la operatividad de la empresa es superior al que puede ser soportado por los procesos críticos de la organización.  Los procesos críticos de la empresa afectan a varios departamentos y su continuidad.  Es necesario conocer los puntos más importantes de una organización para evitar algún tipo de desastre que altere la actividad.  Cuando una organización realiza planes de concientización a sus empleados, les proporciona seguridad ante una situación que requiera el uso del BCM, al estar seguros de la funcionalidad del plan es necesario que se desarrollen pruebas, mantenimientos y actualizaciones.  Los planes de continuidad del negocio son necesarios para evitar algún desastre ya sea del personal, la información y el inventario de una empresa durante un evento dañino, para controlar esto se preparan algunos planes para continuar las operaciones ya sea previniendo el desastre o después del mismo.

Ejemplo práctico 3. COSO ERM Este ejemplo práctico nos ayuda a exponer por un lado los beneficios de la utilización de COSO ERM, que de forma errónea suele verse irrelevante y carente de valor, y por otro lado de forma implícita da lugar a un plan de fortalecimiento institucional, que, de llevarlo a cabo adecuadamente ayudará a cerrar brechas y mejorar la cultura en gestión de riesgos. En este contexto un insumo importante es el mapa de calor que sensibiliza sobre las diferentes problemáticas de la organización sirviendo además para determinar prioridades para su atención.

3.1. DESCRIPCIÓN DEL CASO “CACSA ERM” La cooperativa de Ahorro y Crédito de la Pequeña Empresa “Siempre Ahorrando” (CACSA) nace con el fin de realizar la cooperación económica y social entre los cooperados, para cuyo cumplimiento, recibirá los ahorros de los socios, y depósitos que estos realicen, efectuar cobros y pagos, todas aquellas operaciones que sean necesarias para el fortalecimiento de la Cooperación crediticia. Otorga préstamos a sus miembros de conformidad con el Reglamento que para el efecto se establezca además de financiar programas individuales y colectivos de sus socios. Procura la creación de servicios adicionales de consumo en beneficio de sus asociados, proporcionando una adecuada educación cooperativista a todos los socios. Siguiendo con la reseña de la creación y desarrollo de la cooperativa de Ahorro y Crédito de la Pequeña Empresa “Siempre Ahorrando” (CACSA) en donde se establecieron las funciones de control interno como se detalla:  Verificar la correcta utilización de los recursos financieros asignados a La Entidad.

 Velar por el cumplimiento de las disposiciones legales y la aplicación adecuada de los procedimientos contables y presupuestarios que correspondan.  Promover un proceso transparente y efectivo de rendición de cuentas sobre el uso y administración de los recursos encomendados a La Entidad.  Evaluar la eficiencia y eficacia de los sistemas integrados de administración y finanzas que se utilizan en el control de las operaciones.  Recomendar las medidas de protección para la conservación y control de los derechos y obligaciones de Entidad.

3.2. ANÁLISIS SITUACIONAL DE “CACSA ERM” Tras conocer la realidad de la Cooperativa de Ahorro y Crédito de la Pequeña Empresa “Siempre Ahorrando” (CACSA) se puede sintetizar la misma de la siguiente manera: La CACSA está constituida como una institución financiera que practica la participación social y busca el bienestar de sus asociados a través de la satisfacción de sus requerimientos y necesidades, esta institución pronto cambiará de ente supervisor, el portafolio de productos y servicios que posee es el siguiente: Captación de Recursos

Concesión de Créditos

Servicios Sociales

Servicios de Recaudación

Servicios Financieros

Gráfico 1. Portafolio de Productos y Servicios. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

La CACSA tiene objetivos y organización definidos, su normativa interna se encuentra documentada, sus procesos internos se basan en manuales y políticas, sin embargo no se han efectuado análisis de riesgos. CACSA tiene deficiencias respecto a su planificación, pues no cuenta con planificación estratégica, su contabilidad obedece a las normas Ecuatorianas de Contabilidad. A nivel de tecnología, la situación es crítica pues no se dispone de una sólida estructura que este organizada y tenga planificación, existe independencia con el proveedor del sistema informático y este se encuentra en proceso de evaluación de alternativas de cambio, los procesos de gestión no existen, no se base el trabajo en buenas práctica, el soporte que el sistema informático brinda el negocio es deficiente y los servicios que se ofrecen a los asociados no son estables ni garantizan calidad.

3.3. COSO ERM En la actualidad las organizaciones requieren un sistema que verifique, controle, determine, la situación administrativa y financiera para evitar fraudes, corregir errores y comprobar su veracidad. El sistema COSO significa Committee of Sponsoring Organisations of the Treadway Commission, es un método de control interno que se realiza en una empresa para detectar o prevenir algún tipo de estafa, localizar faltas, corregir operaciones, estimular deficiencia de personal mediante la vigilancia que se ejerce a través de los informes, salvaguardar los bienes y obtener un control efectivo en todos los aspectos de la compañía. El proyecto se inició en enero de 2016 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administración de riesgo, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgos. En septiembre de 2004, se publica el informe denominado Enterprise Risk Management -Integrated Framework, el cual incluye el marco global para la administración integral de riesgos. 59

Enterprise Risk Management - Integrated Framework incluye el control interno, por lo que en ningún caso reemplaza a Internal Control - Integrated Framework. Objetivo del de COSO ERM es mejorar la Identificación de Riesgos y los Procedimientos de Análisis de Riesgos. Está compuesto por: Categorías de Objetivos:    

Estratégicos Operacionales De Información De Cumplimiento

Actividades en todos los Niveles de la organización    

Empresa División Unidad de Negocio Subsidiaria

Componentes Interrelacionados:        

Ambiente de Control Establecimiento de Objetivos Identificación de Eventos Evaluación de Riesgos Respuesta a los Riesgos Actividades de Control Información y Comunicación Monitoreo

Toda Organización, con o sin fines de lucro, existe para Agregar Valor a sus grupos de interés (stakeholders). El Valor es creado, preservado o erosionado por decisiones del Management en todas las actividades, desde la Definición de Estrategias hasta operar el día a día de la empresa.

3.4. COMPONENTES COSO ERM 3.4.1.

AMBIENTE DE CONTROL

Gráfico 2. Ambiente de Control. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.2.

OBJETIVOS

Gráfico 3. Establecimiento de objetivos. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.3.

IDENTIFICACION DE EVENTOS

Gráfico 4. Identificación de eventos. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Gráfico 5. Técnicas e identificación de eventos. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.4.

EVALUACIÓN DE RIESGOS

Gráfico 6. Evaluación de riesgos. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.5.

RESPUESTA AL RIESGO

Gráfico 7. Respuesta al riesgo. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.6.

ACTIVIDADES DE CONTROL

Gráfico 8. Actividades de control. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.7.

INFORMACION Y COMUNICACIÓN

Gráfico 9. Información y comunicación. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.8.

MONITOREO

Gráfico 10. Monitoreo. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.4.9.

CUESTIONARIOS DE CONTROL INTERNO DE LOS COMPONENTES COSO ERM

Acorde con la metodología aprendida en clase se han elaborado cuestionarios para cada uno de los componentes, al aplicarlo a cada uno de los miembros de CACSA afines al componente se tiene los resultados adjuntos al presente informe. Ver ANEXOS

3.5. PROCEDIMIENTOS DE AUDITORIA A APLICAR A continuación, se citarán los procedimientos a aplicar para cada uno de los componentes: 3.5.1.

AMBIENTE DE CONTROL

El procedimiento para el componente Ambiente de Control consiste en la aplicación de una serie e de entrevistas orientadas en conocer el grado de organización, estructura de gobierno, aspectos de formalidad y políticas que norman el desenvolvimiento de CACSA.

3.5.2.

OBJETIVOS

Para el componente OBJETIVOS se ha empleado como procedimiento la entrevista y revisión de los documentos que componen la misión, visión, plan estratégico y operativo de la organización. 3.5.3.

IDENTIFICACIÓN DE EVENTOS

Para el componente Identificación de eventos de detallará un checklist para determinar los procesos más potenciales y los riesgos que pueden afectar a los mismos, y evitar así eventos catastróficos para la Organización. 3.5.4.

EVALUACIÓN DE RIESGOS

Para el componente Evaluación de riesgos se determinará a través de una matriz de riesgos los más potenciales que afectarían orientado al área de TI. 3.5.5.

RESPUESTA AL RIESGO

Para el componente Respuesta al Riesgo se determinará mediante una matriz de riesgos más frecuentes para determinar cómo se reacciona ante posibles riesgos latentes. 3.5.6.

ACTIVIDADES DE CONTROL

Para el componente Actividades de Control se determinará mediante una matriz de controles más frecuentes para determinar que procesos son los adecuados para implementar controles en la Organización. 3.5.7.

INFORMACION Y COMUNICACION

En lo referente a Información y Comunicación se elaborará un cuestionario de verificación para determinar los procesos y metodología que se emplea para este componente.

3.5.8.

MONITOREO

Para este componente de Monitoreo se aplicará el monitoreo continuo al control de riesgos, identificación de eventos y procesos críticos de la Organización. 3.5.9.

MATRIZ DE RIESGOS A NIVEL DE COMPONENTES

En esta sección se efectúa el análisis de riesgos por componente, basado en la siguiente metodología en la que se determinan niveles de probabilidad e impacto:

Gráfico 11. Niveles de probabilidad e impacto. Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 21. Ambiente de control.

HALLAZGO

Madurez y formalidad de la organización.

Visionamie nto estratégico y operativo de la organizació n es deficiente.

Ambiente de Control RIESGO PROBA- IMPACBILIDAD TO La organización presenta debilidad en el gobierno corporativo, se expone a tener dificultades con el nuevo ente de supervisión y el sistema financiero de su sector. La organización puede perderse al no tener un rumbo, sus actividades serán infructuosas y estarán lejanas a las expectativas.

RECOMENDACIÓN Debe urgentemente trabajarse en la revisión legal y estructuración de estatutos, su discusión y aprobación formal.

Es indispensable definir las estrategias y programas que permitirán cumplir con los objetivos institucionales.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 22. Objetivos.

HALLAZGO

RIESGO

Carencia de procedimie ntos para definición de objetivos, identificaci ón y acción sobre los riesgos.

La organización no ha asimilado la gravedad de no tener procedimiento s que aseguren el contar con objetivos válidos, analizar su situación, su exposición al riesgo y la formulación de acciones sobre estos.

No se cuenta con planificación.

La institución no sabrá responder a las situaciones que se presenten en el entorno.

Objetivos PROBABILIDAD

IMPACTO

RECOMENDACIÓN

La alta dirección debe asesorarse en la formulación de objetivos, identificación de riesgos y toma de acción sobre estos.

La alta dirección debe discutir y elaborar una planificación adecuada que oriente sobre la gestión y proyección institucional.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 23. Identificación de eventos.

