UN IV ERSIDAD T ÉCN ICA PARTI CU LAR DE LOJA
L a Universidad Católica de L oj a
ESCUELA DE CIENCIAS DE LA COMPUTACIÓN
Tema:
Elaboración de un Plan de Continuidad del Negocio para la Unidad Informática de la Corte Provincial de Justicia de Loja
Tesis de grado previa la obtención del título de Ingeniero en Informática
Autora:
Lenny Vanessa Muñoz Montero
Directora: Codirectora:
Ing. Mayra Deliz Romero Ludeña Ing. María Paula Espinosa Vélez
ii IIng. Mayra Deliz Romero Ludeña
DOCENTE DE LA ESCUELA DE CIENCIAS DE LA COMPUTACIÓN
C E R T I F I C A:
Que el presente trabajo de investigación, previo a la obtención del título de INGENIERO EN INFORMÁTICA, ha sido dirigido, supervisado y revisado en todas sus partes, por lo mismo, cumple con los requisitos legales exigidos por la Universidad Técnica Particular de Loja, quedando autorizada su presentación.
Loja, 01 de Agosto de 2011
_____________________________
iii Ing. María Paula Espinosa Vélez
DOCENTE DE LA ESCUELA DE CIENCIAS DE LA COMPUTACIÓN
C E R T I F I C A:
Que el presente trabajo de investigación, previo a la obtención del título de INGENIERO EN INFORMÁTICA, ha sido dirigido, supervisado y revisado en todas sus partes, por lo mismo, cumple con los requisitos legales exigidos por la Universidad Técnica Particular de Loja, quedando autorizada su presentación.
Loja, 01 de agosto de 2011
_____________________________
iv
CESIÓN DE DERECHOS
Yo, LENNY VANESSA MUÑOZ MONTERO declaro ser autora del presente trabajo y eximo expresamente a la Universidad Técnica Particular de Loja y a sus representantes legales de posibles reclamos o acciones legales.
Adicionalmente declaro conocer y aceptar la disposición del Art. 67 del Estatuto Orgánico de la Universidad Técnica Particular de Loja que en su parte pertinente textualmente dice: “Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen a través, o con el apoyo financiero académico o institucional (operativo) de la Universidad”.
___________________________
v
AUTORÍA
La presente tesis previa a la obtención del Título de Ingeniero en Informática; sus conceptos, análisis, conclusiones y recomendaciones emitidas, es de absoluta responsabilidad del autor.
Así mismo me permito señalar que la información de otros autores empleada en este trabajo está debidamente especificada en fuentes de referencia y apartados bibliográficos.
___________________________
vi
DEDICATORIA
Todo el esfuerzo y dedicación puesto en el desarrollo de este proyecto lo dedico a las personas más importantes de mi vida.
A mi madre Lenny María, mi ejemplo, mi orgullo y gracias a quien soy quien soy; a mis hermanos por su cariño absoluto.
A mi querido esposo Daniel Eduardo, a mis hijas Erika Damaris y Emily Ariana por su apoyo incondicional, constante motivación y muestras imperecederas de amor, ellos son la fuerza que me impulsa a tratar de ser una mejor persona cada día y a cumplir con cada meta que me propongo en la vida.
vii
AGRADECIMIENTO
Quiero expresar mi agradecimiento imperecedero
A Dios creador del universo y dueño de mi vida que me permite cumplir con cada objetivo.
A la Universidad Técnica Particular de Loja, y a través de ella a todos y cada uno de los directivos, docentes investigadores, personal administrativo y de servicio especialmente de la Escuela Ciencias de la Computación quienes al compartir sus conocimientos y experiencia me ayudaron a convertirme en la profesional de hoy.
Al Ing. Nelson Piedra, Director de la Escuela Ciencias de la Computación por aprobar y apoyar el desarrollo del presente proyecto.
A mi Directora de Tesis, Ing. Mayra Deliz Romero Ludeña, por su generosidad al brindarme la oportunidad de recurrir a su capacidad y experiencia investigativa en un marco de confianza, afecto y amistad, fundamentales para la culminación de este trabajo.
A la Ing. María Paula Espinosa Vélez, por su aporte y colaboración sin los cuales no hubiera sido posible la terminación del presente proyecto.
viii
INTRODUCCIÓN
El presente proyecto tiene como objetivo desarrollar e implementar un Plan de Continuidad del Negocio para la Unidad Informática de la Corte Provincial de Justicia de Loja, puesto que esta dependencia es el centro desde donde se administra y gestiona los procesos críticos de la institución.
El recurso humano y la información son los activos más importantes que tiene una organización y la Corte Provincial de Justicia de Loja no es la excepción, siendo por naturaleza una entidad del Sector Público, el Tercer Poder del Estado entre sus objetivos no está obtener ganancias financieras, sino más bien brindar a la ciudadanía en general una atención de calidad, con eficiencia y eficacia.
Continuidad del Negocio es un concepto que abarca tanto la Planeación de Contingencia, Planeación para Recuperación de Desastres (DRP) y la Planeación para el Restablecimiento del Negocio. La Contingencia permite mitigar, eliminar o transferir un riesgo, también se aplica el momento que ocurre el desastre con la finalidad de garantizar la seguridad del recurso humano y luego contener el impacto del desastre sobre la entidad, la Recuperación de Desastres es la capacidad para responder a una interrupción de los servicios mediante la implementación de un plan para restablecer las funciones críticas de la organización1 y la Planeación para el Restablecimiento del Negocio permite retomar la funcionalidad total de una organización dentro del tiempo objetivo de recuperación después de ocurrido un riesgo.
El Plan de Continuidad del Negocio permitirá a la institución identificar riesgos y mitigarlos, además en caso de ocurrir un desastre estará en capacidad de retomar sus actividades cotidianas en el menor tiempo posible, salvaguardando sus activos primordiales el recurso humano y la información.
El desarrollo del PCN es un proyecto que por su complejidad debe ser diseñado por etapas para este proyecto en particular se lo ha propuesto desarrollar en seis capítulos los cuales se describe a continuación:
CAPÍTULO I: Actividades de Inicio del Proyecto.- El primer paso es obtener una autorización por parte de los Directivos de la Institución para poder desarrollar el proyecto, una vez autorizado se comunica a todo el personal del área administrativa pues su participación es imprescindible en el diseño del PCN, en esta fase también se realiza un estudio de la situación actual de la entidad objeto de estudio su misión, visión así como su estructura orgánica y funcional,
CAPÍTULO II: Evaluación de Riesgos.- Este proceso se debe cumplir periódicamente, el primer paso dentro de la evaluación de riesgos es la identificación de procesos críticos, luego se evalúa las vulnerabilidades y se identifica las amenazas a las que están expuestos los procesos críticos, estos riesgos pueden ser generales o específicos, la información obtenida hasta ahora es la base para desarrollar el plan de contingencia, plan recuperación del desastre y plan de recuperación del negocio. En esta fase se utiliza la Matriz de Riesgos y controles, se elabora una matriz por cada proceso crítico, en esta se detalla los componentes del escenario de riesgo, categoría de riesgo, se describe el escenario negativo (riesgo), consecuencia, se cuantifica el factor de impacto operacional, impacto financiero, probabilidad de ocurrencia, se obtiene en forma cuantitativa el riesgo inherente, y se definen los controles que permitan mitigar el riesgo (Plan de Contingencia), para poder ilustrar de mejor manera la información obtenida se grafica por cada proceso el factor de impacto operacional y la probabilidad de ocurrencia lo que permite identificar con mayor facilidad los riesgos potenciales.
