Análisis de gestión del riesgo de TI en recaudo Bogotá SAS

Texto completo

(1)ANÁLISIS DE GESTIÓN DEL RIESGO DE T.I. EN RECAUDO BOGOTA SAS. José Leonardo Camacho Santafé Andrés Felipe Ardila Roldan. Universidad Católica de Colombia Facultad de Ingeniería Programa de Ingeniería de Sistemas y Computación Bogotá D.C. Colombia 2016.

(2) ANÁLISIS DE GESTIÓN DEL RIESGO DE T.I. EN RECAUDO BOGOTA SAS. José Leonardo Camacho Santafé Andrés Felipe Ardila Roldan. Monografía presentada como requisito parcial para optar al título de: Ingeniero de Sistemas. Director:. Coordinador Proyecto de Grado: Ing. Carlos Andrés Lozano. Universidad Católica de Colombia Facultad de Ingeniería Programa de Ingeniería de Sistemas y Computación Bogotá D.C., Colombia 2016. 2.

(3) Nota de Aceptación. Aprobado por el comité de grado en cumplimiento de los requisitos exigidos por la Facultad de Ingeniería y la Universidad Católica de Colombia Para optar título de ingeniero de Sistemas.. __________________________ Carlos Andrés Lozano. __________________________ Manuel Báez Revisor Metodológico Bogotá, 13, mayo, 2016. 3.

(4) 4.

(5) CONTENIDO. PÁG 1. GENERALIDADES. 16. 1.1 ANTECEDENTES. 16. 1.2. PLANTEAMIENTO DEL PROBLEMA. 19. 1.2.1. Descripción del Problema. 20. 1.2.2. Formulación del Problema. 20. 1.3. OBJETIVOS. 20. 1.3.1. Objetivo General. 20. 1.3.2. Objetivos Específicos. 21. 1.4. JUSTIFICACIÓN. 21. 1.5. METODOLOGÍA. 22. 1.5.1. Tipo de Estudio. 22. 1.5.2. Fuente de Información. 23. 1.6. DISEÑO METODOLÓGICO. 23. 1.7. CRONOGRAMA DE ACTIVIDADES. 24. 1.8. PRODUCTOS A ENTREGAR. 24. 1.9. INSTALACIONES Y EQUIPOS REQUERIDOS. 25. 1.10. ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN. 26. 5.

(6) 2. ANÁLISIS DE MARCOS DE REFERENCIA DE GESTIÓN DEL RIESGO T.I. 27 2.1. MARCO 4A PARA LA GESTIÓN DE RIESGOS TI.. 28. 2.2 MARCO PARA LA GESTIÓN DE RIESGOS DE T.I (MAGERIT). 32. 2.2.1. Pasos Propuestos por Magerit.. 34. 2.2.2. Análisis de Riesgos.. 34. 2.2.3. Gestión del Riesgo.. 34. 2.3. RISK T.I. MARCO PARA LA GESTIÓN DE RIESGOS DE T.I.. 35. 2.4. COMPARACIÓN DE CRITERIOS DE MARCOS DE REFERENCIA. 37. 2.4.1. Evaluación de los Marcos de Gestión de Riesgos de T.I.. 40. 3. PLAN DE CONTINUIDAD DEL NEGOCIO -BCP-. 43. 3.1. RIESGO DE TI EN RECAUDO BOGOTÁ SAS. 43. 3.2. RISK ASSESSMENT -RA- MEDIO DE PAGO. 48. 3.3. BCP MEDIO DE PAGO - RECAUDO BOGOTÁ SAS. 49. 3.3.1. LISTA DE DISTRIBUCIÓN. 49. 3.3.2. Propósito y Alcance. 50. 3.3.3. Manejo de incidentes, roles y responsabilidades. 52. 3.4. ANÁLISIS DE IMPACTO EN EL NEGOCIO -BIA-. 59. 3.4.1. Medio de Pago. 59. 4. MEJORA DE LA BASE TECNOLÓGICA -FIXINGFOUNDATION-. 62. 4.1. BASE TECNOLÓGICA ACTUAL PARA MEDIO DE PAGO. 62. 6.