HALLAZGO

Identificación de Eventos RIESGO PROBAB IMPAC ILIDAD TO

Metodologí a para Identificaci ón de Eventos poca efectiva.

Eventos que pueden afectar a la Organización de manera potencial.

Existe una Metodologí a de identificaci ón de riesgos y oportunida des desactualizada.

Puede afectar varios procesos a la vez.

RECOMENDACIÓ N La alta dirección debe reunirse conjuntamente con TI para evaluar la metodología de identificación de eventos. La alta dirección debe reunirse conjuntamente con TI para actualizar la metodología de riesgos y oportunidades.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 24. Evaluación de riesgos.

Evaluación de Riesgos HALLAZGO

RIESGO

Los controles existentes se encuentran desactualizados.

No detección de riesgos potenciales.

Existe ausencia de acciones de la dirección para modificar su probabilida d o impacto del riesgo.

Afectación a procesos críticos de la organización.

PROBAB IMPAC ILIDAD TO

RECOMENDACIÓ N Se recomienda actualizar los controles existentes para la detección de riesgos.

La alta dirección debe reunirse para establecer acciones de probabilidad e impacto de los riesgos detectados.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 25. Respuesta a riesgos.

HALLAZGO

Matriz de riesgos desactualiz ada por lo que no está acorde a la realidad de la institución. No existe ningún procedimie nto ni metodologí a que incluya un estudio periódico de riesgos.

Respuesta a Riesgos RIESGO PROBAB IMPAC ILIDAD TO La institución asume demasiados riesgos por lo que sus procesos no son efectivos. Los riesgos presentados en los procesos de la institución no tienen respuesta oportuna por lo que se asume internamente.

RECOMENDACIÓ N La alta dirección debe reunirse conjuntamente con TI para actualizar los riesgos reales a los que está asumiendo la institución. La dirección de TI debe esquematizar un estudio de riesgos y poder dar respuestas eficientes y oportunas a las alertas que se vayan levantando.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 26. Actividades de control.

HALLAZGO

Procedimie ntos de control poco eficientes.

No existen control sobre licencias en el software adquirido para la institución

Actividades de Control RIESGO PROBAB IMPACT ILIDAD O Procesos inadecuados, no hay optimización en el uso de recursos.

Puede afectar a su operación diaria por licencias no permitidas.

RECOMENDACI ÓN La alta dirección debe reunirse conjuntamente con TI para implementar procesos que ayuden a controlar y mejorar oportunamente en sus procesos. La dirección de TI debe crear un procedimiento de control sobre licencias del software adquirido.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 27. Información y comunicación.

Información y Comunicación HALLAZGO

RIESGO

Falta de comunicación de los directivos de la cooperativa para adquirir el software.

Que no esté alineado con la estrategia del negocio.

No existe evidencias de comunicación entre la alta gerencia.

Al no existir una buena comunicació n no se ponen de acuerdo en lo que verdaderame nte necesitan dentro de la organización como es el sistema financiero.

La oficina matriz se comunica a través de correo electrónico , cuando se necesita

Que la información confidencial sea interceptada y sea utilizada para mal, los datos

PROBAB ILIDAD

IMPACT O

RECOMENDACI ÓN La alta dirección debe reunirse conjuntamente con el CIO para evaluar los requerimientos del sistema y este se alinee con la estrategia del negocio. Es muy importante que exista medios internos donde fluya una buena comunicación para así todos los interesados llegar a un solo objetivo.

Utilizar medios de encriptación. Sugerencia (crear una VPN).

consultar entre empleados, gerente y directivos para tomar todo tipo de decisiones, desde estratégicas hasta operativas a todo nivel. Carece de una comunicación entre procesos, especialmente entre sus diferentes sucursales.

perderían integridad.

Las salidas de los procesos no se reflejen en tiempo real.

Debería centralizarse los procesos en la matriz. 4

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Tabla 28. Monitoreo.

HALLAZGO

RIESGO

Ninguna persona o área funcional está encargada oficialment e de monitorear y evaluar el control interno para proteger el logro de los objetivos TI.

No poder aterrizar con el logro de los objetivos TI.

Monitorear los problemas internos de la organizació n estos puede ser con clientes etc.

Cuando la organización se dé cuenta de los problemas con clientes sea demasiado tarde y perdería confiabilidad.

Monitoreo PROBA- IMPACBILIDAD TO

RECOMENDACIÓN Se recomienda exista la unidad encargada de monitorear siempre el control interno para que se garantice la continuidad del negocio y se pueda cumplir con los objetivos.

Gestión problemas internos.

Elaborado por: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

3.6. CONCLUSIONES  



En CACSA no poseen un sistema de control interno actualizado y eficiente que contribuya a mejorar la eficiencia y efectividad de las operaciones que se realizan en la Organización. La falta de aplicación de metodologías integrales que permitan una adecuada administración del riesgo, tales como las que ofrece COSO ERM, ocasiona la inadecuada administración del riesgo sobre los registros y procedimientos del área de cuentas por cobrar. La carencia de matrices que permitan interpretación de la información contable y financiera sobre los niveles de riesgo aceptados, da lugar a la incorrecta interpretación en la toma de decisiones. La aplicación de la metodología COSO ERM en Instituciones Financieras particularmente proveerá a la administración de una herramienta efectiva de control que permite la gestión adecuada de los distintos niveles de riesgo, la correcta toma de decisiones y garantía de confiabilidad de la información.

3.7. RECOMENDACIONES 

 



ERM, es un proceso formal diseñado para identificar, evaluar, responder, comunicar y monitorear los riesgos a lo largo de toda la organización, este proceso debería ser adoptado por CACSA. Es indispensable mantener una adecuada coordinación entre las funciones de riesgo para aumentar la cobertura de riesgos y disminuir los costos asociados a estos. CACSA deberá fortalecer y mantener alineamiento con las estrategias de negocios, objetivos y proceso de toma de decisiones partiendo del conocer, determinar y validar el visionamiento del negocio. Con el propósito de madurar en la gestión se sugiere implementar un modelo de control interno con base al Informe COSO que contribuya a mejorar la eficiencia y efectividad de CACSA. La organización debe establecer procedimientos e instrumentos, como las matrices y pruebas de cumplimiento, 77

que permitan de forma ágil la interpretación de la información para la toma de decisiones del área o procedimiento sujeto de evaluación y verificación por parte de la dirección y el departamento de auditoría.

3.8. ANEXOS CUESTIONARIO DE CONTROL INTERNO DOMINIO: ENTREVISTADO: CARGO: PREGUNTAS

La Institución cuenta con estatutos?

Se ha definido y aprobado el Plan Estratégico de la Institución? La organización soporta su actividad en un Organigama Estructural basado en

N/ A

AMBIENTE DE CONTROL Ernesto Kronfle Gerente General

RIESGO DE CONTROL

NIVEL DE CONFIANZA

DEBILIDADES SI

MAYOR

MENOR

CALIFICACIÓN OBTETOTAL NIDA

TFCI002

COMENTARIOS Aun cuando se dispone de estatutos se debe considerar que al cambiar de entidad Supervisora, estos deberían cumplir con la estructura, contenido y alcance que ella demande. La organización no tiene definido su visión a futuro, estrategias y metas a alcanzar. La organización no tiene definido su visión a futuro, estrategias y metas a alcanzar.

procesos, en el que se definen autoridades y responsabilid ades? Existe un plan operativo orientado a cumplir los objetivos estratégicos de la organización ? La Institución ha definido, socializado y difundido un Código de Ética?

No se tiene claro la meta a alcanzar por parte de cada estamento de la CACSA.

Existe un reglamento interno de trabajo más no un código que guíe y norme el comportamient o ético de sus miembros.

PUNTAJES Preparado por: Fecha:

Revisado por: Fecha:

CUESTIONARIO DE CONTROL INTERNO DOMINIO:

OBJETIVOS

ENTREVISTADO: CARGO: PREGUNTAS Existe un proceso definido para la formulación de objetivos, alineados con la misión, visión, apetito al riego y niveles de tolerancia aceptados por la empresa? Cuáles son los objetivos estratégicos que la Institución de definido para el mediano y largo plazo? Se han definido metas e hitos para el cumplimiento de resultados financieros?

N / A

Carolina Echeverria Gerente General

RIESGO DE CONTROL

NIVEL DE CONFIANZA

DEBILIDADES SI

MAYOR

MENOR

CALIFICACIÓN OBTETOTAL NIDA

COMENTARIOS

La CACSA esta expuesta a riesgos que no son conocidos, controlados ni asumidos.

TF-CI002

Cuáles son los criterios que la organización ha definido respecto a la calidad, plazo de entrega, equipos de trabajo y costos de los productos y servicios que ofrece? La organización tiene políticas y reglamentos para su funcionamient o?

PUNTAJES

Preparado por: Fecha:

Revisado por: Fecha:

El alcance es limitado y no tiene manera precisa de evaluar su cumplimiento y determinar acciones en caso de desviaciones.

CUESTIONARIO DE CONTROL INTERNO DOMINIO:

IDENTIFICACIÓN DE EVENTOS

RIESGO DE CONTROL NIVEL DE CONFIANZA

ENTREVISTADO: Augusto Beltran CARGO: PREGUNTAS ¿Se identifican claramente los riesgos asociados al negocio? ¿Cuándo se genera un evento, el negocio continua con sus operaciones normales? ¿La metodología utilizada para la identificación de eventos permite identificar riesgos y oportunidades?

¿La tolerancia al riesgo lo mide la Dirección?

52 48

TF-CI003

Director de Riesgos N/ A

DEBILIDADES SI NO

MAYOR

MENOR

CALIFICACIÓN OBTEN TOTAL IDA

COMENTARIOS

Tienen identificados los riesgos que afectan a la organización y sus procesos.

El negocio se paraliza por 48 horas.

La dirección se encarga de medir la tolerancia al riesgo que sea detectado.

ÂżConsidera alto el funcionamiento del sistema de Control Interno?

PUNTAJES Preparado por: Fecha:

Revisado por: Fecha:

El control interno esablecido detecta los riesgos que afectan a la OrganizaciĂłn.

CUESTIONARIO DE CONTROL INTERNO EVALUACIÓN DE RIESGOS

DOMINIO:

RIESGO DE 36 CONTROL NIVEL DE 64 CONFIANZA

ENTREVISTADO: Jaqueline Tobar CARGO:

Analista Riesgos

PREGUNTAS

N/ A

de DEBILIDADES

MAYOR

MENOR

CALIFICACIÓN OBTENITOTAL DA

¿La organización acepta los riesgos encontrados?

¿Los controles establecidos detectan los riesgos?

¿El nivel impacto de riesgo en organización alto?

de un la es

¿Existe ausencia de acciones de la dirección para modificar su probabilidad o impacto del riesgo?

TFCI004

COMENTARIOS El nivel de aceptación de riesgos permite la continuida d del negocio. Los controles deben actualizarse . Los controles deben actualizarse . Si existe ausencia de acciones por parte de la dirección para reducir el nivel de impacto de los riesgos

encontrado s. ¿La evaluación de los riesgos del Control Interno se lo realiza de forma periodica?