CAPÍTULO III: Definición de Estrategias de Recuperación y Desarrollo del Plan de Continuidad del Negocio.- En esta fase se obtiene y registra información importante que se puede utilizar en caso de ocurrir un escenario negativo, esta información es directorio de las instituciones de emergencia, directorio de proveedores de la institución, inventario de hardware, software e infraestructura
1
ix
relacionadas con los procesos críticos; el siguiente paso es definir los equipos de recuperación del desastre y de recuperación del negocio de los miembros también se registra números de teléfono y correo electrónico. Una vez que se cuenta con esta información se realiza el Plan de Contingencia basado en los controles de la matriz de riesgos y controles, luego se elabora el Plan de recuperación del desastre y finalmente el plan de recuperación del negocio, adicionalmente se define prevenciones generales, políticas de respaldo y se hace un análisis de los seguros con los que cuenta la institución.
CAPÍTULO IV: Capacitación, Entrenamiento, Publicación y Pruebas del Plan de Continuidad del Negocio.- en este capítulo se organiza una capacitación en primeros auxilios, bomberotecnia y evacuación dirigida a los miembros de los equipos de recuperación del desastre y de recuperación del negocio. En cuanto a las pruebas se crea ambientes de prueba lo más reales posible para simular la ocurrencia de un riesgo específico y un riesgo general y de esta forma poder evaluar la capacidad de los equipos para actuar en situaciones reales. En este capítulo también se difunde el contenido del plan a los miembros de los equipos, para que conozcan y se familiaricen con los procedimientos a seguir en caso de ocurrir un desastre.
CAPÍTULO 5: Mantenimiento y Validación del Plan de Continuidad del Negocio: El plan de continuidad de negocio ha sido elaborado de acuerdo a la realidad actual de la entidad, esta situación varía con el tiempo por lo tanto el plan debe recibir mantenimiento. En esta fase de definen los pasos a seguir para realizar actualizaciones, modificaciones o eliminación de los procedimientos definidos dentro del PCN, así como la periodicidad con la que se recomienda realizar el mantenimiento del plan.
CAPÍTULO VI: Conclusiones y Recomendaciones: En este capítulo se recopila las conclusiones obtenidas como resultado del trabajo de campo y de la experiencia adquirida durante el desarrollo del presente proyecto, así también se incluye las recomendaciones que se sugiere aplicar a la institución para la implementación del PCN.
CAPITULO I
ACTIVIDADES DE INICIO DEL PROYECTO, ESTUDIO
DE LA SITUACIÓN ACTUAL DE LA CORTE PROVINCIAL
DE JUSTICIA DE LOJA.
En est e capítulo se analizará de forma general el estándar int ernacional ISO/ IEC 27005:2008 est a norma contiene un conjunto de directrices para la correct a realización del análisis de riesgos, aplicable a t odo tipo de empresas. El estudio de la misma nos ayuda a no t ener dudas sobre los element os que debe incluir toda buena metodología de Análisis de Riesgos, razón por la cual es utilizada en el desarrollo del presente proyecto.
Así mismo se demuestra la importancia de implementar un Plan de Cont inuidad del Negocio (PCN) en cualquier empresa, particularment e en la Corte Provincial de Justicia de Loja.
Un Plan de Continuidad del Negocio, es indispensable debido que no solo permite reanudar las actividades de la empresa en caso de ocurrir un siniest ro, sino que en el proceso de diseño del mismo se det ermina las vulnerabilidades de la entidad para poder implementar medidas que en primer lugar prot ejan la int egridad del recurso humano que constituye el activo principal de la institución, así como la información; estas medidas también disminuyen la probabilidad de ocurrencia de un siniestro, así como el impacto operacional y financiero del evento sobre la institución, en est e caso sobre la Cort e Provincial de Justicia de Loja.
Haciendo uso de entrevistas y encuestas se puede conocer la situación actual de la entidad principalment e se obtiene información relacionada con el recurso humano, esta información abarca estructura orgánica, infraestructura, responsables de cada unidad del área administrativa.
En los anexos se puede encontrar la documentación que demuestra la autorización obt enida para desarrollar un Plan de Cont inuidad del Negocio para la Corte Provincial de Justicia de Loja, estas actividades incluyen reunión con el Director Provincial del Consejo de la Judicatura con la finalidad de hacerle conocer la necesidad de implementar un PCN en la institución, en el anexo 2A se encuentra el Act a de Reunión Nro. 001 y en el Anexo 2B la comunicación emitida por el Direct or Provincial a los responsables de cada unidad administrativa con la finalidad de que prest en la colaboración necesaria en el desarrollo del present e proyect o.
1.1 Descripción y Análisis del estándar ISO 27005:2008
Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/ IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gest ión de riesgos. Su publicación revisa y retira las normas ISO/ IEC TR 3:1998 e ISO/ IEC TR 13335-4:20001.
Está compuesta por 12 cláusulas y 6 anexos esquematizadas de la siguiente manera2:
o
Cláusulas Informativas de la 1 a la 6.o
Cláusulas descriptivas de las 7 a la 12.o
7) Establecimiento del Cont exto: En esta cláusula se define:
Criterios Básicos: Evaluación de riesgos, Impacto, Acept ación de riesgo
Alcance y Límites: Estrat egia, objet ivos y políticas; Procesos de Negocios; Estructura Organizacional.
Organización para la Gest ión del RSI: Desarrollo del proceso de gestión RSI, Identificación de participantes, Definición de Roles y Responsabilidades, Registros por Almacenar.o
8) Valorización del Riesgo de Seguridad de la Información (RSI.o
9) Tratamient o del RSIo
10) Aceptación del RSI.o
11) Comunicación del RSI.o
12) M onitoreo y revisión del RSI.Cada cláusula contiene las siguientes secciones: Entrada, Acción, Guía de Implementación y Salida.
1.2
Importancia de la Implementación de un Plan de Continuidad del Negocio
Cuando se habla del peligro de la continuidad del negocio por contingencia o desast re, dependiendo del tamaño de la compañía, las acciones varían considerablemente. En la actualidad en muchas empresas no termina de est ar claro ¿qué es?, ¿cómo se hace? y ¿para qué sirve? un Plan de Continuidad de Negocio.
1
http:/ / www.iso27000.es/ iso27000.ht ml#sect ion3a; Portal Oficial de ISO en español.
2
La continuidad de las actividades en caso de una int errupción, ya sea debido a un siniestro o catástrof e important e o bien debido a un incidente menor, es un requisito fundamental para cualquier organización.
El Plan de Contingencia se emplea durant e la ocurrencia del desastre su objetivo principal es garantizar la integridad del recurso humano y cont ener las consecuencias negativas que la ocurrencia del escenario negativo t endrá sobre la entidad y sus funciones críticas (nivel de impacto). El Plan de Recuperación ant e la ocurrencia de Desastres (PRD) es el plan que ejecuta para restablecer las funciones críticas de la instit ución, por sí mismo sólo soluciona part e de los desastres pero no asegura de ninguna forma la cont inuidad del 100% de las operaciones si no existe un Plan de Cont inuidad del Negocio que lo soporte, el Plan de Continuidad del negocio garantiza las operaciones necesarias para cumplir con el desarrollo habitual del negocio ant e cualquier tipo de desastre.3 Estos tres planes se complementan, por esta razón los Planes de Contingencia y de Recuperación del Desastre se cont emplan dentro del desarrollo del PCN.
Para comprender mejor la importancia de un Plan de Continuidad del Negocio, se deb e mencionar sus objetivos, estos son: garantizar la máxima seguridad de las personas, mantener la integridad y confidencialidad de la información, continuar con el servicio a los clientes, mitigar los efectos que pueden producirse en los planes estratégicos, la reputación, las operaciones y el mercado donde está situada la compañía; y, minimizar la pérdida financiera de la compañía.