(7) 4.1.1. Sistemas de Información e Infraestructura para Medio de Pago. 62. 4.1.2. Definición General de Procesos para Medio de Pago. 66. 4.1.3. Control de Acceso a las Aplicaciones y Roles de Operación. 68. 4.1.4. Arquitectura Empresarial (Recaudo SA Bogotá) para Medio de Pago. 70. 4.1.5. Listado de Acciones de Mejora a Nivel de Arquitectura Tecnológica. 71. 4.1.6. Situación actual y estrategia a seguir “Fixing Foundation”. 73. 5. CONCLUSIONES 6. BIBLIOGRAFíA. 74 76. 7.

(8) LISTA DE FIGURAS. PÁG Figura 1 Ciclo de gestión marco 4A. 31. Figura 2 Ciclo de marco Magerit. 35. Figura 3 Proceso de metodología Risk T.I.. 36. Figura 4 Evaluación cuantitativa. 38. Figura 5 Sede edificio el Camino. 57. Figura 6 Sede edificio seguros Aurora. 58. Figura 7 Sede edificio el Vigar. 58. Figura 8 Comunicación Datacenter Servicios Centrales/Sótano 1. 63. Figura 9 Conectividad Estaciones/Portales con Sistemas Centrales. 63. Figura 10 Comunicación Sistemas de información medio de pago. 66. Figura 11 Autenticación Federada sistemas de información medio de pago. 69. Figura 12 Arquitectura empresarial Recaudo Bogotá S.A medio de pago. 71. 8.

(9) LISTA DE TABLAS. PÁG Tabla 1. Tipos de Riesgos T.I.. 20. Tabla 2. Cronograma. 24. Tabla 3. Productos a Entregar. 24. Tabla 4. Presupuesto. 26. Tabla 5. Honorarios. 26. Tabla 6 Criterios de evaluación de marcos de riesgos de T.I.. 40. Tabla 7 Evaluación de marcos de riesgos de T.I.. 41. Tabla 8 Evaluación de marcos de riesgos de T.I.. 44. Tabla 9 Riesgos de acceso. 45. Tabla 10 Riesgos de precisión. 45. Tabla 11 Riesgos de agilidad. 46. Tabla 12 Risk Assessment medio de pago. 48. Tabla 13 Lista de distribución. 49. Tabla 14 Dueño del documento y responsable de actualización. 50. Tabla 15Lista de planes y documentos asociados. 50. Tabla 16 Plan de activación de procedimiento. 51. Tabla 17 Actividades críticas y recursos. 52. Tabla 18Falla FCS-HSM-SCSM DataCenter. 53. Tabla 19 Renuncia/ausencia de miembro del equipo. 54. Tabla 20 Incumplimiento de proveedores clave. 55. Tabla 21 Contactos Clave. 56. Tabla 22 Log de registro de suceso. 59. Tabla 23 Impacto en el negocio para Medio de pago.. 59. Tabla 24 Tiempo de recuperación objetivo. 60. Tabla 25 Tier Físico FareCollectionSystem. 64. Tabla 26 Datacenters medio de pago. 65. 9.

(10) Tabla 27 SCSM (System Center Service Manager). 65. Tabla 28 Alojamiento de What’s Up Gold. 66. Tabla 29 Roles de Operación Sistema FCS. 69. Tabla 30 Acciones de Mejora Fixing Foundation. 72. 10.

(11) LISTA DE ABREVIATURAS Y DEFINICIONES Abreviatura. Término. BCA. Barrera de control de acceso. BCP. Business continuity plan. BIA. Business impact analysis. DCA. Dispositivos de carga asistida. ESB. Enterprise Service Bus. FCS. FareCollectionSystem. HSM. Hardware Security Module. HW. Hardware. IaaS. Infrastructure as a Service. LDAP. Lightweight Directory Access Protocol. LG. Life’s Good. LTO. Linear Tape Open. NAS. Network Attached Storage. NFC. Near Field Communication. OSIS. Proveedor logístico. PaaS. Platform as a Service. RA. Risk assessment. RB. Recaudo Bogotá. SAN. Storage Area Network. SC. Sistemas Centrales. 11.

(12) SCSM SW. System Center Service Manager Software. TISC. Tarjeta inteligente sin contacto. TCA. Terminal de carga asistida. TM. Transmilenio. TSL. Transport Security Layer. 12.