PUNTAJES Preparado por: Fecha:

Revisado por: Fecha:

El control interno es evaluado de forma periódica.

CUESTIONARIO DE CONTROL INTERNO DOMINIO:

RESPUESTA A RIESGOS

ENTREVISTA-DO:

Tomas Aules

CARGO:

Analista Riesgos

PREGUNTAS

N/ A

¿Se identifica en la matriz de riesgos las acciones oportunas que vamos a tomar en el caso que suceda la eventualidad? ¿Cuándo se genera un riesgo el negocio sigue con su operatividad?

¿Los empleados de la institución saben cómo actuar frente

TFCI005

de DEBILIDADES NO

MAYOR

MENOR

¿Se cuenta con el detalle de acciones para reaccionar oportunamente?

¿Existe planes de acción claros?

RIESGO DE 57 CONTROL NIVEL DE 42 CONFIANZA

CALIFICACIÓN OBTENI TOTAL -DA

COMENTARIOS

La respuesta al riesgo no es oportuna pese a esto se asume el impacto.

La matriz de riegos debe actualizarse . No se cuenta con detalle requerido para una respuesta oportuna. No existe una planeación a futuro. No se tiene ningún plan.

alguna eventualidad con resultados catastrรณficos? PUNTAJES

Preparado por: Fecha:

Revisado por: Fecha:

CUESTIONARIO DE CONTROL INTERNO DOMINIO:

ACTIVIDADES DE CONTROL

RIESGO DE CONTROL NIVEL DE CONFIANZA

ENTREVISTARicardo Estevez DO: CARGO:

N/A

¿Existe procesos para el control de licencias del software que utiliza la institución?

¿Existen actividades de control continua?

¿Está actualizado el procedimien to de controles para la institución? ¿Existe preocupació n por parte de la dirección de TI para adaptar

TF-CI006

Auditor Interno DEBILIDADES

PREGUNTAS

MAYOR

MENOR

CALIFICACIÓN OBTETOTAL NIDA

COMENTARIOS La licencias del software no son legales pese a esto se sigue operando. Los controles deben actualizarse y aplicarse.

La aplicación de controles debe ser actualizado .

La dirección de TI prioriza otros procesos.

estos procesos?

¿Las líneas de supervisión saben qué controles aplicar?

PUNTAJES Preparado por: Fecha:

Revisado por: Fecha:

No tienen ningún lineamient o para la aplicación de controles.

CUESTIONARIO DE CONTROL INTERNO DOMINIO:

INFORMACIÓN Y COMUNICACIÓ N

RIESGO CONTROL

ENTREVISTALuis Ortiz DO: CARGO: PREGUNTAS ¿Los sistemas informáticos producen informes que contienen información operativa? ¿Los sistemas informáticos producen informes que contienen información financiera? ¿Los sistemas informáticos producen informes que contienen datos sobre el cumplimient o de las normas que

NIVEL DE 80 CONFIANZA

TFCI007

Comunicación N/A

DEBILIDADES

CALIFICACIÓN

MAYOR

OBTENIDA

MENOR

TOTAL

COMENTARIOS

El software de CACSA fue adquirido no hecho a medida.

El sistema si maneja informacion financiera.

permite dirigir y controlar el negocio de forma adecuada? ¿Manejan información sobre acontecimie ntos internos, actividades para la toma de decisiones de gestión? ¿Los empleados saben que los superiores desean enterarse de los problemas de comunicació n que se presentan?

La informacion es manejada solo por correo electronico y vuelve no confiable.

Los empleados si conocen de la necesidad.

PUNTAJES

Preparado por: Fecha:

Revisado por:

Fecha:

CUESTIONARIO DE CONTROL INTERNO DOMINIO:

SUPERVISIÓN Y MONITOREO

RIESGO DE CONTROL NIVEL DE CONFIANZA

ENTREVISTAJuan Castro DO: CARGO:

¿Existe un proceso que compruebe que se mantiene el adecuado funcionamie nto del sistema a lo largo del tiempo? ¿Existen actividades de supervisión continuada? ¿Existe supervisión rutinaria de las tareas administrativ as? ¿Existe una lista de proveedores autorizados?

TFCI008

Monitoreo DEBILIDADES

PREGUNTAS

N/A

MAYOR

MENOR

CALIFICACIÓN OBTENITOTAL DA

COMENTARIOS

No existe un proceso de seguimiento de continuidad del sistema.

La proceso de supervision es ambigua.

No existe un listado de proveedores autorizados.

¿Existe comprobació n física de los datos registrados en el sistema de información?

PUNTAJES

Preparado por: Fecha:

Revisado por: Fecha:

Si existe comprobacio n física datos registrados en el sistema de información pero no como política.

Ejemplo práctico 4. SISTEMAS COMUNICACIONES. AUDITORÍA TELECOMUNICACIONES

DE EN

Las evaluaciones independientes y auditorías especializadas, como en este caso la Auditoría en Comunicaciones, aportan a mirar objetiva y puntualmente un ámbito del que se presume falencias o debilidades, para este ejemplo en particular facilitará el conocer cómo se gestionan las comunicaciones, poniendo especial atención en aspectos filosóficos, organizacionales, operativos, procedimentales y la documentación de soporte que norma y orienta el que hacer de una empresa. Para esta Auditoría se cuida mucho el tema de seguridad para lo que se examinan no solo las herramientas de gestión, control y seguridad sino las instalaciones, su orden y observancia de las buenas prácticas.

4.1. DESCRIPCIÓN DE LA EMPRESA Soluciones Informáticas Personalizadas inicia sus actividades en el año 2006 como una empresa de soluciones informáticas, teniendo como Core Business el Soporte Técnico para Empresas. La constante dedicación por atender las demandas de sus clientes, la profesionalidad y compromiso de su staff ha permitido que se posicionen como una empresa de referencia en el mercado empresarial en poco tiempo. La continua evolución y el aval de 6 años de desarrollo, crecimiento y experiencia dan como resultado la ampliación de sus servicios, entre los que se destacan:    

Venta de Hardware Instalación de redes de comunicaciones Desarrollo de sitios Web Hosting

 

Desarrollo de aplicaciones a medida Diseño de estructuras de Redes

De este modo buscamos ser más que un proveedor de servicios, buscamos ser el aliado tecnológico de nuestros clientes, asumiendo el compromiso de asegurarles la óptima utilización y funcionamiento de sus recursos informáticos. Misión: Ser un puntal en el desarrollo y crecimiento de nuestros clientes alineándonos a sus objetivos estratégicos y apoyándolos en el mejoramiento y simplificación de procesos, mediante la utilización correcta y eficiente de la tecnología y las soluciones informáticas. Visión: Ser para el 2020 una empresa sólida con reconocimiento internacional, exportando servicio de calidad y generando recursos de empleo y financieros. Objetivos: 



Proporcionar soluciones y valor añadido a su negocio, optimizando sus recursos y aprovechando al máximo todas las posibilidades que ofrecen las nuevas tecnologías de la información. Brindar un grado de fiabilidad y confianza muy alto a las Empresas que son acreedoras de nuestros productos y servicios.

Estrategias: Las directrices se centran a impulsar los lineamientos estratégicos más importantes para la Empresa, generando el valor económico incremental para accionistas y el país basados en la productividad, brindar servicios de calidad y la administración de riesgos y participación de mercado.

MARCO ESTRATÉGICO PRODUCTIVIDAD RENTABILIDAD GENERACIÓN DE VALOR ECONÓMICO

ADMINISTRACIÓN DE RIESGOS PARTICIPACIÓN

ESTRATEGIAS

IDENTIFICACIÓN DE CLIENTES

GENERACIÓN DE VENTAJA COMPETITIVA EN CALIDAD Y PRODUCTIVIDAD

DE MERCADO OBTENCIÓN DE RESULTADOS

Gráfico 15: Marco Estratégico. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

4.2. PLANIFICACIÓN DE LA AUDITORÍA El propósito de esta Auditoría es evaluar los controles de seguridad para proteger los recursos de la red física y lógica de la Empresa Soluciones Informáticas Personalizadas de la ciudad de Manta provincia de Manabí.

4.3. OBJETIVO Evaluar el ambiente de control físico y lógico sobre los dispositivos de la red de área local de la Empresa Soluciones Informáticas Personalizadas de la ciudad de Manta provincia de Manabí.

4.4. ALCANCE La Auditoría está limitada a la seguridad física y lógica de la red de área local de la Empresa Soluciones Informáticas Personalizadas.

4.5. DEFINICIÓN DEL EQUIPO Gerente de Proyecto. Será el responsable total del planeamiento y la ejecución de la Auditoría a desarrollarse. Consultores. Será el responsable de asesorar con un conocimiento especializado para emitir las respectivas conclusiones y recomendaciones en cuanto a los hallazgos encontrados. Especialista en Comunicaciones. Será el responsable de determinar la topología de red utilizada por la empresa, sus recursos físicos y la seguridad que esta posee, para determinar e identificar los riesgos potenciales y poder establecer controles respectivos. 4.6. IDENTIFICACIÓN DE RIESGOS Tabla 28. Identificación de Riesgos. AMBITO DE LA REDES

SEGURIDAD FISICA

SEGURIDAD LOGICA

RIESGOS POTENCIALES Áreas de equipo de comunicación sin control de acceso. Inadecuada tendido de cables y líneas de comunicación. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella. Falta de planes de recuperación del sistema de comunicaciones Falta de políticas de acceso a cada sesión

No contar con rutas alternativas de comunicación Falta de políticas de prohibición para instalar programas o equipos personales. Falta de gestión de información de protocolos, control de estadísticas de errores en la transmisión. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

4.6.1.

EVALUACIÓN DE RIESGOS Tabla 29. Evaluación de Riesgos.

AMBITO

RIESGOS PROBABI IMPAC- RESULPOTENCIA-LIDAD TO TADO LES Áreas de equipo de comunicació n sin control de acceso. Probable Mayor

SEGURIDA D FISICA Inadecuada tendido de cables y líneas de comunicación.

Casi cierto

Modera do

EFECTOS

Personal no autorizad o manipulen la configurac ión de los equipos. Dificultad en el crecimient o de la infraestru ctura de red.

Control de utilización de equipos de prueba de comunicacio Probable Mayor nes para monitorizar la red y el tráfico en ella. Falta de planes de recuperació n del sistema Probable Mayor de comunicaciones.

Falta de políticas de acceso a sesiones.

Probable

Modera do

SEGURIDA No contar D LOGICA con rutas Modera alternativas Probable do de comunicación. Falta de políticas de Modera prohibición Posible do para instalar programas o

100

Mal funcionam iento en el tráfico de la red.