Dada la naturaleza de la Cort e Provincial de Justicia de Loja, sus objetivos se centran en el recurso humano y en mant ener la buena imagen de la institución ante la ciudadanía, sus ganancias son en el ámbito operativo y de servicio ya que es una entidad sin fines de lucro.
Recalcando que la participación de t oda la compañía es crucial para el éxito del desarrollo y ejecución del Plan de Continuidad del Negocio.
1.3
Fases del Plan de Continuidad del Negocio.
Para identificar y definir las fases necesarias dentro del diseño de plan de continuidad del negocio para la Corte Provincial de Justicia de Loja nos ayudamos de la norma BS-25999 la cual contiene dos part es la primera sirve de apoyo en el diseño e implementación y la segunda part e sugiere las actividades referent es al mantenimiento del PCN.4
Existen varias fases que debemos cumplir para desarrollar un Plan de Continuidad del Negocio, éstas se aplican sin considerar el tamaño de la empresa, pero de acuerdo a la naturaleza de la Cort e Provincial de Just icia de Loja, estas etapas han sido adaptadas. Así tenemos:
ACTIVIDADES DE INICIO DEL PROYECTO, ESTUDIO DE LA SITUACIÓN ACTUAL: Se trata de obtener un conocimiento de los objetivos de negocio, su estructura, infraestructura. Además se obtiene la aut orización para poder acceder a la información necesaria para el desarrollo del PCN, asegurando siempre la confidencialidad de la información que sea proporcionada.
3http:/ / www.borrmart.es/ articulo_r edseguridad.php?id=564& numero=18, Necesidad de Implementar PCN.
4
EVALUACIÓN DE RIESGOS Y ANÁLISIS DE IM PACTO SOBRE LOS PROCESOS CRÍTICOS: Realización de entrevistas y encuestas para identificar los procesos que se consideran críticos para el funcionamient o de la institución. Luego se analizarán cuáles son los riesgos asociados a dichos procesos para identificar cuáles son las causas potenciales que pueden llegar a int errumpir un negocio, el impact o operacional y financiero que ocasionaría dicha interrupción.El análisis del riesgo es crucial para el desarrollo y operación de un sistema de seguridad de la información. En esta etapa, la organización debe construir lo que será su “ modelo de seguridad” , esto es, una representación de todos sus activos y sus dependencias jerárquicas, así como el mapa de amenazas (t odo aquello que pudiera ocurrir y que tuviera un impact o para la organización). Post eriormente se realiza la est imación de impactos (probabilidad de que se mat erialice la amenaza) y se calcula el riesgo al que está sometida la organización.
DEFINICIÓN DE ESTRATEGIAS DE RECUPERACIÓN Y DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO: Esta fase t iene dos objet ivos primero valorar las diferent es alt ernativas y estrat egias de respaldo en función de los resultados obtenidos en la fase ant erior, para seleccionar la más adecuada a las necesidades de la compañía. Y por otro lado, corregir las vulnerabilidades detectadas en los procesos críticos de negocio ident ificadas en el Análisis de Riesgos.Una vez que se ha seleccionado la estrat egia de respaldo hay que desarrollarla e implantarla dentro de la compañía. En esta fase se desarrollan los procedimientos y planes de actuación para las distintas áreas y equipos, también se organizan los equipos que intervienen en cada fase del Plan.
CAPACITACIÓN, ENTRENAM IENTO, PUBLICACIÓN Y PRUEBAS DEL PLAN DE CONTINUIDAD DEL NEGOCIO: En esta fase se diseña un programa de capacitación que será impartido a todo el personal implicado en la Recuperación del Negocio, para que puedan estar preparados, es important e que el plan no se quede solo en papel. Una parte import ant e del Plan de Cont inuidad, es conocer que realment e funciona y es efectivo. Para ello se define la estrat egia de pruebas en una ambient e lo más real posible se realiza las prueba.
M ANTENIM IENTO Y VALIDACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO: En esta última fase se definirán las estrat egias de mant enimiento del Plan, con el fin de validar periódicament e que se adapta a la realidad actual de la empresa y adaptar sus procesos al plan.1.4
Descripción General de la Organización
Para tener una idea clara y poder describir la organización se realizó entrevist as al Director Provincial, al Secretario de la Dirección y al Responsable de la Unidad Informát ica del Consejo de la Judicatura en Loja.
Está dividida en dos Áreas éstas son administrativa y Judicial, éstas a su vez se subdividen en más dependencias, en el caso del área judicial, ésta sirve a usuarios externos organizada en base a una normativa legal, el Código Orgánico de la Función Judicial, en donde se encuentra especificada la jurisdicción y compet encia de todos los juzgados, salas, tribunales y demás dependencias judiciales existent es tant o en Loja, como en todo el país.
En cuanto al área administrativa, el personal atiende directament e a todos los funcionarios de la institución.
Los procesos que se llevan a cabo en la entidad son básicamente los mismos a nivel nacional, los empleados utilizan los mismos sistemas, para cumplir con sus funciones diarias.
Si bien es ciert o que la función judicial administra sus procesos de forma similar y estándar a nivel nacional hasta donde es posible, sin embargo cada provincia administra, gestiona e instala las herramientas y aplicaciones de acuerdo a sus requerimientos y presupuesto económico anual asignado. Es así que la Dirección Provincial del Consejo de la Judicatura t iene un Cuarto de servidores donde funcionan todos los servicios y aplicaciones de la institución en diferent es servidores como son dhcp, dns, M icrosoft Exchange, Active Directory, Sql Server, Aplicaciones SATJE, Aplicaciones DNA, Aplicaciones Pago de pensiones alimenticias, servidor w eb y servidor antivirus las plataformas y servicios dependientes se especifican en el siguiente capítulo de est e documento.
Además la función judicial en Loja cuenta con un enlace de dat os directo con la Dirección Nacional de Informática en Quito, cuyo proveedor es la Corporación Nacional de Telecomunicaciones el cual es utilizado para la aplicación de Gestión de Personal y para enviar mensualment e un respaldo de la base de dat os de la aplicación SATJE denominada BADALEX1 al servidor de respaldos en Quito, también es utilizado por el administrador del satje para bajar los ejecutables actualizados de la aplicación, aspectos que se detallan más adelant e en est e documento.
Para esta institución sus activos más important es son las personas que laboran en ella y la información, al mismo tiempo debe garantizar confiabilidad, integridad y disponibilidad para la ciudadanía de esta información.
1.4.1 Misión
La Dirección Provincial Consejo de la Judicatura en Loja, es una organización de apoyo administrativo y financiero a la administración de justicia en la provincia de Loja, para acelerar el despacho judicial, mejorar la at ención a los usuarios del servicio y procurar lugares de trabajo con bienestar de los servidores judiciales, en un ambient e de honestidad y transparencia.
1.4.2 Visión
administración de justicia en ambientes de trabajo confortables, con conciencia y práctica de la cooperación, respeto mut uo, responsabilidad y honestidad.
1.5
Estructura Orgánica de la Institución
La institución se encuentra organizada tal como se muestra en la figura 1, ha sido estructurada así, previo estudio realizado por especialistas en administración de Recursos Humanos para un mejor rendimiento del personal y cumplimiento de los objetivos de la entidad.