(13) RESUMEN Recaudo Bogotá S.A.S es la empresa ganadora del contrato para operar el Sistema de Recaudo, Control de Flota e Información al Usuario SIRCI en la capital por 17 años. El Sistema Integrado de Transporte Público de Bogotá -SITP- como proyecto que organizará todo el transporte público de la capital colombiana, se concibe en el año 2006, a través del Decreto 319, en el Plan Maestro de Movilidad. Durante cuatro administraciones de Bogotá se trabajó de forma articulada con todos los actores involucrados en el sector del transporte público de la capital y, con la asesoría de consultores y expertos locales e internacionales, se puso en marcha uno de los proyectos de transporte más ambiciosos en el mundo con miras a impactar el futuro de la ciudad, ofreciendo orden y calidad en el servicio a más de 6 millones de usuarios. Recaudo Bogotá S.A.S sustenta sus operaciones principales (recaudo, control de flota y medio de pago) sobre sistemas de información de misión crítica, por lo cual, nace la necesidad de ejecutar un análisis de gestión de los riesgos de TI, mediante la evaluación y selección de un marco de riesgos TI. El marco 4A fue seleccionado al ser calificado como el más óptimo, según un proceso de evaluación y comparación. Finalmente, se plantea una estrategia de gestión de riesgos de TI, con un plan de continuidad del negocio, y una propuesta de mejoramiento de la base tecnológica, fundamentada en marco de riesgos TI 4A. Palabras clave: Recaudo Bogotá S.A.S, medio de pago, gestión de los riesgos de TI, marco 4A, plan de continuidad del negocio, mejoramiento de la base tecnológica. 13.

(14) ABSTRACT Bogota S.A.S collection is the winning company the contract to operate the collection system, fleet control and user information SIRCI in the capital for 17 years. The Integrated Public Transport Bogotá -SITP- as project organized all public transport in the Colombian capital, system conceived in 2006, through Decree 319, the Mobility Master Plan. For four administrations of Bogota worked articulately with all stakeholders in the public transport sector of the capital and, with the advice of consultants and local and international experts, he launched one of the projects most ambitious transport the world in order to impact the future of the city, offering order and quality service to more than 6 million users. Recaudo Bogota SAS supports its main operations (collection and fleet control) on information systems mission critical, therefore, comes the need to implement a management analysis of IT risks by evaluating and selecting a framework IT risks. 4A frame was selected to be rated as the most optimal, according to evaluation and comparison process. Finally, a risk management strategy IT with business continuity planning, and a proposal for improvement of technological base, based on IT risk framework 4A. Keywords: Recaudo Bogota S.A.S, means of payment, risk management T.I. frame 4A, business continuity plan, fixing the foundation.. 14.

(15) INTRODUCCIÓN Recaudo Bogotá SAS (RBSAS) ganó la licitación adjudicada para el recaudo del Sistema Integrado de Transporte Público (SITP) de Bogotá. El área de tecnología y operaciones es el pilar de toda la cadena de valor ofrecida por RBSAS, dado que soporta el Sistema Integrado de Recaudo, el Control de flota e Información al Usuario. En esta área trabajan alrededor de 200 personas e involucra múltiples sistemas de información y comunicaciones. En razón de la importancia de su operación para la movilidad en Bogotá se hace relevante analizar y plantear un plan de gestión de riesgo TI para que mitigue y minimice eficazmente una posible interrupción en el servicio. El plan de gestión de riesgos a construir permitirá determinar las medidas necesarias para minimizar los riesgos de TI, protegerse preventivamente ante un riesgo específico y determinar las actividades de recuperación necesarias ante la aparición de un riesgo probable de T.I. Bajo el marco 4A y sus parámetros definiremos los riesgos potenciales para el área de mayor riesgo tecnológico, con la cual se hará un estudio inicial de su estado actual, y bajo el marco 4A, se realizará una solución a la gestión de riesgos de T.I. con un plan de continuidad del negocio, y una propuesta de mejoramiento de base tecnológica. Recaudo Bogotá SAS, desde la dirección TI, no ha implementado ningún marco formal y oficial para el manejo de riesgos TI. Esto indica que el impacto de los riesgos sobre los servicios clave, la probabilidad de ocurrencia y el tiempo de recuperación crezcan sustancialmente. Recaudo Bogotá SAS puede efectuar múltiples acciones de mejora, que modernicen y simplifiquen su base tecnológica actual, focalizada hacia la entrega continua e ininterrumpida de su cadena de valor.. 15.