Estancami ento de operacion es en sistema de comunicaciones. Acceso de usuarios no autorizados a la red de comunicaciones. Estancamiento de operaciones en sistema de comunicaciones. Acceso a la red con programas y equipos

equipos personales.

no autorizados.

Falta de gestión de información de protocolos, Probable Mayor control de estadísticas de errores en la transmisión.

Transmisión de información errónea, comunicación no fiable.

Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

NOTA: PROBABILIDAD

IMPACTO

Raro

Insignificante

Improbable

Menor

Posible

Moderado

Probable

Mayor

Casi cierto

Catastrófico

101

4.6.2.

DETERMINACIÓN DE CONTROLES Tabla 30. Determinación de controles.

AMBITO

RIESGOS POTENCIALES

CONTROL

Áreas de equipo de comunicación sin control de acceso.

DESCRIPCION DE CONTROLES

Diseño e implementación de políticas de seguridad de acceso físico, para que Preventivo los equipos de comunicaciones estén en un lugar cerrado y con acceso limitado. Inadecuado Aplicar normas y tendido de cables y procedimientos para líneas de separar las actividades comunicación. eléctricas del de cableado Preventivo de red y de líneas SEGUIRtelefónicas. DAD Las líneas de comunicación FÍSICA estén fuera de la vista. Control de utilización de Verificación de la equipos de prueba utilización de equipos de comunicaciones Detectivo adecuados de para monitorizar la monitorización de la red. red y el tráfico en ella. Falta de planes de Diseño e implementación recuperación del de un plan de Correctivo sistema de recuperación del sistema comunicaciones. de comunicaciones.

102

Diseño e implementación de políticas de acceso a la red por parte de los usuarios. Como: -Solicitar usuario y contraseña para cada sesión. Falta de políticas Inhabilitar al usuario de acceso a Preventivo después de n intentos sesiones. fallidos. Cambios periódicos de claves por parte de los usuarios. Enmascarar las claves en la pantalla. -Informar al usuario cual fue su última conexión. SEGURID Diseño e implantación de AD un plan de contingencia LOGICA como alternativa de Correctivo No contar con comunicaciones para rutas alternativas asegurar la continuidad de de comunicación. operaciones. Falta de políticas de prohibición Aplicar políticas de para instalar prohibición de instalación Preventivo programas o de programas y equipos equipos personales en la red. personales. Falta de gestión de Realizar informes de información de seguimiento periódicos de protocolos, control Detectivo monitorización de de estadísticas de protocolos, estadísticas de errores en la errores en la transmisión. transmisión. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

103

4.7. TOPOLOGÍA DE RED DE COMUNICACIONES

Gráfico 16. Topología de red LAN de la Empresa. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

104

4.7.1.

PLANO DE LA RED DE COMUNICACIONES

Gráfico 17. Plano de red LAN de la Empresa. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

4.8. LISTA DE VERIFICACIÓN Lista de verificación para inspección de la red de comunicaciones. Tabla 31. Lista de verificación.

ASPECTOS A INSPECCIONAR SEGURIDAD FÍSICA SI 1. El equipo de comunicaciones se encuentra en un lugar cerrado y con acceso limitado. 2. La seguridad física del equipo de comunicaciones es adecuada. 3. Se toman las medidas para separar las actividades de los electricistas y de cableado de las líneas telefónicas. 4. Las líneas de comunicación están fuera de la vista. 5. Se da un código a cada línea, en vez de una descripción física de la misma. 105

6. Hay procedimientos de protección de los cables y las bocas de conexión para evitar fallas en la red. 7. Existen revisiones periódicas de la red buscando errores y/o daños a la misma. 8. El equipo de prueba de comunicaciones tiene propósitos y funciones específicas. 9. Existen alternativas de respaldo de las comunicaciones. 10. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores. SEGURIDAD LÓGICA SI 1. Solicita usuario y contraseña por cada sesión. 2. No permite acceso a ningún programa sin identificar ni autenticar. 3. Inhabilita al usuario después de n intentos fallidos. 4. Existen cambios periódicos de claves por parte de los usuarios. 5. Se enmascaran las claves en la pantalla. 6. Se informa al usuario cual fue su última conexión. 7. Se genera estadísticas de errores y transmisión. 8. Crea protocolos con detección de errores. 9. Se identifican los mensajes lógicos. 10. Se cuenta con rutas alternativas de comunicación. 11. Existe protección de datos sensibles. 12. Se asegura que exista un mecanismo de cifrado. 13. Se implantan políticas de prohibición para instalar programas o equipos personales. 14. La propia empresa se genera auto ataques.

Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

106

4.9. EJECUCIÓN DE LA AUDITORIA Con el objeto de constatar la Seguridad Física y Lógica de la red LAN de comunicaciones, el Especialista en Comunicaciones procede con la inspección visual de las instalaciones de la empresa en compañía de personal del área de Tecnología de la empresa, asistiéndose en la Lista de Verificación observando minuciosamente las condiciones físicas de las instalaciones, observando en primera instancia que no se cuenta con un control de acceso electrónico para el área de tecnología. El rack de comunicaciones se encuentra ubicado en un área sin tráfico peatonal, pero sin protección mediante un rack y bloqueo de acceso a través de cerradura. El área de comunicaciones dispone de equipos para probar el cableado, continuidad de los puntos de voz y datos el tendido de cables separa la alimentación de energía del cableado de datos o voz. El monitoreo de la red se realiza con la utilización de una herramienta de monitoreo denominada Whats Up, misma que muestra en una consola de propósito específico el comportamiento de los enlaces y se encuentra configurada para notificar las caídas o interrupciones vía correo electrónico, el personal colectas las estadísticas de funcionamiento y vela el cumplimiento del SLA establecido por el Proveedor, de no cumplirse este se procede con las penalizaciones establecidas, las mismas que consisten en otorgar al Cliente una nota de crédito en función a las horas de afectación. Características de la red de la empresa:  Clase B.  Familia 132.147.160.0.  Máscara: 255.255.0.0. La Institución ha implementado un directorio activo de Microsoft, en el cual se registran las unidades organizativas, se encuentran definidas y en funcionamiento directivas que restringen entre otras, las siguientes operaciones:

107

    

Configuración del sistema. Configuración de la red. Configuración de impresoras. Cambio de propiedades de navegación. Compartir archivos o unidades de almacenamiento.

Mediante el antivirus se ha restringido la utilización de dispositivos USB. Al entrevistar al personal de comunicaciones se pudo conocer que no se encuentran definidas políticas y procedimientos para administrar y supervisar protocoles de detección de errores. El Especialista en Comunicaciones ha determinado apropiado utilizar una herramienta de software para analizar la red, eligiendo para ello a WireShark, tras la instalación del software y una terminal de trabajo, se procedió con la captura de paquetes y la generación de reportes, estos se encuentran en la sección ANEXOS. Por otra parte el Consultor ha mantenido entrevistas con el personal del área de comunicaciones, indagando sobre la existencia de políticas y procedimientos en materia de gestión de comunicaciones, constatando además que existe la documentación impresa y publicada en la Intranet, con el objeto de que sea conocida y practicada por el personal, las secciones principales abordadas en la documentación son:           

Comunicación. Telefonía. Cableado Estructurado. Hardware y Software. Internet. Correo electrónico. Antivirus. Active Directory. Soporte a usuarios. Seguridad. Control de acceso al Centro de Cómputo.

108

Dentro de la planificación del departamento se encuentran definidos cronogramas para el mantenimiento de:     

Mantenimiento de Centro de Cómputo. Mantenimiento de cableado. Mantenimiento de aire acondicionado. Mantenimiento de UPS. Mantenimiento de Generadores Eléctricos.

La ejecución de estas tareas observa y cumple con las políticas para lo cual se establece:  Autorización para realizar los trabajos incluyendo los horarios establecidos para ello.  Verificación de identidades.  Asignación de personal que facilitará la ejecución de las tareas y supervisará las actividades realizadas.  Firma de documento posterior a la ejecución de los trabajos. La seguridad de la red es controlada mediante procedimientos de asignación de IPs y autorización de conexión de equipos, previa revisión de las condiciones en las que se encuentran los mismos por parte del Oficial de Seguridad y la aprobación del Jefe de Sistemas. La organización tiene subcontratado un servicio de seguridad que consiste en el arrendamiento de un firewall por hardware y el asesoramiento para su funcionamiento, se encuentra instalado un sistema de alerta y monitoreo que informe y colecta estadísticas sobre intrusiones o ataques. La administración de la red es apropiada, esta consiste en la administración adecuada de un inventario de IPs, equipos activos y diagramas de red. La gestión de comunicaciones cuida tanto el comportamiento de los enlaces como el costo de los servicios, hasta el cumplimiento de SLAs y relación con los proveedores para que se brinde atención efectiva a los incidentes en el ámbito de enlaces de datos. 109

4.10.

INFORME DE HALLAZGOS

Tras realizar las inspecciones a las instalaciones conforme a la Lista de Verificación diseñada, se han presentado los siguientes hallazgos: a) Inadecuada seguridad física de los equipos.- los equipos se encuentran en un área restringida sin embargo no se encuentran dentro un armario con llave de seguridad que evite la manipulación directa de las fuentes de alimentación o cableado conectado a cada uno de los puertos. b) Se da el número telefónico como público, líneas no configuradas con retrollamada ni se asigna código de conexión.- todos los números telefónicos empleados para troncales de llamadas entrantes o salientes constan en el directorio telefónico de la empresa, lo que afecta al funcionamiento de la central telefónica. c) No se informa al usuario cual fue su última conexión.- A nivel de las sesiones de usuario no se muestran avisos respecto a la última conexión exitosas o conexión fallida. d) No se generan estadísticas de errores y retransmisión.- la gestión de comunicaciones no observa las estadísticas de su desempeño, estas no ofrecen análisis de las tasas de error y el nivel de retransmisiones. e) No se han implementados protocolos con detección de errores.- los equipos de comunicación operan con la configuración por defecto. f) No se han identificado los mensajes lógicos.- Pese a disponer de equipos de comunicación facultados a implementar SMNP estos no se encuentran operando y por ende los mensajes lógicos de su funcionamiento no se encuentran monitoreados. g) Los equipos de comunicación no disponen de configuración de rutas alternativas.- el personal de comunicaciones de la empresa ha dado a conocer que cuentan con equipos de comunicación administrables, sin embargo estos no se encuentran configurados con rutas alternativas que se puedan emplear al identificar cortes de comunicación o fallas en los puertos de estos.

110

De la participación del Consultor se encontró el siguiente hallazgo: a) No se mantiene supervisión y control del estado ambiental del centro de cómputo, dentro de este punto se podría contar con equipos que registren y alarmen eventos que afecten las condiciones ambientales del centro de cómputo.

4.11. 