[image:15.612.72.555.224.715.2]ORGANIGRAM A DE LA ESTRUCTURA DE LA DIRECCIÓN PROVINCIAL DEL CONSEJO DE LA JUDICATURA EN LOJA
Figura 1: Estructura Orgánica de la Dirección Provincial del Consejo de la Judicat ura en Loja Fuente: Secretaría de la Dirección Provincial Consejo de la Judicatura
Dirección Provincial
Dr. M edardo Samaniego Ruiz, Director Provincial del
Consejo de la Judicatura en Loja
Secretaría de la Dirección Provincial
Dr. Trosky Rodríguez León, Secretario
Dra. Luz M aría Ochoa, Auxiliar de Secretaría
Coordinación de la Unidad Administrativa
Financiera
Responsable: Dra. Claudia Andrade. Unidad de Personal
Responsable: Dra. Sonia Ordoñez Analista Dos: Dra. Alicia Campoverde Ayudante Judicial 1: Dra. Ximena Ochoa Ayudante Judicial 1: Ab. Norma Alulima Ayudante Judicial: Dr. Fabricio Ayala
Unidad Informática
Responsable: Ing. Oswaldo Castro
Analista Dos: Vanessa M uñoz
Unidad Administrativa
Responsable: Dr. Gastón André S.
Asist ent e Administrativo: Ing. Nora Correa
Activos Fijos: Ing. Nora Correa I.
Proveeduría: Dr. Gastón André S.
Biblioteca: Dra. Delia Espinosa.
Información: Dra. M arlene Barrazueta
Archivo General: Sra. M ariana Ortega
Unidad Financiera
Responsable: Dr. Víctor Bastidas R.
Asist ent e Administrativo: Lic. M argorie M orillo Asist ent e Administrativo: Ing. M ónica Sempértegui
Pagaduría
Responsable: Ec. Lorena Fierro
Servicios Generales: Dr. Geovanny Condor S.
1.6
Tareas de Aprobación del Plan de Continuidad del Negocio en la Entidad
Ant es de iniciar a desarrollar un Plan de Continuidad del Negocio para la ent idad objeto de estudio, es necesario obt ener la aprobación de la aut oridad máxima, en est e caso el Direct or Provincial del Consejo de la Judicatura en Loja, con la finalidad de poder obt ener la información necesaria, así como la colaboración de las personas responsables de los diferentes procesos a analizar.
Se organizó una reunión con el Señor Director Provincial, el objetivo de la misma era resaltar la necesidad de toda empresa y de la Dirección Provincial del Consejo de la Judicatura en Loja, en particular, de contar con un PCN, para esto ya se t enía un conocimiento previo de la misión y visión de la institución, se recalcó que actualment e ninguna Unidad Administrativa o Judicial cuenta con un PCN, explicándole que en caso de ocurrir un desast re la entidad no estaría preparada para volver a sus actividades diarias fácilment e, pues no están definidos ningún tipo de procedimiento, suspendiendo por tiempo indefinido los procesos de la institución, la principal preocupación del Señor Director es la falta de seguridad del recurso humano, que constituye el activo más valioso, además le preocupó las pérdidas financieras y operativas, que afectarían notablemente los servicios que ofrecen a la comunidad.
Con estos antecedent es y al culminar la reunión, el señor Director Provincial, se compromet ió a emitir a la brevedad posible una comunicación a los Jefes de las Unidades Administ rativas, comunicándoles que autorizaba el desarrollo de un Plan de Cont inuidad del Negocio, y que en consecuencia debían prestar las facilidades necesarias para poder cumplir con esta meta.
CAPITULO II
EVALUACIÓN DE RIESGOS Y ANÁLISIS DE IMPACTO
En esta etapa del proyecto se utiliza como guía la norma ISO 27005:2008, cuyo cont enido permit e asegurar la información a través de la gestión de riesgos.
El Análisis de Riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
Debe poder obt ener una evaluación económica del impacto de estos sucesos. Est e valor se podrá utilizar para contrastar el cost o de la prot ección de la información en análisis, versus el costo de volverla a producir.
Debe t ener en cuenta la probabilidad que sucedan cada uno de los riesgos posibles. De est a forma se pueden priorizar los riesgos y su cost e potencial desarrollando un plan de acción adecuado.
Debe conocer ¿qué se quiere prot eger?, ¿dónde?; y, ¿cómo?, asegurando que con los costos en los que se incurren se obt engan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuest o. 5El Análisis de Impact o es un procedimiento vital que nos permite establecer una estrat egia de recuperación, la cual garantice la continuidad de los procesos críticos de la entidad, luego de un desastre, en un tiempo prudencial.
En el present e capítulo se cumplirá con las siguientes actividades:6
1)
Identificar todos los procesos críticos de la Corte Provincial de Justicia de Loja, esta actividad consist e en enumerar y describir los procesos críticos. La valoración de pérdidas no es una cuestión sencilla ya que pueden concurrir aspectos int angibles, para esto se realiza entrevistas a los responsables de las diferentes Unidades Administrativas y trabajo de campo que permita evaluar la relación entre el proceso y el número de usuarios directos e indirectos, nivel en que afecta a la imagen de la institución, frecuencia de uso, criticidad, etc. En el ámbito financiero supone evaluar los costos mensuales de cada servicio; la suma de los valores asignados permitirá det erminar los procesos críticos de la institución.a. Obt ención de la Relación de Procesos, est a consiste en det erminar cuáles son todos los procesos que se llevan a cabo dentro de la entidad.
b. Obt ención de la Relación de Aplicaciones, esto es, determinar las aplicaciones relacionadas a cada proceso de la entidad, el hardware y otros act ivos, asociados a los procesos identificados.
5
http:/ / www.segu-info.com.ar/ politicas/ riesgos.htm , Artículo sobre Evaluación de Riesgos
6
2)
La relación entre departamentos y usuarios, en esta actividad se identifica las dependencias que hay en la entidad, el nombre de las personas que las componen y que int ervienen en los procesos.3)
Priorización de procesos críticos: Se det ermina el orden de importancia de los procesos críticos, basados en la suma total de los valores evaluados en la identificación de procesos críticos.Evaluación de Riesgos: para realizar esta etapa exist e un esquema que define las actividades que se debe cumplir y su respectivo orden. Así se tiene:
1) Identificación de Procesos Críticos: actividad cumplida previament e, esta actividad es básica porque de aquí en adelant e las actividades de la evaluación de riesgos se realiza por cada proceso crítico.
2) Evaluar Vulnerabilidades: Se realiza encuestas y t rabajo de campo que permit an identificar las vulnerabilidades que puedan permitir la ocurrencia de una amenaza por cada proceso.
3) Identificación de Amenazas: de un list ado de amenazas previament e elaborado se realiza trabajo de campo y encuest as que permitan identificar las amenazas a las que está expuesto cada proceso crítico en particular.
4) Evaluación de Riesgos: de la información obtenida en la identificación de amenazas y la evaluación de vulnerabilidades se define e identifica los riesgos generales y los riesgos específicos a los que está expuesto cada proceso crítico.
5) M atriz de Riesgos y Controles: en esta actividad se utiliza un formato predefinido de una matriz la cual permit e reflejar la información recolect ada en las actividades ant eriores, por cada proceso, además la probabilidad de ocurrencia, el impact o operacional e impact o financiero, t iempo objetivo de recuperación, así como, los cont roles existent es para prevenir la ocurrencia de un escenario negativo, o mitigar el impacto en caso de ocurrencia de un event o.
Finalment e con el objet ivo de exponer la información obtenida de una mejor manera se grafica por cada proceso, los riesgos con mayor probabilidad de ocurrencia en función del nivel de impacto operacional.
2.1 Identificación de los procesos Críticos de la Organización
En el proceso de ident ificación de los procesos críticos de la entidad se cumplió con entrevistas y trabajo de campo realizadas a la Coordinadora de la Unidad Administrativa Financiera, la Responsable de la Unidad de Personal y el Responsable de la Unidad Informática.
En las entrevistas se recabó información que se puede reflejar de forma cuantitativa, con la finalidad de que nos permita compararse entre los procesos, identificando así los procesos crít icos de la entidad.