(16) 1. GENERALIDADES 1.1 ANTECEDENTES Recaudo Bogotá (RBSAS) asume como operador tecnológico del Sistema Integrado de Recaudo Control de Flota e Información y Servicio al Usuario (SIRCI), es decir, la operación de los Servicios de Recaudo, el Control de Flota y la Información al Usuario del Sistema Integrado de Transporte Público (SITP) en Bogotá. El SITP implementa el medio de pago por parte de los usuarios y este se almacena en Tarjetas Inteligentes Sin Contacto (TISC), que ofrecen una gran variedad de servicios. Actualmente ya se puede ingresar a cualquier estación de Transmilenio con esta tarjeta, puesto que antes solo estaba vinculada al servicio del SITP RBSAS ha liderado con éxito nueve procesos de integración de tarjetas de sistema de transporte masivo en el mundo, cuatro de los cuales han sido entre tarjetas con tecnología MiFare (utilizada en las Fases I y II de Transmilenio) e infineon (tarjeta Tullave Fase III y buses SITP). También apoya el servicio de recaudo del sistema de Transmilenio S.A. el cual es un sistema de transporte masivo el cual utilizan diariamente aproximadamente 2 millones de usuarios. El sistema tiene 26 estaciones, 423 empleados y 3705 buses. Para los procesos administrativos y de operación de una empresa de este tamaño es indispensable el uso de tecnologías de la información y la comunicación (TIC), una falla en las TIC tendría un gran impacto el cual llevaría a colapsar el sistema, problemas de movilidad, sociales, además de pérdidas de índole económica y laboral. El 15 de febrero de 2012 Transmilenio S.A. autorizó a Recaudo Bogotá S.A.S. la adquisición de la tarjeta inteligente ‘tullave’ con chip Infineon SLE66CL41P que se convertirá en el único medio de pago, con el que ya se están movilizando los usuarios del transporte público en la fase III de Transmilenio y el SITP. En el año 2015 Recaudo Bogotá S.A.S. asumió por completo la gestión integral del sistema Transmilenio que corresponde al recaudo, control de flota y el servicio de información al usuario. A continuación se hará una breve descripción de cada uno de estos procesos. El Recaudo es el servicio de recaudo operado por la tecnología de Recaudo Bogotá S.A.S. permite que los usuarios del transporte público en Bogotá tengan un medio de pago único, seguro, ágil y moderno. A través de tullave, es decir Tarjetas Inteligentes Sin Contacto (TISC) recargables, los ciudadanos cancelan el valor de sus pasajes (unidades de transporte) de manera transparente y efectiva accediendo a beneficios por transbordo, descuentos por perfiles especiales y la posibilidad de obtener un viaje a crédito en los más de 10 mil buses zonales del Sistema Integrado de Transporte Público (SITP).. 16.

(17) Las tarjetas tullave tienen un chip INFINEON de la familia SLE66PE, lo que proporciona seguridad y respaldo a la ciudad, que cuenta con tecnología moderna y un medio de pago con los mejores estándares de seguridad: Satisface todas las especificaciones técnicas para las tarjetas del SITP incluidas en el contrato SIRCI. Nunca ha sido vulnerada en un ambiente real, cuenta con certificaciones de seguridad: Common Criteria Evaluation Assurance Level 5+, EMVCo:(Europay, Mastercard, Visa), aprobación Visa en agosto de 2012, garantiza además que puede integrarse con otros medios de pago, debido a que las tarjetas y lectores proporcionados por Recaudo Bogotá SAS cumplen con la norma ISO14443 enteramente, norma que rige todo el sistema Transmilenio, la tarjeta tullave, además, puede ser usada en nuevas aplicaciones que proporcionen beneficios a los ciudadanos cada día. Tipos de tarjeta tullave funciona con las siguientes características: . Tarjeta básica o anónima.. . No cuenta con los datos personales del usuario y no aplica el bloqueo de saldo por pérdida o robo, ni el viaje a crédito.. . Tarjeta Plus.. . Personalizada con el nombre y la identificación del usuario, con descuentos por transbordo, facilidad del viaje a crédito y la posibilidad de bloquear y recuperar el saldo en caso de pérdida o robo.. . Actualmente la tarjeta tiene un costo de $3.000 y se expide con el nombre y número de identificación del portador. De acuerdo con algunas definiciones puntuales del Distrito, se han establecido otros tipos de tarjetas para población específica.. . Plus Especial.. . Está diseñada para los usuarios con beneficio de Adulto Mayor. La tarjeta viene personalizada con el nombre, identificación del usuario y foto. Esta tarjeta aplica para los descuentos por transbordo, viaje a crédito y descuentos adicionales.. . Tarjeta Apoyo Ciudadano – SISBÉN.. . De acuerdo al Decreto 603 de 2013 se define un nuevo incentivo para las personas afiliadas al SISBEN 1-2 (0 a 40 puntos) mayores de 16 años. Con. 17.