  

CONCLUSIONES

La Auditoría que se realizó a la red de comunicaciones de la Empresa Soluciones Informáticas Personalizadas comprendió un análisis del estado de toda la red, es decir, una estructura existente, infraestructura lógica y física, problemas y rendimiento de la misma. La Auditoría se basó en un método de entrevistas, de análisis y observación, de esta manera se puso a prueba la red de comunicaciones de la Empresa, evaluando su desempeño y seguridad. Se pudo observar también durante la Auditoría que existen ciertos problemas en cuanto al control del estado ambiental del Centro de Cómputo, determinando que se deben implementar medidas de seguridad para evitar que existan daños a los equipos y perjudique a la empresa tanto en la parte operativa y económica. La empresa mantiene adecuadamente la seguridad física de la red, los controles preventivos y detectivos implementados ofrecen un alto nivel de efectividad. La seguridad lógica de la red en la empresa auditada denota la necesidad de ser fortalecida inclusive a nivel de controles preventivos. En cuanto a la captura de datos realizada con la herramienta Wireshark determina: o Que el tráfico principal obedece a TCP y HTTP. o Que el tráfico revisado permite mirar que labores del personal se orientan de manera productiva, sin la utilización de los enlaces con fines distractores.

111

4.12. 

    

RECOMENDACIONES

Implementar un sistema de monitoreo de las condiciones ambientales del centro de cómputo con la funcionalidad de alertar sobre eventos que podrían generar consecuencias al funcionamiento de los equipos y servicios tecnológicos. Segmentar la red para emplear únicamente el número de host que se requiera en la empresa. Colocar los centros de cableado en lugares adecuados, fuera del alcance de personas no autorizadas e identificar los dispositivos principales. Escribir y documentar los lineamientos generales para la Gestión de Red. Que los encargados realicen acciones necesarias para: o Mantener el cableado en buenas condiciones o Mantener los conectores en buen estado. Diseñar e implementar políticas de seguridad físicas y lógicas en la red LAN, con el fin de prevenir accesos irregulares en el funcionamiento de la misma.

4.13.

ANEXOS

Tabla 32. Lista de verificación para inspección de la red de comunicaciones.

ASPECTOS A INSPECCIONAR SEGURIDAD FÍSICA SI 1. El equipo de comunicaciones se encuentra en X un lugar cerrado y con acceso limitado. 2. La seguridad física del equipo de comunicaciones es adecuada. 3. Se toman las medidas para separar las X actividades de los electricistas y de cableado de las líneas telefónicas. 4. Las líneas de comunicación están fuera de la X vista. 5. Se da un código a cada línea, en vez de una X descripción física de la misma.

112

6. Hay procedimientos de protección de los X cables y las bocas de conexión para evitar fallas en la red. 7. Existen revisiones periódicas de la red X buscando errores y/o daños a la misma. 8. El equipo de prueba de comunicaciones tiene X propósitos y funciones específicas. 9. Existen alternativas de respaldo de las X comunicaciones. 10. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores. SEGURIDAD LÓGICA SI 1. Solicita usuario y contraseña por cada sesión. X 2. No permite acceso a ningún programa sin X identificar ni autenticar. 3. Inhabilita al usuario después de n intentos X fallidos. 4. Existen cambios periódicos de claves por parte X de los usuarios. 5. Se enmascaran las claves en la pantalla. X 6. Se informa al usuario cual fue su última conexión. 7. Se genera estadísticas de errores y transmisión. 8. Crea protocolos con detección de errores. 9. Se identifican los mensajes lógicos. 10. Se cuenta con rutas alternativas de comunicación. 11. Existe protección de datos sensibles. X 12. Se asegura que exista un mecanismo de X cifrado. 13. Se implantan políticas de prohibición para X instalar programas o equipos personales. 14. La propia empresa se genera auto ataques. X

X X X X X

Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

113



Fotografías de la Inspección y la Entrevista

Gráfico 18. Rack de comunicaciones. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

114

Grรกfico 19. Aire Acondicionado Portable. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrรณn Benalcรกzar.

115

Gráfico 20. Alertas presentadas por el Firewall. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Gráfico 21. Eventos registrados por el Firewall. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

116

Down Time - Servicios y Enlaces de Red 0.70 0.60 0.50 0.40 0.30 0.20 0.10

Down Time de Enlace Red DTE

Octubre

Agosto

Septiembre

Down Time de Servicios DTS

Julio

Junio

Mayo

Abril

Marzo

Febrero

Enero

0.00

Gráfico 22. Registro de disponibilidad de Servicios de TI y enlaces de datos. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.



Informe WireShark

Gráfico 23. Jerarquía de protocolos. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

117

Gráfico 24. Conversaciones. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Gráfico 25. Conversaciones IPV4. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

118

Gráfico 26. Conversaciones TCP. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Gráfico 27. Direcciones IP. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

119

Gráfico 28. Distribuciones de carga. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Gráfico 29. Flujo TCP. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

120

Gráfico 30. Protocolos. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

Gráfico 31. Gráfico de Entrada/Salida 1. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.

121

Gráfico 32. Gráfico de Entrada/Salida 2. Autores: Leopoldo Venegas Loor, Fredy Esparza Bernal, Daniel Guerrón Benalcázar.



Inventario de Elementos Activos

Dentro de los elementos activos de la empresa se encuentran: 1) Un switch cisco características:         

catalys

2960s

con las

siguientes

Conmutador - 24 puertos. Tipo de dispositivo Conmutador. Factor de forma Externo - 1U. Dimensiones (Ancho x Profundidad x Altura) 44.5 cm x 32.8 cm x 4.4 cm. Peso 4.5 kg. Memoria RAM 64 MB. Memoria Flash 32 MB. Cantidad de puertos 24 x Ethernet 10Base-T, Ethernet 100Base-TX, Ethernet 1000Base-T. Velocidad de transferencia de datos 1 Gbps. 122

     



Protocolo de interconexión de datos Ethernet, Fast Ethernet, Gigabit Ethernet. Puertos auxiliares de red 4x10/100/1000Base-T/SFP (miniGBIC)(señal ascendente). Protocolo de gestión remota SNMP 1, RMON, Telnet, SNMP 3, SNMP 2c. Modo comunicación Semidúplex, dúplex pleno. Auto-sensor por dispositivo, soporte de DHCP, negociación automática, soporte VLAN, snooping IGMP. Cumplimiento de normas IEEE 802.3, IEEE 802.3u, IEEE 802.3z, IEEE 802.1D, IEEE 802.1Q, IEEE 802.3ab, IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.1s, IEEE. 802.3ah. Alimentación CA 120/230 V ( 50/60 Hz ).

2) Un AP linksys Modelo WAP54G-LA con las siguientes características: Estándares Puertos/botones

Tipo de cables Luces Potencia de transmisión

Funciones seguridad Bits de WEP

clave

• IEEE 802.11g, IEEE 802.11b, IEEE 802.3, IEEE 802.3u. • Un puerto cruzado automático (MDI/MDI-X) 10/100, puerto de alimentación, botones de reinicio y SES. • Categoría 5 (con conectores RJ-45). • Alimentación, Actividad, Enlace. • 802.11g: Habitualmente 13.5 +/- 2 dBm a temperatura. normal • 802.11b: Habitualmente 16,5 +/- 2 dBm a un intervalo de temperatura normal. • WPA, encriptación WEP, filtrado de direcciones MAC, activación/desactivación de difusión de SSID. • 64/128 bits.

123

Dimensiones Peso Alimentación externa Certificación

• 186 m x 48 mm x 169 mm (7.32” x 1.89” x 6.65”). • 4.6 kg (1.01 libras). • 12 V CC. • FCC, CE, Wi-Fi (802.11b y 802.11g).

3) Dos servidores HP ProLiant ML330 G6 con las siguientes características: Número de procesadores Núcleo de procesador disponible Memoria, máximo Ranuras de memoria Tipo de memoria

2 6

192 GB 18 ranuras DIMM RDIMM PC3-8500R/10600R DDR3;UDIMM DDR3 PC3-10600E Ranuras de (4) ranuras PCI-E y (2) ranuras PCI-X, con expansión ampliador PCI X (usa 1 ranura PCI-E) Controlador de red 2 Puertos 1 GbE NC326i Tipo de fuente de Opción redundante alimentación Controlador de (1) RAID SATA B110i Smart Array; (1) Smart almacenamiento Array P410/Memoria cero Formato (totalmente Bastidor de 5U, torre configurado) Gestión de Estándar iLO, Insight Control infraestructura

124

Ejemplo práctico 5. REGLAMENTO PARA EL USO DE HERRAMIENTAS TECNOLÓGICAS Este ejemplo práctico se afianza en la seguridad de la información en las empresas, considerando que el talento humano de las organizaciones requiere emplear tecnología de información en su labor, no obstante, es saludable tener claramente delineado su uso, poner en claro las restricciones, riesgos y de manera complementaria conducir a la aplicación de buenas prácticas que creen un entorno confiable y controlado. Como resultado se tiene un aporte para las empresas, con instrumentos formales, materializados en Acuerdos de Confidencialidad y Compromiso Ético.

5.1. INTRODUCCIÓN A lo largo de los últimos años se sucedieron, cada vez con mayor frecuencia, avances tecnológicos que modificaron radicalmente nuestro modo de vida. Estos cambios vertiginosos, al que por lo general nos vemos exigidos de adherirnos, generan múltiples problemas de adaptación en la sociedad en general. Quizá el mayor inconveniente no estribe en lo radical que pudiera llegar a ser un cambio en sí, sino en la velocidad con la que se sucede un cambio tras otro. Sin embargo, la generación de estos cambios y su impacto en la sociedad no constituyen un fenómeno de nuestros tiempos sino de toda la historia del hombre. Es útil distinguir entre cambios tecnológicos (o cambios de tecnología) y cambios generados por la tecnología. Un cambio tecnológico es aquel que se produce a raíz de un avance o descubrimiento tecnológico que modifica el modo actual en el que se está realizando una determinada actividad. A causa de un cambio tecnológico puede o no producirse un cambio en el modo de vida o en la cultura de una sociedad; de producirse éste, nos encontraríamos frente a un cambio generado por la tecnología. Es decir, que un cambio motivado por la tecnología es una modificación radical y novedosa de los modos de 125

vivir de una sociedad que modifica los usos y costumbres de la misma. Por ejemplo, un pequeño cambio tecnológico puede permitir que una empresa sea más eficiente en producir un determinado bien, pero esa mejora de la eficiencia no necesariamente tendría un impacto directo en el modo de vida de la sociedad que consume el bien, ni siquiera necesariamente en el precio que paga por dicho producto. Ahora, si un cambio tecnológico permite a una sociedad obtener un nuevo medio de comunicación o un nuevo medio de transporte, por ejemplo, se generaría también un cambio en la cultura de la sociedad que lo consume; se produciría un cambio generado por la tecnología. Al momento de analizar los cambios sociales producidos por la incorporación de nuevas tecnologías, se debe tener en cuenta las características de la sociedad que lo realiza. Una sociedad como la americana o de los países europeos desarrollados son claros demandantes de tecnología y por lo general la demanda tecnológica está precedida por un nivel de desarrollo cultural y social que le permite a estas sociedades absorber y adaptarse más fácilmente a aquel avance tecnológico que necesitaba y estaba esperando. En contrapartida, las sociedades adoptantes de tecnología, son aquellas que, por cuestiones de negocios, necesidad de actualización –ejemplo el problema del año 2000- y la globalización, entre otras causas, se ven obligadas a adoptar tecnologías sin tener el desarrollo cultural y social necesario. Estas sociedades se enfrentan a cambios para los cuales no están necesariamente maduras. Debido a estos cambios de la tecnología, las nuevas políticas y demás en la actualidad se viene dando un caso dentro de los lugares de trabajo conocido como el ABSENTISMO PRESENCIAL, el cual se produce cuando un trabajador acude a su puesto de trabajo pero se dedica a realizar actividades que no guardan relación con él. El absentismo presencial es un antiguo problema que se ha visto agudizado en la actualidad por las siguientes circunstancias:  Irrupción y extensión del uso de Tecnologías de la Información (Internet o correo electrónico) frente a otros medios “tradicionales” (teléfono o fax).  Mayores riesgos del absentismo laboral en épocas de crisis. 126