CUADRO NRO. 1 : IDENTIFICACIÓN DE PROCESOS CRÍTICOS
APLICACIÓN Usuarios
Directos
Usuarios Indirectos
Costo M ensual
Servicio Backup
Nivel Criticidad
Imagen Entidad
Frecuencia de Uso Total
Orden Criticidad
Sistema de Seguimiento de Causas SATJE 2 4 3 0 3 3 4 19 1
Sistema de Pago de Pensiones Alimenticias
1 3 3 1 3 3 4 18 2
Portal Web 3 0 2 1 2 3 4 15 3
Sistema de la Dirección Nacional
Administ rat iva Entrega M at erial de Oficina 1 2 2 1 2 3 3 14 4
e-Sigef, e-Sipren 1 2 2 1 2 3 3 14 5
Sistema para Administración de Personal DNP 1 2 2 0 2 2 4 13 6
Correo Electrónico Int erno 2 0 2 1 2 2 4 13 7
Antivirus ESET Smart Security 2 0 2 1 2 1 4 12 8
Fiel Web (Consulta Normativa Jurídica) 2 0 2 0 1 2 4 11 9
Aulas Virtuales 2 0 1 1 2 2 3 11 10
Sistema de la Dirección Nacional
Administ rat iva Activos Fijos 1 2 2 0 1 2 2 10 11
A continuación se describe el cont enido de cada una de las columnas del Cuadro Nro. 1:
Usuarios Directos: se asigna un valor de acuerdo al rango de usuarios que interact úan directament e con el sistema y que se verán afectados en caso de interrupción del proceso, el valor es asignado según los rangos del cuadro Nro. 2.Cuadro Nro. 2: Rango de Usuarios
Identificador Rango Usuarios
1 1 – 150
2 151 – 300
3 1000 – 2000
4 2001 – 3000
Usuarios Indirectos: se asigna un valor de acuerdo al rango de usuarios indirect os que se verán afectados en caso de int errupción del proceso, est e valor se asigna de acuerdo a los valores descritos en el cuadro Nro. 2.
Costo de Procesos: Para obt ener el costo de procesos primero se debe cumplir con la actividad denominada relación de procesos, consiste en definir el hardware, software y recursos asociados a cada proceso. A continuación se puede encontrar un ejemplo de la relación de procesos obtenida para el proceso denominado Seguimient o de Causas.PROCESO DE SEGUIM IENTO DE CAUSAS
SISTEM AS QUE SOPORTAN EL PROCESO
Nombre del Sistema
Descripción Tipo de Sistema Nº Equipos
con la Aplicación
Responsable
SATJE Sist ema Automático de Trámite Judicial
Ecuatoriano, Diseñado para ayudar a los funcionarios judiciales en el desarrollo de sus funciones diarias con eficacia y eficiencia, permit e hacer un seguimiento de la causa desde su ingreso, hasta su archivo.
Cliente/ Servidor 240 Vanessa M uñoz M .
W indows Sist ema Oper ativo instalado en Servidor Sistema Operativo 2 Vanessa M uñoz M .
Borland Delphi
Herramienta de Programación PC 2 Vanessa M uñoz M .
SQL Server Base de Datos M otor de Base de
Datos
2 Vanessa M uñoz M .
RECURSOS HARDW ARE DEL SISTEM A
Tipo de Hardware
Detalles del M odelo/ Configuración Distribuidor Localización
Servidor de Aplicaciones
M ar ca HP M odelo, Proliant DL 580 G4, Sistema Operativo Windows 2003 Ser ver Enterprise Edition, ser vice pack 2, Int erfaz de Red Gigabit. Instaladas 4 máquinas vir tuales, con Window s 2003 Server
Compsesa Cuarto de Comunicaciones
Servidor de Base de Datos
M ar ca HP modelo Prolian M L350 G3. Sistema Operativo Windows 2003 Server , SQL Server 2005. También es Servidor DHCP, DNS.
Excelnet Cuarto de Comunicaciones
HERRAM IENTAS DE APOYO DEL SISTEM A
Descripción Tipo Localización
Storage Externo Hardw are, mar ca HP modelo M SA 500 capacidad de almacenamiento 2 Tb, en 14 bahías. Capacidad instalada 1 Tb. distribuidos en 7 bahías, discos hot plug de 136 Gb. cada uno.
Cuarto de Comunicaciones
Red LAN Infraestructura Edificio de la Institución
DHCP Servicio
DNS Servicio
La información relacionada con los demás procesos la puede encontrar detallada en el Anexo 2C.
Para el cálculo del costo de cada proceso se considera dos tipos de costos, estos son:
Costos Directos: Ent re estos se puede citar depreciación del edificio, costo de energía eléctrica, depreciación del hardware, costo de hora de trabajo.
Costos Indirectos: Por ejemplo costo del servicio de vigilancia del edificio.
A continuación un ejemplo que muestra cómo se obtuvo el costo mensual del proceso seguimiento de causas.
PROCESO: SEGUIM IENTO DE CAUSAS
Depreciación mensual del edificio de acuerdo al porcent aje de utilización del área por el proceso de seguimient o de causas. El SATJE necesita de cuat ro servicios para funcionar, en consecuencia el área de este proceso es:
Área del Proceso = área cada servicio * número de servicios Área del Proceso = 5 * 4 = 20m2
Depreciación del Área del proceso: se utiliza una regla de tres Área del Edificio (m2) 100%
Área por Proceso (m2) X?
% Utilización por Proceso= Área por Proceso * 100% = 20 * 100 = 3,33 % Área total del Edificio 600
Depreciación Área por Proceso = % Ut ilización * Depreciación Total
Depreciación Área por proceso = 3,33 * 15.060,3817 = $ 502,01 100
Cost o de energía eléctrica para este proceso, utilizando una regla de tres # total de servicios Cost os total de energía Área Informática # de servicios del proceso X?
Cost o energía proceso = 4* 406,34 = $ 147,76 11
Cost o por la vigilancia del edificio, en relación al proceso se utiliza un regla de tres: # total de Servicios Cost o Vigilancia por dependencia # servicios del proceso X?
Cost o Vigilancia Proceso = 4 * 51,43 = $ 18,70 11
Cost o de hora de trabajo del responsable del proceso: Para esto se determina el porcent aje de horas de trabajo mensual que el responsable del proceso le dedica a la administración del mismo y se obtiene el cost o por hora, en base al sueldo que percibe el funcionario.
100% Sueldo mensual funcionario % Tiempo mensual X?
Cost o Trabajo por Persona = 40 * 1400 = $ 560,00 100
Depreciación de Servidores: para funcionar este proceso los servicios que utiliza est án inst alados en dos servidores.