(18) este beneficio podrán tener acceso a tarifas diferenciales (hora valle $720 y hora pico $1.020) en todo el Sistema Integrado de Transporte Público (SITP). . Si la persona cumple con los requisitos debe hacer la pre-inscripción en el siguiente enlace www.sisben.tullaveplus.com para obtener la tarjeta con el incentivo y definir el sitio de entrega de la misma.. . Tarjeta para personas en condición de discapacidad.. . Esta tarjeta cuenta con un beneficio especial para las personas en condición de discapacidad que se encuentran inscritas en la Secretaría de Movilidad o en la Secretaría de Salud. Los usuarios que aplican a este beneficio recibirán un subsidio mensual de $21.250 y no podrán figurar como propietarios de vehículos.. . Al término de la implementación del sistema, los usuarios tendrán a su disposición una red de más de 4.351 puntos de recarga externa de la tarjeta tullave por toda la ciudad, y más de 40 puntos de personalización ubicados en sitios estratégicos y de fácil acceso para los usuarios.. . Centro de Control de Recaudo Bogotá SAS.. . Es el punto de contacto entre la operación de recaudo y personalización a nivel interno en estaciones y portales, así como en red externa. Es el encargado de consolidar información de alto impacto para la operación a través de interacción permanente con los responsables de cada proceso y es el canal autorizado para la gestión de novedades tanto a nivel interno (Mesa de Ayuda), como con el Ente Gestor (Centro de Control de Transmilenio S.A), de tal manera que se garantice la adecuada prestación del servicio.. . Monitorea de manera permanente y a través del canal telefónico la apertura y cierre de taquillas de acuerdo con los horarios de operación definidos.. . Apoyo al personal operativo en estaciones, portales y puntos de personalización para escalamiento de novedades y/o requerimientos en ingreso a dispositivos, utilización y bloqueo de tarjetas.. . Gestión de novedades a mesa de servicio relacionadas con fallas en la infraestructura física y tecnológica..  . Control de ingreso de personal autorizado en áreas de taquilla. Verificación y aprobación de novedades presentadas en tarjetas personalizadas (bloqueos, traslados de saldo, cargue de subsidios y verificación de saldos).. 18.

(19) . Establece comunicación directa con el Centro de Control de Transmilenio para canalizar información que altere la normal prestación del servicio, bien sea por factores internos o externos.. Control de flota funciona mediante una plataforma tecnológica que permite programar, organizar y regular un flujo continuo y ordenado de los buses del servicio de transporte público, se realiza una operación moderna y precisa que posibilita saber con exactitud la ubicación y velocidad de los buses y programar un servicio eficiente y más digno para los ciudadanos. Información al usuario, ofrece a los ciudadanos una experiencia más satisfactoria en el uso del transporte público en la ciudad, Recaudo Bogotá S.A.S. brinda información en tiempo real sobre el funcionamiento del sistema, las rutas, horarios, tarifas, etc., Estaciones y taquillas, paraderos, portal web www.tullave.com y aplicaciones móviles con servicios personalizados para los usuarios, puntos de personalización, línea de atención gratuita 018000 115510. Mesa de ayuda, el equipo técnico y operativo de Recaudo Bogotá S.A.S. presta soporte 24 horas a la operación del Sistema de Recaudo, Control de Flota y de Información al Usuario. 1.2. PLANTEAMIENTO DEL PROBLEMA La empresa Recaudo Bogotá (RBSAS), fundamenta gran cantidad de sus procesos operativos en el área de Tecnología y Operaciones. Estos procesos son: . Recaudo: Compra y recarga de tarjetas Tu Llave (Logística de entrada).. . Control de Flota: Coordinación de rutas SITP, gestión de ciclo de parqueaderos del sistema, rutas alimentadoras, entre otras (Operación y Logística de salida).. . Seguridad Informática: Aseguramiento de data interna y acceso.. . Servicios al usuario: Bloqueos de tarjeta, traslados de saldo, mesa de ayuda, verificación y aprobación de novedades, cargue de subsidios, lector de tarjetas tullave, entre otras.. Cada una de los procesos anteriores son responsabilidad del área de Tecnología y Operaciones, por lo cual, actúa como columna vertebral de los principales servicios ofrecidos por RBSAS, en alianza con Transmilenio S.A.. 19.