 Posibilidad de reducción de la productividad de los empleados.  Ejemplos de absentismo presencial:  Revisar el correo electrónico personal.  Realizar llamadas telefónicas personales.  Leer el periódico en el puesto de trabajo.  Fumar fuera de los usos y costumbres de la empresa.  Alargar el tiempo del café.  Navegar en internet con fines personales.  Chatear.  Aprovechar las salidas de la oficina para realizar asuntos de la empresa y personales.

5.2. OBJETIVOS  Regular el uso de las tecnologías de información y comunicación en la Empresa S.A., con el fin de racionalizar y optimizar el uso de dichos recursos y servicios.  Fomentar los valores en el personal como la responsabilidad, la eficiencia y la productividad en el uso de recursos.

5.3. DEFINICIONES Código malicioso: En seguridad informática, es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Los códigos maliciosos pueden tener diferentes objetivos como robar información y claves, mostrar publicidad invasiva, eliminar archivos e incluso formatear el disco duro. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts). Cuentas de Servicios Informáticos Institucionales o cuentas de usuario: registro electrónico individual para un usuario de los Servicios Informáticos Institucionales que tienen asociados, entre otros datos, un nombre (ID usuario, user ID, login name, user name), una contraseña (password) y otra información que identifica al titular y determina su tipo de vinculación con la comunidad universitaria, sus privilegios de acceso a uno o varios servicios informáticos y/o su perfil en un sistema de información. 127

Derecho de autor: Es el conjunto de normas que protegen al autor como creador de una obra en el campo literario, artístico o científico, entendida ésta, como toda expresión humana original, producto del ingenio y del talento que se ve materializada de cualquier forma perceptible por los sentidos. Herramienta de hacking: Programa de computador que puede ser utilizado por una persona para acceder de forma no autorizada o ilegal, hacker, con el fin de causar perjuicios a los usuarios, servicios o infraestructura tecnológica, pudiendo obtener el control del equipo afectado, obtención de información confidencial, chequeo de puertos de comunicaciones, entre otros. Infraestructura para el procesamiento de información: Es un conjunto de recursos tecnológicos y de infraestructura física que se combina de forma integral para tratar de manera adecuada la información que los usuarios requieren para el desempeño de sus funciones académicas o administrativas. Infraestructura tecnológica: La infraestructura tecnológica se encuentra integrada por un conjunto de elementos de hardware (servidores, puestos de trabajo, redes, enlaces de telecomunicaciones, etc.), software (sistemas operativos, bases de datos, lenguajes de programación, herramientas de administración, etc.) y servicios (soporte técnico, seguros, comunicaciones, etc.) que en conjunto dan soporte a las aplicaciones (sistemas de información) de la Institución. Licencia de software: Es un contrato, en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado programa por parte de los usuarios o licenciatarios. Principalmente se estipulan los alcances de uso, instalación, reproducción y copia de estos productos. Modo Ad-hoc: Modo (particularmente en redes inalámbricas) en el que los computadores se conectan entre sí, directamente, sin ningún punto de acceso o infraestructura de telecomunicaciones. Propiedad Intelectual: Es aquella propiedad que recae sobre las creaciones intelectuales, producto del talento humano. La propiedad intelectual se configura como un marco normativo genérico que 128

comprende como especies del mismo: el régimen legal del Derecho de Autor y de los Derechos Conexos; el régimen de la Propiedad Industrial; el régimen contractual o convencional sobre Información Confidencial, Privilegiada, Know How, entre otros. Recursos tecnológicos: Elementos de tecnología que pueden ser hardware y/o software, tales como equipos de cómputo, servidores, impresoras, teléfonos, faxes, programas y/o aplicativos de software, dispositivos USB, entre otros. Redes Informáticas: Son aquellas redes a través de las cuales los miembros de la organización tienen acceso a servicios informáticos ofrecidos a nivel corporativo. Sistema de información: Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales. Software de libre distribución: Es aquel software que puede modificarse y distribuirse gratuitamente por cualquier persona. Software no autorizado: Es aquel software que no cuenta con una licencia de uso y no corresponde a una función específica o no se encuentra autorizado, su uso a nivel institucional por parte de la Dirección de Tecnologías de Información. Tecnologías de información y comunicación: Es todo conjunto de servicios e infraestructura tecnológica que tienen como fin la adquisición, producción, almacenamiento, tratamiento, comunicación, registro y presentación de información o datos. Usuario: Es aquella persona natural o jurídica que por su vinculación permanente o transitoria con la institución puede hacer uso de las Tecnologías de Información y Comunicación suministradas por esta.

129

5.4. LINEAMIENTOS GENERALES 5.4.1. GENERALIDADES El personal de la Empresa S.A tiene derecho al uso de los servicios de tecnologías de información y telecomunicaciones, mientras se encuentre vigente su vinculación a la Empresa mediante contrato laboral, de prestación de servicios, entre otros. De acuerdo con los Estatutos de la Empresa, los clientes forman parte de la misma, por lo tanto, tienen derecho igualmente al uso de estos servicios. Entidades diferentes a la Empresa como proveedores podrán ser usuarios de los servicios de tecnologías de información en los términos previstos en los convenios y/o contratos específicos que hayan sido suscritos y cumpliendo como mínimo las normas enunciadas en este documento. La aplicación de las normas y lineamientos contenidos en el presente manual son de obligatorio cumplimiento para los usuarios de las Tecnologías de Información y Comunicaciones de la Empresa S.A. El usuario deberá leer y observar estas normas; el desconocimiento de las mismas no le exime de las responsabilidades y sanciones internas, así como de tipo legal a las que haya lugar, las cuales recaerán exclusivamente en el infractor. La violación de cualquiera de estas normas podrá acusar al usuario la suspensión y/o cancelación de la cuenta de Servicios Informáticos empresariales, la suspensión indefinida de todos los servicios tecnológicos y demás sanciones contempladas en los reglamentos de la Empresa o en contratos firmados entre las partes, así como las de tipo legal a las que haya lugar. Es responsabilidad de todos los usuarios informar a la Dirección de Tecnologías de Información cualquier sospecha de incumplimiento de esta norma.

130

5.5. ORGANIZACIÓN DEL DOCUMENTO El reglamento ha sido estructurado de la siguiente forma: El apartado “5 Normas generales sobre el uso de las tecnologías de información y comunicación de la Empresa” enuncia las normas aplicables a personal, usuarios, proveedores. El apartado “6 Normas específicas sobre el uso de las tecnologías de información y comunicación de la Empresa” enuncia normas específicas y aplicables solamente al personal de la Empresa.

5.6. SERVICIOS Los usuarios tienen derecho a disfrutar los siguientes servicios: Buzón de correo electrónico empresarial. Servicio de correo electrónico durante 6 días a la semana, 24 horas del día, a excepción de los casos de mantenimiento preventivo o correctivo. Acceso a sistemas de información y a redes informáticas de la Empresa según se considere necesario. Soporte técnico para la solución de problemas relacionados con el uso de la infraestructura institucional para el procesamiento de información. La Dirección de Tecnologías de Información es la unidad encargada de “asumir integralmente la planeación, desarrollo, mantenimiento, soporte, evaluación y control de las Tecnologías de Información y Comunicación en la Empresa, de acuerdo con la Planeación desarrollada, y en los casos en que corresponda coordinar estas acciones con los demás departamentos de la Empresa que emplean tecnologías como soporte para el ejercicio de las actividades administrativas y atención al usuario". Entre los servicios que presta se cuentan:

131

 Implementación de nuevas soluciones de Tecnologías de Información y Comunicación.  Sistemas de información y soluciones de apoyo.  Cuentas de Servicios Informáticos y correo electrónico.  Hardware y software de equipos de cómputo de escritorio.  Comunicaciones internas como telefonía, internet y redes de datos.  Asesoría en la adquisición, diseño e implementación de infraestructura tecnológica.  Alojamiento de aplicaciones y servicios empresariales, así como de servidores y dispositivos de almacenamiento.

5.7. NORMAS GENERALES SOBRE EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN 5.7.1. USO DE LAS REDES INFORMÁTICAS INSTITUCIONALES Los usuarios de las redes informáticas empresariales deben cumplir las siguientes normas: Utilizar las redes informáticas solamente para fines propios de las actividades, del medio o administrativas de la empresa. No está permitido acceder a Internet con fines diferentes a los propios de las actividades, del medio o administrativas de la empresa. Respetar la protección legal otorgada a las obras literarias (entre ellas el software), artísticas, científicas, y bases de datos según la legislación internacional, supranacional y nacional sobre propiedad intelectual. Está expresamente prohibido descargar, usar, intercambiar y/o instalar software no autorizado, información y/o productos, que de alguna forma atenten contra el régimen legal de la propiedad intelectual. No descargar, usar, intercambiar y/o instalar archivos que contengan código malicioso o herramientas de hacking. No obtener ni suministrar información perteneciente a la empresa, a sus usuarios o funcionarios sin la debida autorización; no dar a conocer 132

códigos de seguridad tales como contraseñas o códigos telefónicos a otras personas. Respetar la integridad de los sistemas de información. Esto significa que ningún usuario podrá adelantar acciones orientadas a dañar, atacar o entorpecer la información que se procesa o almacena en los sistemas de la empresa, ya sea a través de medio físico o electrónico alguno. No hacer uso de herramientas que comprometan la disponibilidad, desempeño y confidencialidad de datos transportados por la red. No se permite el uso de Internet en el área de la empresa a través del sistema telefónico. La creación de nuevas redes o reconfiguración de las existentes, solo podrá ser adelantada por personal autorizado por la Dirección de Tecnologías de Información. Vigilar por que se mantenga instalado y actualizado el software de antivirus en el computador, así como su sistema operativo y las aplicaciones, debiéndose informar a la Dirección de Tecnologías de Información de cualquier alerta generada por el equipo referente a la ausencia, inactividad o vencimiento del antivirus instalado en su equipo de trabajo. Cada uno de los usuarios será responsable de dar un uso adecuado a las redes informáticas, las cuales no podrán ser utilizadas para realizar prácticas ilícitas o mal intencionadas que atenten contra terceros, el orden público, las buenas costumbres, la legislación vigente o las normas internas de la empresa. Nota: Es responsabilidad de cada usuario, según lo considere necesario, realizar las copias de respaldo de su información. La empresa no se hace responsable por la pérdida de información, resultante de interrupciones en el servicio de redes institucionales, causadas por virus, configuraciones de los sistemas operativos o acciones voluntarias o involuntarias de los usuarios. La Dirección de Tecnologías de Información indicará a los usuarios que lo requieran, las alternativas para realizar las copias de respaldo de su información. 133