SERVIDOR 1: dns, dhcp, active directory, Exchange, sqlserver Depreciación mensual servidor 1 = Costo Tot al del Servidor * 0.05
12
Depreciación mensual servidor 1 =$ 3.500 * 0.05 = $ 14,58 12
Depreciación de acuerdo al número de servicios instalados en el servidor que utiliza el proceso: # total de servicios levantados en el equipo depreciación mensual servidor
# servicios que utiliza el proceso X? Depreciación servidor 1 / proceso = 3 * 14,58 = $ 8,74
5 SERVIDOR 2:
Depreciación mensual servidor 2 = Costo Tot al del Servidor * 0.05
12
Depreciación mensual servidor 2 =$ 40.000 * 0.05 = $ 166,67 12
En el caso de este servidor solo est á levantado el servicio de sql server, pero este servicio es utilizado por dos procesos, el proceso de seguimiento de causas utiliza el 80% del servicio. Ent onces la depreciación se calcularía con la siguiente regla de tres:
Depreciación mensual servidor 100
X? 80
Depreciación servidor 2 / proceso = 80 * 166,67 = $ 133,33 100
COSTO M ENSUAL PROCESO = 502,01 + 147,76 + 18,70 + 560 + 8,74 + 133,33 COSTO M ENSUAL PROCESO = $ 1.370,54
Cuadro Nro. 27: Costo M ensual de Procesos
Nombre del Proceso Costo M ensual
Seguimiento de Causas $ 1.370,54
Pago de Pensiones Alimenticias $ 1.090,22 Entrega-recepción de mat erial de oficina y bienes de control $ 610,32
Control de activos fijos $ 618,32
Pago de Nómina y pagos a terceros $ 801,02 Administración y gestión de personal $ 532,07
Protección antivirus $ 907,75
Consult a Normativa Jurídica $ 856,22
Portal Web $ 849,36
Aulas Virtuales $ 401,07
Correo Electrónico Int erno $ 707,63
Considerando los costos resumidos en el cuadro Nro. 27, en la columna costo de procesos se asigna un valor de criticidad de acuerdo al rango por costo de procesos definido en el cuadro Nro.28.
Cuadro Nro 28: Rango por Costo de Procesos
# RANGO COSTOS
1 $ 0,00 - $ 499,99 2 $ 500,00 - $ 999,99 3 $ 1.000,00 - $1.999,99
Backup: Se detalla si existe la posibilidad de llevar a cabo el proceso de forma manual y de acuerdo a la disponibilidad de sistema de backup se le asigna al proceso un valor según el cuadro Nro. 29.Cuadro Nro. 29: Estrategia de Backup
Identificador Backup
0 Trat amiento manual posible 1 Trat amiento manual No posible
Nivel de Criticidad: Describe el nivel de criticidad en caso de interrupción del proceso, de acuerdo a los niveles establecidos en el cuadro Nro. 30.Cuadro Nro. 30: NIVELES DE CRITICIDAD
# NIVEL DESCRIPCIÓN
Imagen Pública: Hace referencia al nivel en el que se vería afectada la imagen de la institución ant e la ciudadanía en general, considerando que la imagen es un factor de vital importancia para la institución y de acuerdo a los niveles detallados en el cuadro a continuación.Cuadro Nro. 31: NIVELES AFECTA IM AGEN DE LA INSTITUCIÓN
# NIVEL
3 Alto 2 M edio 1 Bajo
Frecuencia de Uso: Describe la frecuencia con la que los usuarios finales y administradores utilizan la aplicación, el valor de frecuencia de uso es asignado de acuerdo a los valores que se det erminan en el siguient e cuadro.Cuadro Nro. 32: FRECUENCIA DE USO DE LAS APLICACIONES
# NIVEL
4 Diaria 3 Semanal 2 M ensual 1 Ocasional
La columna Total, es la suma de todos los valores asignados en las columnas descritas anteriormente.
Orden de Criticidad,est e valor es asignado de acuerdo a la suma t otal de los valores asignados a cada proceso, así pues, entre más alt o es el valor de la suma total, entonces más crítico será el proceso para la institución.1.7
Evaluación de Riesgos
La evaluación de riesgos identifica las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma t ecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambient e informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información.7
La ISO define riesgo tecnológico como “ La probabilidad de que una amenaza se mat erialice, utilizando vulnerabilidades existent es de un activo o grupo de activos, generando pérdidas y daños.
7
Dent ro del PCN, es muy important e det erminar bien los riesgos a los que est á expuest a la institución, para poder evaluarlos adecuadament e, por esta razón la evaluación de riesgos se centra en los procesos críticos de la entidad.
La norma ISO/ IEC 27005 está diseñada para realizar la evaluación de riesgos en seguridad de la información dentro cualquier entidad, por esta razón fue estudiada para cumplir con esta fase del proyecto.
Existen diferent es metodologías para cumplir con el análisis de riesgos, como son: M ARION, OCTAVE, M AGERIT; sin embargo una vez invest igado sobre las fases de estas metodologías, no están orientadas para cumplir con la evaluación de riesgos en la entidad objet o de est udio.
De las cláusulas de la Norma ISO 27005:2008 y de las metodologías mencionadas ant eriormente se concluyó utilizar un esquema general de análisis de riesgos, este es:
1) Ident ificación de procesos críticos: se identifica los procesos cuya int errupción causarán un mayor impacto sobre la ent idad.
2) Evaluar vulnerabilidades, que puedan permitir la ocurrencia de una amenaza.
3) Ident ificación de amenazas, eventos que pueden afect ar a la ent idad, éstas pueden ser humanas o naturales y son identificadas por cada proceso.
4) Analizar riesgos, probabilidad de que se produzca un impact o en la organización.
5) M atriz de riesgos y cont roles, se elabora por cada proceso refleja información obtenida en las actividades anteriores.
Es important e aclarar que en est e esquema, tal como lo indica el flujo de las flechas una vez que se tiene la matriz de riesgos y controles ésta debe ser revisada periódicament e con la finalidad de darle mant enimient o, es decir, pueden existir nuevos riesgos, o se puede implement ar nuevos controles lo que demandaría cambios en la matriz.
Est as fases se ilustran en el gráfico siguiente:
Figura 2: Fases para Análisis y Evaluación de Riesgos
Identificación de Procesos Críticos
Identificación de Amenazas
Evaluar Vulnerabilidades
Evaluación de Riesgos
1.7.1 Identificación de Procesos Críticos: Analizando la información que se detalla en el cuadro Nro. 1, se puede identificar los procesos críticos de la institución, estos son los seis procesos con el valor más alto en la columna t otal, que al mismo tiempo están enumerados del 1 al 6 en la columna orden de criticidad.
El cuadro Nro. 33, contiene información sobre los procesos críticos identificados, est os datos fueron obtenidos en las entrevistas realizadas a los responsables de las diferentes unidades administrativas y del trabajo de campo:
Nombre del proceso
Descripción, detalla las funciones del proceso y como funciona.
Tipo de proceso, operativo o de soport e
Frecuencia de Uso tanto de usuarios direct os, como de los administradores del procesoCUADRO NO. 33: CLASIFICACIÓN DE LOS PROCESOS CRÍTICOS IDENTIFICADOS
Nombre Descripción Tipo Frecuencia Responsable
Seguimient o de Causas
Este proceso permite el despacho diario de los procesos en todas las judicaturas del Área Judicial, par a esto hacen uso de la aplicación denominada Sistema Aut om ático de Trámit e Judicial Ecuatoriano SATJE. EN gener al permite cumplir con todas las act ividades relacionadas a los procesos dentro de cada judicatura ingreso de documentos, providencias, razones, autos, genera r azones de not ificación y boletas. También les permite generar los informes que por ley deben llevar como son libro diario, inventario alfabético y numérico, reportes estadísticos. Este sistem a utiliza una base de datos en SQL Server 2005 y la plataforma de desarrollo es Borland Delphi.
Operativo Diaria Vanessa M uñoz M ontero
Pago de Pensiones Alimenticias
En los Juzgados de la Familia, M ujer, Niñez y Adolescencia, este proceso consiste en llevar un registro de los depósitos y r et iros de pensiones alimenticias, actualizando alzas, rebajas, liquidaciones, o ext inción de aliment os, este proceso lo cumplen utilizando un sistema denominado Pensiones, el cual t iene una conexión dedicada con el Banco de Guayaquil, que es donde se realizan las transacciones, las pagadoras de los juzgados de la niñez, lo que hacen es ingresar nuevos registros, así como la cantidad que les corresponde cancelar. A diar io gener a un reporte contable que es enviado al banco de Guayaquil, para cr uzar información y comprobar las transacciones registradas. En el aspecto técnico, ut iliza como motor de base de datos SQL Server 2005, está desarrollado en Visual Basic, el ejecut able funciona en plataforma Window s.