(20) 1.2.1. Descripción del Problema Los riesgos de TI directamente asociados con la operación se describen en la Tabla 1. TABLA 1. TIPOS DE RIESGOS T.I. Peligros causados por el Peligros Naturales. Peligros. hombre (accidentales). hombre (indirectos). Error de operador. Tormenta. Error de programación de Inundación. causados. por. el. Falla de energía Falla de telecomunicaciones. software Explosión. Rayos. Daño por humo. Incendios. Terremoto. Falla de hardware. Fugas. Tornado. Colapso. Fuente: http://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtml. La estrategia de tratamiento de riesgos para el área de Tecnología y operaciones se constituye en el soporte y garante de una alta disponibilidad de la cadena de valor, que permita saber cuáles son las principales vulnerabilidades de sus activos de información y operación. En la medida que exista un plan de riesgos acertado y definido se podrá establecer medidas preventivas y correctivas viables, efectivas y tempranas, que se convierta en una herramienta de decisión para gestión en un entorno de recursos limitados . 1.2.2. Formulación del Problema En fundamento a los principios anteriores se puede formular la siguiente pregunta de investigación: ¿Qué plan de tratamiento de riesgos IT deben ser implementados en el área de Tecnología y operaciones que aseguren la existencia y cumplimiento de la cadena de valor establecida por RBSAS? 1.3. OBJETIVOS 1.3.1. Objetivo General Diseñar una propuesta de gestión de riesgo T.I. en Recaudo Bogotá SAS para el área de Tecnología y Operaciones.. 20.

(21) 1.3.2. Objetivos Específicos . Analizar la situación actual de riesgo T.I. en el área de tecnología y operaciones de la empresa Recaudo Bogotá SAS bajo el marco 4A.. . Definir medidas de protección del riesgo de T.I. en la empresa Recaudo Bogotá SAS bajo el marco 4A.. . Definir medidas de mitigación del riesgo de T.I. en la empresa Recaudo Bogotá SAS bajo el marco 4A.. . Definir actividades de recuperación del riesgo de T.I. en la empresa Recaudo Bogotá SAS bajo el marco 4A.. 1.4. JUSTIFICACIÓN La actividad diaria de Recaudo Bogotá está soportada la mayor parte en tecnología, esto incluye tanto los procesos administrativos como los procesos misionales de la cadena de valor de la organización. Por esta razón una falla en las TIC conlleva un problema muy grande el cual debe estar soportado en riesgos potenciales y de igual manera como mitigarlos, para evitar que sucedan y en caso de que pasen poder minimizar su impacto al máximo. El servicio más conocido de RBSAS es el de tullave, es decir Tarjetas Inteligentes Sin Contacto (TISC) recargables, los ciudadanos cancelan el valor de sus pasajes (unidades de transporte) de manera transparente y efectiva accediendo a beneficios por transbordo, descuentos por perfiles especiales y la posibilidad de obtener un viaje a crédito en los más de 10 mil buses zonales del Sistema Integrado de Transporte Público (SITP). Los Problemas tecnológicos no han sido excepción en RBSAS; hace algunos años se presentaban a diario fallos en el sistema de control de flota, generando congestión, atraso de las rutas, lentitud al ingresar a los portales, entre otros. La magnitud de la empresa y la cantidad de usuarios que están ligados a los servicios prestados por RBSAS se debe tener un plan de control de fallas para que en el caso que se presente alguna falla tecnológica, haya un plan de contingencia para saber qué hacer y solucionarlos en el menor tiempo posible. Recaudo Bogotá SAS, desde la dirección TI, no ha implementado ningún marco formal y oficial para el manejo de riesgos TI. Esto indica que el impacto de los riesgos sobre los servicios clave, la probabilidad de ocurrencia y el tiempo de recuperación crezcan sustancialmente.. 21.