5.7.2. USO DE CUENTAS DE SERVICIOS INFORMÁTICOS INSTITUCIONALES La empresa asignará una cuenta de Servicios Informáticos Empresariales a empleados, directivos, y personal administrativo que la requieran. Generalmente la cuenta de Servicios Informáticos Institucionales tiene asociada un buzón de correo electrónico. Dicha cuenta es personal e intransferible y su uso está sujeto a las siguientes normas: Las características técnicas y el manejo de la cuenta de Servicios Informáticos Institucionales se encuentran enunciados en las Directrices del Servicio de Cuentas de Servicios Informáticos Institucionales comunicadas a través de circulares. Los usuarios deben reportar a la Dirección de Tecnologías de Información cualquier sospecha de que una persona esté utilizando la cuenta que no le pertenece. No está permitido acceder a las cuentas de Servicios Informáticos Institucionales de otras personas, sin su autorización expresa. Los usuarios deben tener en cuenta que el correo electrónico a través de las redes informáticas no es seguro y tener precaución con los mensajes de correo electrónico que envían, reciben y conservan. En el uso del correo electrónico no está permitido: Atentar contra la buena imagen y reputación de la empresa. Enviar o reenviar cadenas de correo, mensajes ajenos al quehacer de la empresa (por ejemplo, mensajes con contenido racista, sexista, pornográfico, publicitario no institucional) o cualquier otro tipo de mensajes que atenten contra la dignidad de las personas, mensajes mal intencionados que puedan afectar los sistemas internos o de terceros, mensajes que vayan en contra de las leyes, la moral, las buenas costumbres y mensajes que inciten a realizar prácticas ilícitas o promuevan la violencia.

134

Enviar mensajes masivos para expresar desavenencias, comentarios y opiniones personales o discusiones alrededor del algún tema en particular. Para expresar comentarios y sugerencias se deben utilizar los conductos regulares y las cuentas de correo destinadas para esto fines. Enviar correo tipo SPAM, es decir “correo basura”, por ejemplo enviar mensajes relacionados con falsos virus, publicidad de empresas, robo de datos personales, etc. Enviar mensajes de correo electrónico, alterando la dirección electrónica del remitente para suplantar a terceros; identificarse como una persona ficticia simplemente no identificarse. 5.7.3. FALSIFICAR MENSAJES DE CORREO ELECTRÓNICO Usar cuentas de correo distintas a la suministrada por la empresa para el desarrollo de las actividades normales, del medio o administrativas en la Institución. De esta forma, todos los trámites de gestión o administrativa, se deben realizar haciendo uso de la cuenta de correo empresarial. Enrutar mensajes de correo a través de servidores diferentes a la infraestructura de correo empresarial, de igual forma, instalar software no autorizado para el envío de correos. Nota: La empresa no asume responsabilidad alguna por los contenidos emitidos a través del correo electrónico o por el uso ilegal y mal intencionado por parte de los usuarios. 5.7.4. USO DE CONTRASEÑAS Siempre que los usuarios hagan uso de contraseñas, ya sea para el acceso a los sistemas de información o a las cuentas de Servicios Informáticos, deben cumplir las siguientes normas: Las contraseñas son de uso personal y por ningún motivo se deberán prestar a otros usuarios.

135

Las contraseñas no deberán ser reveladas por vía telefónica, correo electrónico o por ningún otro medio. Las contraseñas no se deberán escribir en ningún medio, excepto cuando son generadas por primera vez por la Dirección de Tecnologías de Información o entregadas en custodia. Las contraseñas se deberán cambiar periódicamente según requerimientos de la infraestructura de procesamiento de información. Los usuarios deberán cambiar las contraseñas la primera vez que usen las cuentas asignadas. Las contraseñas estarán compuestas al menos por: una letra mayúscula, un número y su longitud debe ser de ocho (8) caracteres mínimo. Reportar a la Dirección de Tecnologías de Información cualquier sospecha de que una persona esté utilizando una contraseña y una cuenta que no le pertenece. 5.7.5. USO DE LOS RECURSOS TECNOLÓGICOS El uso adecuado de los recursos tecnológicos asignados a los usuarios se reglamenta bajo las siguientes normas: Los recursos tecnológicos se deben usar exclusivamente para propósitos relacionados con la actividad desempeñada en la empresa. La empresa hará la entrega oficial del equipo de cómputo en funcionamiento, con el respectivo software instalado y autorizado, de acuerdo con el rol del usuario. Sólo el personal autorizado por la Dirección de Tecnologías de Información puede llevar a cabo cualquier tipo de mantenimiento tanto del hardware como del software y de la configuración de acceso a la red de la empresa. Sólo personal autorizado por la Dirección de Tecnologías de Información podrá realizar actividades de administración remota de 136

dispositivos, equipos o servidores de la infraestructura de procesamiento de información de la empresa; las conexiones establecidas para este fin, utilizarán el software y los esquemas de seguridad definidos por la Dirección de Tecnologías de Información. En todos los casos, los departamentos deben solicitar autorización a la Dirección de Tecnologías de Información para la instalación, en los equipos de cómputo, de cualquier tipo de programa o aplicación de gestión administrativa que haga parte de la operación propia de la empresa. El uso de equipos de propiedad de los usuarios para el desarrollo de las funciones administrativas o directivas propias de su cargo, debe ser autorizado por la Dirección de Tecnologías de Información. Estos equipos deben cumplir con los controles tecnológicos que se definan, tales como uso de software de antivirus y software actualizado y licenciado. El uso de medios de almacenamiento removibles (USBs, CDs, DVDs, disquetes, reproductores de mp3, entre otros) y equipos personales portátiles debe realizarse con precaución. Es responsabilidad de los usuarios verificar que estos dispositivos se encuentren libre de código malicioso, antes de utilizarlos en la infraestructura tecnológica de la empresa. El almacenamiento de archivos de audio y video en las estaciones de trabajo solamente estará autorizado para el desempeño de labores propias de las funciones académicas, del medio o administrativas de la empresa. No se permite a los usuarios retirar de las instalaciones de la empresa, accesorios o partes de computadores, sin la autorización de la Dirección de Tecnologías de Información o de la Oficina de Activos Fijos. Se debe proteger todos los equipos portátiles asignados por la Institución y que necesiten ser retirados de la empresa (celulares, laptops, agendas electrónicas, etc.). Así por ejemplo, al momento de viajar se deben transportar como equipaje de mano, no se deben descuidar en lugares públicos y cumplir con las normas establecidas por la Oficina respectiva.

137

El usuario debe reportar cualquier tipo de daño del recurso tecnológico a la Dirección de Tecnologías de Información. No se permite a los usuarios realizar cualquier actividad que ponga en riesgo la integridad física de los recursos tecnológicos de la empresa. 5.7.6. USO DE LA INFRAESTRUCTURA FÍSICA DE TELECOMUNICACIONES El diseño, la administración y el mantenimiento de la infraestructura física de telecomunicaciones son responsabilidad de la Dirección de Tecnologías de Información. El uso adecuado de esta infraestructura se reglamenta bajo las siguientes normas: No está permitido la instalación de dispositivos o software de redes distintos a los autorizados por la empresa. No se permite la conexión a redes inalámbricas externas o servicios de navegación a través de comunicación celular, desde el mismo equipo que esté conectado a la red informática institucional. Dentro del área de la empresa, no se permite la instalación y configuración de redes distintas a las autorizadas por la Empresa. No está permitido intervenir las redes de cableado, instalar cables no suministrados por la Dirección de Tecnologías de Información, cortar o empalmar cables, desprender marcaciones de tomas, puertas o ductos, golpear o forzar tubos y/o canaletas, así como cualquier otra acción que atente contra la integridad de las redes informáticas Institucionales. No está permitida la instalación de cables o cualquier tipo de derivación de voz o datos por parte de los usuarios. Sin excepción, las conexiones deberán ser realizadas por el personal autorizado de la Dirección de Tecnologías de Información, cumpliendo con los estándares apropiados. No se permite la configuración de la red inalámbrica de los computadores portátiles de la empresa en el modo Ad-hoc.

138

5.8. NORMAS ESPECÍFICAS SOBRE EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN Además de las normas enunciadas, los funcionarios administrativos de la empresa deben cumplir las siguientes normas: 5.8.1. ESTÁNDAR DE CORREO ELECTRÓNICO Todos los mensajes enviados por correo electrónico deberán respetar el estándar de formato e imagen institucional definido por la empresa y deberán conservar en todos los casos el mensaje legal corporativo. 5.8.2. SOFTWARE AUTORIZADO La Dirección de Tecnologías de Información definirá e informará la lista actualizada de software y aplicaciones autorizadas que se encuentran permitidas para ser instaladas en las estaciones de trabajo de los usuarios; así mismo, realizará el control y verificación de cumplimiento del licenciamiento del respectivo software y aplicaciones asociadas. 5.8.3. IMAGEN CORPORATIVA Todas las estaciones de trabajo deberán usar el papel tapiz y el protector de pantalla de la empresa, el cual se activará automáticamente después de un tiempo determinado de inactividad y se podrá desbloquear únicamente con la contraseña del usuario. 5.8.4. PRIVILEGIOS SOBRE ESTACIONES TRABAJO No se permite a los usuarios realizar cambios en las estaciones de trabajo relacionados con la configuración del equipo, tales como conexiones de red, usuarios locales de la máquina, papel tapiz, protector de pantalla, archivos de configuración, entre otros. Estos cambios serán realizados únicamente por personal autorizado por la Dirección de Tecnologías de Información. 5.8.5. SESIONES DE USUARIO Todos los usuarios son responsables de bloquear la sesión de su estación de trabajo en el momento en que se retiren del puesto de 139

trabajo, la cual se podrá desbloquear sólo con la contraseña del usuario. Una vez el usuario finalice sus actividades diarias, debe cerrar todas las aplicaciones y dejar los equipos apagados o con la sesión de trabajo debidamente bloqueada. 5.8.6. SEGURIDAD En horas no hábiles o cuando los sitios de trabajo se encuentren desatendidos, los usuarios deberán dejar la información confidencial protegida bajo llave. Esto incluye: CDs, DVDs, dispositivos de almacenamiento USB y medios de almacenamiento removibles en general.