Operativo Diaria Ing. Osw aldo Castro
Servicios de Internet: Port al Web
El portal w eb, en el cual la institución debe publicar en pr imer lugar todos los ít ems especificados en la Ley de Transparencia de la Información, a parte permite a la ciudadanía realizar consultas de causas y consultas de pagos de pensiones alimenticias.
Soporte Diaria Vanessa M uñoz M ontero
Registro de Ingresos y Egresos de M aterial de Oficina
En la Dependencia denom inada Proveeduría, utilizan una aplicación denominada DNA, esta permite llevar un control del invent ario de material de oficina y los bienes de control adm inistrativo, a cargo del funcionario de proveeduría. En cuanto al aspecto t écnico utiliza como motor de Base de datos y se encuentra desarrollado en Or acle, ha sido desarrollado por la función judicial.
Soporte M ensual Ing. Osw aldo Castro M endoza
Procesos de gestión de la Unidad Financiera
Las funciones de consulta, aprobación y ejecución se encuentran automatizadas, haciendo uso de una aplicación w eb denominada Sistema de Administración Financiera e-sigef, diseñada para ent idades del sect or público por el M inisterio de Finanzas.
Soporte Semanal Ing. Osw aldo Castro M endoza
Adm inist ración y Gestión de Personal
Para cumplir con este proceso la función judicial ha desarrollado una aplicación en Oracle, permite cum plir las funciones de administr ación de personal, esto es control de vacaciones y licencias, ingresos y salidas de los empleados a la instit ución, sort eo de jueces suplentes y conjueces. Está diseñado una arquitectura cliente servidor , ut ilizando conectividad WAN.
1.7.2 Evaluar Vulnerabilidades:para identificar las vulnerabilidades que puedan permitir que las amenazas de la entidad se den e int errumpan las actividades cotidianas de la misma, es necesario diseñar una encuesta por cada proceso y aplicarla a los responsables de los procesos críticos identificados. Dos ejemplos de las encuestas que fueron llenadas por los administradores de los procesos se adjuntan en el Anexo 2F, el format o de la encuesta es:
E n cu es t a
Esta encuesta tiene como finalidad determinar las amenazas a las que está expuesta la institución.
Dirigida a los responsables del funcionamiento de las diferentes unidades administrativas.
Marque con una X las amenazas a las que ud. considera que está expuesta la entidad actualmente.
Nombre del proceso: _________________________________
Responsable: _________________________________
AM ENAZA SI NO
Huracanes Inundaciones M ovimientos Telúricos Incendios
Falla de Hardw are
Problemas en la Base de Datos Congestión de la red LAN Falla de enlace dedicado
Falla de servicios de apoyo (DNS, DHCP) Fallo UPS Centralizado
Fallo de Gener ador de Energía Eléctrica Fallo servicio de internet
Robo de Hardw are
Robo de Inform ación confidencial
Alteración de la integr idad de la información Caída de ser vicio de aplicación
Filtración de Softw are malicioso Ataques externos
Acceso físico no autorizado
Problemas en copias de seguridad de las bases de datos Falla de aires acondicionados
No existe servidor de aplicaciones de backup Falla de firew all físico
2.2.3 Identificación de Amenazas: En esta actividad se identifica y evalúa las amenazas a las que está expuesta la entidad, considerando su situación act ual. En el Anexo 2G, se puede encontrar dos ejemplos de las encuestas aplicadas a los responsables de los procesos donde identificaron las amenazas a las que consideran est á expuesta la entidad. A continuación se detalla el formato de la encuest a utilizado:
E n cu es t a
Esta encuesta tiene como finalidad determinar las vulnerabilidades a las que está expuesto el proceso del que ud es responsable. Por favor marque con x las vulnerabilidades de la entidad que pueden afectar a su proceso.
Nombre del proceso: _____________________________
Responsable: ______________________________
Nombre VULNERABILIDADES SI NO
Edificio no tiene estr uct ura antisísm ica
No existen salidas de emergencia
No hay instalación de vigilancia por circuito cerrado de cámaras
No existe sistema de backup de bases de datos out-site
No existen Conexiones de Red LAN redundantes
Falta de extintores de incendios en cuarto de servidores
Inexistencia de políticas de seguridad lógica
No existe un sistem a de respaldo de energía perm anente
No existe enlace redundante par a el servicio de internet
No existe ser vidor de backup para los servicios DNS, DHCP
Insuficiente seguridad lógica
Insuficiente seguridad física
Falta de antivirus con bases de datos virus actualizada
Falta de servidor de base de datos de backup
Sistema de detectores de hum o no funciona
Deficiente seguridad en equipos act ivos de la red LAN del Edificio Antiguo
Falta de pr otección a Var iaciones de voltaje
Ingreso de datos erróneos
Hardw are deteriorado
Deficiente seguridad en firew all lógico
Inexistencia de M anual de Operación del Sistema
Inexistencia de M anual de mantenim iento del sistema
Inconsistencia de información referente a la ent idad
Aplicación incompleta de políticas de seguridad física para el acceso al Centro de Cómputo
Falta de personal informático para dar sopor te técnico a los usuarios finales
Para la etapa de identificación de los riesgos se utilizó como modelo el Plan de Continuidad del Negocio diseñado para Unidad de Sistemas y Proyectos Informáticos de la Universidad Técnica Particular de Loja, elaborado por Ing. M ayra Romero, Ing. Lorena Puccha e Ing. Jorge Condoy.
2.2.4 Evaluar Riesgos: en esta etapa se identifica los riesgos que pueden afectar a la entidad, para poder evaluar de mejor manera se clasifica los riesgos en dos grupos:
[image:30.612.71.561.231.497.2]a) Riesgos Generales: se agrupa todos los riesgos que afectan a toda la entidad como t al y por ende a todas las actividades que desempeña. A continuación se detalla dos de los riesgos generales definidos:
Cuadro nro. 34: RIESGOS GENERALES
Riesgo Causas Consecuencias
Inundación Lluvias
Problemas en el diseño del sist ema de drenaje del edificio.
Fisuras en tuberías
Acciones humanas involuntarias
Falta de mantenimiento del sist ema de drenaje exterior.
Pérdidas económicas
Daños en las líneas de comunicaciones.
Daños en la línea de fibra óptica del servicio de internet.
Daños en las líneas principales y alt ernas de energía eléct rica.
Daños a la infraestruct ura física del edificio Incendio Causas Naturales
Ataques vandálicos/ t erroristas premeditados.
Falla de energía eléct rica.
Falta de mantenimiento en los sist emas de prevención de incendios
Almacenamiento inadecuado de procesos antiguos archivados en la instit ución.
Pérdidas humanas
Pérdidas económicas
Daños en las líneas de comunicaciones.
Daños en las líneas principales y alt ernas de energía eléct rica.
Destrucción total de la infraest ruct ura del edificio.
Pérdida total de información.
Obstrucción de las salidas de emergencia En el Anexo 2H se detalla todos los riesgos generales que se considera pueden afectar a la organización.
Cuadro Nro. 35
Nombre del Proceso: SEGUIM IENTO DE CAUSAS
Riesgo Causas Consecuencias
Interrupción en las operaciones del Sistema Automático de Trámit e Judicial Ecuatoriano (SATJE)
Falla de comunicación con la Base de datos
La aplicación servidor utiliza demasiados recursos.
El socket t iene demasiadas conexiones activas y caducadas.
Demasiadas peticiones de consultas simultáneas al servidor.
Saturación del tráfico de dat os en la red LAN
Falta de manual de operación del sistema.
Infiltración de virus
Falla en el funcionamiento de los servicios DHCP o DNS.
Cambio de personal
Falta de servidor de backup
Afecta negativament e a la imagen de la institución.
Pérdidas económicas
Insatisfacción de usuarios directos e indirectos.
Interrupción en el cumplimiento de las actividades principales de la instit ución.
Pérdida de información.
Inconsist encia en la toma de decisiones
2.2.5 Matriz de Riesgos y Controles
Una vez identificadas las amenazas y los riesgos que la institución debe mitigar, para prevenir la ocurrencia de un evento, es tiempo de determinar el impact o que la ocurrencia de un incident e puede t ener sobre la Cort e Provincial de Justicia de Loja, en t érminos cualitativos y cuantitat ivos.
En el Anexo 2I, se puede encontrar el cuadro denominado M atriz de Riesgos y Cont roles, se elabora una matriz por cada proceso, donde se puede encontrar desglosada información relacionada con los riesgos, impacto y controles existentes para mitigar los riesgos identificados. Los valores cualitativos y cuantit at ivos fueron asignados a cada event o por los administradores de cada proceso, basados en su conocimient o y experiencia.
El diseño de la matriz de Riesgos y Controles, está basada en el modelo utilizado por la Universidad Técnica Particular de Loja para realizar evaluación de riesgos.
La matriz de riesgos y controles est á dividida en varias secciones y ést as a su vez tienen campos que reflejan información sobre los procesos, así se tiene:
Código: es un identificador alfanumérico único que se le asigna a cada riesgo con el cual será llamado en ot ras etapas del desarrollo del Plan de Continuidad del Negocio, est e código será por ejemplo UI.R.001, donde UI se refiere a Unidad Informática, R a riesgo, seguido de un número secuencial.1) Sección Component es del Escenario de Riesgo: está compuesta por los siguient es campos:
o
Actor: Identifica el posible responsable de un determinado event o.o
Evento: Constituye la posible causa del riesgo, est as son definidas de acuerdo alas vulnerabilidades de la inst itución identificadas en la evaluación de riesgos.
o
Activo/ Recurso/ Servicio: Identifica el activo, recurso o servicio al que afectadirectament e el event o.
o
Tiempo: Es el tiempo objetivo de recuperación, en este punto ya se tiene unavisión de la entidad objeto de estudio, los procesos críticos que la componen, ahora se puede establecer el período máximo de int errupción, t eniendo en cuenta que el objetivo del Plan es dar cont inuidad a las actividades de la institución tras un incidente, con las menores pérdidas posibles, deben estimarse para cada uno de los procesos críticos, el t iempo a part ir del cual las pérdidas afectarían de forma grave a la institución. Esta estimación es import ant e para seleccionar la estrat egia de respaldo adecuada a las necesidades de recuperación.
2) Sección Categoría de Riesgo: Esta sección ayuda a definir a que tipo de objetivos de la institución afecta el evento; y si ese objetivo es principal o secundario, asignando la letra “ p” o la letra “ s” , según sea el caso. Los tipos de objet ivo son: Proveer Valor, Entrega de Proyectos y Entrega de Servicio
o
Beneficio de TI/ Proveer Valor: Si el objetivo afectado provee beneficioseconómicos a la institución.
o
Beneficio de TI/ Entrega de Proyectos: Si el event o afecta objetivos relacionadoscon la Entrega de proyectos.
o
Beneficio de TI/ Entrega de Servicio: cuando el event o a la entrega de servicios dela institución.
3) Sección Riesgo: Tiene un campo escenario negativo, es el riesgo al que está expuesto ese proceso en particular, éste fue identificado anteriormente en la evaluación de riesgos.
4) Sección Consecuencia de Riesgo: en est a sección se clasifica las consecuencias en caso de ocurrir el evento, se divide en cuatro campos.
o
El negocio no gana valor: se marca con una “ x” si en caso de ocurrir el evento elnegocio no gana valor.
o
El negocio pierde valor: se marca con una “ x” , si en caso de ocurrir el evento elnegocio pierde valor.
o
Fact or de Impact o: Este ítem se refiere al impacto operacional, es un valorCuadro Nro. 36 : Evaluación Cuantitativa y Cualitativa de Riesgos
IM PACTO 1 - No Significativo 2 - M enor 3 - M oderado 4 – Grave 5 - Catast rófico
Cualitativo
* Pérdida o daño insignificant e. * No aumenta las quejas de los usuarios
* No hay impact o negat ivo en el patrim onio.
* Pérdida o daño m enor.
* Aument an las quejas de los usuarios aproxim adament e un 20% del t otal de usuarios que usa el sistem a * Impact o mínim o en el valor del patrimonio (activos)
* Pérdida significat iva.
* Reclam os de usuarios en un nivel entre 21% y 40% de usuarios finales del sist em a
* Pot encial pérdida de valor en el patrim onio
* Pérdida o daño m ayor. * Reclamos de usuarios aum ent an entre el 41 y el 70% de usuarios finales del sist em a.
* Pérdida que afecta el valor del patrimonio
* Pérdida catastróf ica.
* Riesgo inacept able en el sect or. * Reclam os de usuarios entre el 71% y el 100% de los usuarios f inales del sistem a.
* Produce quiebra de la ent idad o pone en peligro su continuidad.
Cuantitativo Pérdida financiera > $0 y <=$ 50 Pérdida financiera > $50 y <=$ 100 Pérdida financiera >$100 y <=$150 Pérdida financiera >$ 150 y <=$ 200 Pérdida financiera >$200
Objetivos Im pacto insignificant e en el logro de
los objetivos.
Impacto m enor que es fácilment e
remediable. Algunos objet ivos son afect ados
Algunos objetivos im portant es no pueden ser alcanzados.
La mayoría de los objetivos no pueden ser alcanzados.
Reputación e imagen El event o solo es de conocim iento del
responsable del proceso y su Unidad
El event o es de conocimient o la unidad Informática y los direct ivos de la inst it ución
El event o es de conocimient o a
nivel general de la inst it ución El event o es de conocimient o local
El event o es de conocimient o a nivel nacional
Afect ación al recurso humano
Evento que no ocasionó lesiones u ocasionó lesiones con incapacidad de hasta 3 días
Evento que ocasionó incapacidad de 3 días a 1 mes
Evento que ocasionó incapacidad de 1 mes hast a 3 m eses
Evento que ocasionó incapacidad de 3 a 6 m eses
Evento que ocasionó pérdida de vidas hum anas o incapacidad perm anent e.
Legal
* Los activos no se ven expuest os a pérdidas ni comprom et idos por vulnerabilidad de ám bit o legal alguna.
* Las operaciones no se ven afectadas. Los pasivos y cont ingent es se incr ementan en un nivel insignificant e.
* Los act ivos se ven expuest os a pérdida y comprom et idos en un nivel menor debido a la explotación de alguna vulnerabilidad en el ám bit o legal.
* Las operaciones se ven afectadas en un nivel menor. Los pasivos y cont ingent es se increm entan en un nivel no im portant e.
* Los activos se ven expuest os a pérdida y comprom et idos en un nivel moderado debido a algunas vulnerabilidades de ámbit o legal. * Las operaciones se ven afectadas de m anera negativa en un nivel considerable. Los pasivos y cont ingent es se incrementan en un nivel im portante.
* Los act ivos se ven expuest os a pérdida y comprom et idos en un nivel grave debido a la exposición de varias vulnerabilidades de ám bit o legal. * Las operaciones se ven afectadas negat ivament e en un nivel grave. Los pasivos y cont ingent es se
increm entan de m anera grave.
* Los activos se ven expuest os a pérdida y com prom et idos en un nivel crítico debido a la explotación de varias vulnerabilidades de ámbit o legal.