5.9. RIESGOS PARA LA EMPRESA DERIVADOS DEL MAL USO DE LAS HERRAMIENTAS TECNOLÓGICAS POR SUS EMPLEADOS 5.9.1. RIESGOS ECONÓMICOS Falta de productividad del trabajador, considerando que el uso de sistemas de información y de redes electrónicas, incluida la Internet ha adquirido importancia para el desarrollo del comercio y la producción, permitiendo la realización y concreción de múltiples negocios de trascendental importancia, tanto para el sector público como para el sector privado. Su uso inadecuado podría conllevar sanciones económicas, demandas legales. 5.9.2. RIESGOS DE NORMATIVA El abuso o uso indebido por el trabajador de las herramientas tecnológicas de la empresa puede hacer que ésta corra el riesgo de que se le impute el incumplimiento de las siguientes normas establecidas así como sanciones administrativas por parte de organismos de control y supervisión.

140

5.9.3. RIESGOS REPUTACIONALES El manejo inadecuado de las herramientas tecnológicas y principalmente de la información podría repercutir en el desprestigio de la institución, su reputación y consecuentemente en la confianza de clientes.

5.10.

PROTECCIÓN DE DATOS

Para la elaboración, transferencia o utilización de bases de datos, obtenidas directa o indirectamente del uso o transmisión de mensajes de datos, se requerirá el consentimiento expreso del titular de éstos, quien podrá seleccionar la información a compartirse con terceros. La recopilación y uso de datos personales responderá a los derechos de privacidad, intimidad y confidencialidad garantizados por la Constitución Política de la República y esta ley, los cuales podrán ser utilizados o transferidos únicamente con autorización del titular u orden de autoridad competente. No será preciso el consentimiento para recopilar datos personales de fuentes accesibles al público, cuando se recojan para el ejercicio de las funciones propias de la administración pública, en el ámbito de su competencia, y cuando se refieran a personas vinculadas por una relación de negocios, laboral, administrativa o contractual y sean necesarios para el mantenimiento de las relaciones o para el cumplimiento del contrato. El consentimiento a que se refiere este artículo podrá ser revocado a criterio del titular de los datos; la revocatoria no tendrá en ningún caso efecto retroactivo. Protección de datos por parte de las entidades de certificación de información acreditadas. Las entidades de certificación de información garantizarán la protección de los datos personales obtenidos en función de sus actividades, de conformidad con lo establecido en el artículo 9 de la ley de comercio electrónico, firmas electrónicas y mensaje de datos.

141

5.10.1. SOCIEDAD DE LA INFORMACIÓN Los miembros de la sociedad de la información deberán actuar en apego a la Ley de comercio electrónico, firmas electrónicas y mensajes de datos, misma que regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas.

5.11.

DE LOS MENSAJES DE DATOS

5.11.1. RECONOCIMIENTO JURÍDICO DE LOS MENSAJES DE DATOS Los mensajes de datos tendrán igual valor jurídico que los documentos escritos. Su eficacia, valoración y efectos se someterá al cumplimiento de lo establecido en esta Ley y su reglamento. 5.11.2. INCORPORACIÓN POR REMISIÓN Se reconoce validez jurídica a la información no contenida directamente en un mensaje de datos, siempre que figure en el mismo, en forma de remisión o de anexo accesible mediante un enlace electrónico directo y su contenido sea conocido y aceptado expresamente por las partes. 5.11.3. PROPIETARIO DE LA INFORMACIÓN Se considerará que toda información generada, empleada, procesada y almacenada en la institución es de propiedad de la misma, el tratamiento de la misma se someterá al criterio de clasificación de la información misma que determina su carácter de pública, reservada o restringida. 5.11.4. PROPIEDAD INTELECTUAL Los mensajes de datos estarán sometidos a las leyes, reglamentos y acuerdos internacionales relativos a la propiedad intelectual.

142

5.11.5. CONFIDENCIALIDAD Y RESERVA Se establecen los principios de confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma, medio o intención. Toda violación a estos principios, principalmente aquellas referidas a la intrusión electrónica, transferencia ilegal de mensajes de datos o violación del secreto profesional, será sancionada conforme a lo dispuesto en esta Ley y demás normas que rigen la materia. 5.11.6. INFORMACIÓN ESCRITA Cuando requiera u obligue que la información conste por escrito, este requisito quedará cumplido con un mensaje de datos, siempre que la información que éste contenga sea accesible para su posterior consulta. 5.11.7. INFORMACIÓN ORIGINAL Cuando requiera u obligue que la información sea presentada o conservada en su forma original, este requisito quedará cumplido con un mensaje de datos, si siendo requerido conforme a la Ley, puede comprobarse que ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos. Se considera que un mensaje de datos permanece íntegro, si se mantiene completo e inalterable su contenido, salvo algún cambio de forma, propio del proceso de comunicación, archivo o presentación. Por acuerdo de las partes y cumpliendo con todas las obligaciones previstas en esta Ley, se podrán desmaterializar los documentos que por ley deban ser instrumentados físicamente. Los documentos desmaterializados deberán contener las firmas electrónicas correspondientes debidamente certificadas ante una de las entidades autorizadas según lo dispuesto en el artículo 29 de la presente ley, y deberán ser conservados conforme a lo establecido en el artículo siguiente.

143

5.11.8. CONSERVACIÓN DE LOS MENSAJES DE DATOS Toda información sometida a esta Ley, podrá ser conservada; éste requisito quedará cumplido mediante el archivo del mensaje de datos, siempre que se reúnan las siguientes condiciones: Que la información que contenga sea accesible para su posterior consulta; Que sea conservado con el formato en el que se haya generado, enviado o recibido, o con algún formato que sea demostrable que reproduce con exactitud la información generada, enviada o recibida; Que se conserve todo dato que permita determinar el origen, el destino del mensaje, la fecha y hora en que fue creado, generado, procesado, enviado, recibido y archivado; y, Que se garantice su integridad por el tiempo que se establezca en el reglamento a esta ley. Toda persona podrá cumplir con la conservación de mensajes de datos, usando los servicios de terceros, siempre que se cumplan las condiciones mencionadas en este artículo. La información que tenga por única finalidad facilitar el envío o recepción del mensaje de datos, no será obligatorio el cumplimiento de lo establecido en los literales anteriores.

5.12.

DEL CONTROL

La organización con el objeto de delimitar controlar el adecuado uso de las herramientas tecnológicas ha determinado mecanismos y responsables de su cumplimiento. 5.12.1. RESPONSABLES Para el control de las políticas y sanción de las mismas se determinan los siguientes responsables:

144

5.12.2. OFICIAL DE SEGURIDAD DE LA INFORMACIÓN El Oficial de Seguridad de la Institución se responsabilizará de la difusión del presente Reglamento así como del monitoreo, supervisión y detección de irregularidades. Una vez identificadas reportará al Director de Tecnología con las evidencias necesarias que sustente lo actuado por parte del infractor. 5.12.3. DIRECTOR DE TECNOLOGÍA El Director de Tecnología será responsable de tomar acciones en el marco del Reglamento Interno de Trabajo y gestionará con el Director de Talento Humano lo que proceda. 5.12.4. DIRECTOR DE TALENTO HUMANO El Director de Talento Humano será el responsable de tomar acción en función de las comunicaciones que remita el Director de Informática, lo que podrá significar cursar las comunicaciones respectivas o gestionar con la Gerencia General las investigaciones o notificaciones de sanción al personal. 5.12.5. MECANISMOS Se determina que los mecanismos idóneos para asegurar el cumplimiento del presente reglamento serán preventivos y detectivos. 5.12.5.1.

Mecanismos preventivos

Con efecto de prevenir el incumplimiento de lo determinado en el reglamento, todo empleado al vincularse a la organización deberá suscribir los siguientes documentos:

Contrato de Trabajo. Acuerdo de Confidencialidad. Acuerdo de Compromiso Ético.

145

En ellos se especificará de manera clara y precisa las limitaciones y prohibiciones. 5.12.5.2.

Mecanismos detectivos

El Oficial de Seguridad de la Información empleará como mecanismos detectivos los siguientes:    

Herramientas de monitoreo de red. Herramienta Antivirus y Anti Malware. Herramienta para detección de intrusos. Herramienta para prevención de fuga de información DLP (Data Loss Prevention).  Filtro Anti Spam.  Correlacionador de Eventos.  Logs de accesos a los sistemas y pistas de auditoría.

5.13.

DE LAS SANCIONES

En primera instancia, el acometimiento de faltas tendrá como guía de sanción, lo que indique el Reglamento Interno de Trabajo de la Institución, Código de Ética, Reglamento de Seguridad de la Información, Manual para Prevención de Lavado de Activos y Manual para Clasificación de la Información, en que se determinan faltas de tipo:  Leve.  Grave.  Atentatorias. El resarcimiento de las faltas por lo tanto podría consistir en:  Llamadas de atención.  Sanción pecuniaria.  Separación de la institución. Habiendo identificando las infracciones informáticas, sean de carácter administrativo o penal, estas se sancionarán mediante lo que exprese el Código Penal, pudiendo identificarse:

146

       

Delitos contra la Propiedad Delitos Bancarios Delitos de Pornografía Delitos de Corrupción de Menores Delito de Compraventa de Menores Delito de Tráfico de Armas, Drogas y Órganos Delito de Lavado de Dinero Delitos informáticos

147

148

6. REFERENCIAS BIBLIOGRÁFICAS [1] IT Services. (1998 - 2011). IT Services Help Desk. Versión 3.6.8. Washington. Universidad de Washington. Disponible en: <http://home.mcis.washington.edu/amcis/helpdesk/USD_Trai ning/index.asp/>. [2]

Osiatis. ITIL V3. Madrid. Disponible en: <http://www.osiatis.es/outsourcing_servicios/soporte_usuario s.php/>.

[3]

Perez, A. y Ocean Mist. (2010). Disponible en: <http://helloit.webege.com/2010/12/itil-fase-4-operacion/>.

[4] Guerrero, J. A. (s.d). Apolo 13. Qué pasó realmente. Revista. Año XIII, 3. México. Soporte Técnico: Ríos Huercano, S. (2014). ITIL FOUNDATION. Disponible en: <http://www.biable.es/wpcontent/uploads/2014/ManualITIL.pdf/>. ISACA. COBIT 4.1. Disponible en: <https://www.isaca.org/COBIT/Pages/COBIT-4-spanish.aspx/>. ISACA. COBIT 5. Disponible en: <https://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx/>. Mora,

C. (2009). COSO ERM. Disponible en: <http://www.econ.unicen.edu.ar/attachments/2009_Material ERM.pdf/>.

149

150