(22) Por las razones anteriores se pretende generar una propuesta de análisis y gestión de riesgos en el área de Tecnología y Operaciones, bajo el marco de riesgo de TI 4A, de esta manera analizar su estado actual de gestión de riesgos de TI y a partir de esto plantear medidas de mitigación y minimización de riesgos. 1.5. METODOLOGÍA El estudio adopta una metodología descriptiva. Primero se inicia el diagnóstico bajo el marco 4A se identificarán los riesgos en las tecnologías de información, probabilidad de ocurrencia e impacto para el área de tecnología y operación. Posteriormente se propondrán medidas y procesos para prevenir y minimizar al máximo la ocurrencia de estos riesgos. La metodología de medición (cuantitativa) está definida por las siguientes reglas: . Escala numérica de 1 a 10 para riesgo (1 riesgo muy bajo, 10 riesgo muy alto).. . Escala numérica de 1 a 10 para probabilidad de suceso (1 probabilidad muy baja, 10 probabilidad muy alta).. . Escala numérica de 1 a 10 para Impacto (1 impacto muy bajo, 10 impacto muy alto).. . Riesgo = Probabilidad de suceso x Impacto / 10.. Estos cálculos exigen el uso las algunas fórmulas sencillas estadísticas Para la metodología de trabajo, se debe, también, realizar una serie de consultas y averiguaciones bibliográficas y trabajo de campo por medio de las cuales se obtendrá la información requerida para un completo diagnóstico y la generación progresiva del documento que contendrá: . Medidas de protección.. . Medidas de mitigación.. . Actividades de recuperación.. 1.5.1. Tipo de Estudio El tipo de estudio corresponde a un tipo descriptivo. Mediante el análisis del estado actual del área TI, su asociación con la cadena de valor y el marco referencial 4A. 22.

(23) se intentan explicar fenómenos y componentes que pueden afectar la operación integral de RBSAS. El tipo descriptivo permitirá:  Establecer las características de los componentes en la cadena de valor que son directamente afectados por el área de TI. . Identificar la criticidad y probabilidad de sucesos indeseados o accidentes que involucren el área en mención.. . Describir las causas y efectos que pueden presentarse ante riesgos de TI bajo un muestreo e información estadística preliminar.. . Construcción del plan de continuidad del negocio bajo la luz del marco referencial 4A.. 1.5.2. Fuente de Información Las fuentes de información son de vital importancia, puesto que resaltan la madurez del área TI bajo el marco referencial 4A y entregan la información suficiente para construir planes de mitigación y manejo de riesgos TI. Las fuentes de información fidedignas y necesarias para desarrollar una proposición y diagnóstico correctos son: . Muestreo mediante encuestas.. . Datasheet de equipos y componentes de infraestructura.. . Internos directamente ligados a una falla que comprometa la operación.. . Arquitecturas de los sistemas de información internos.. . Diseño de los sistemas de información internos para recuperar un fallo.. 1.6. DISEÑO METODOLÓGICO. Para satisfacer los objetivos de investigación se usan: . Encuestas operativas (herramienta).. . Encuestas ejecutivas (herramienta).. 23.

(24) . Flujos de trabajo.. Las encuestas descritas por el Marco 4A son la materia prima para el examen y definición estratégica. Las encuestas operativas y estratégicas brindan una visión general y particular del área de Tecnología y Operaciones. 1.7. CRONOGRAMA DE ACTIVIDADES La Tabla 2 describe el cronograma de actividades para el desarrollo del proyecto TABLA 2. CRONOGRAMA #. Actividades. Fecha de inicio. Duración Fecha de finalización en días. 1. Formulación de anteproyecto.. 3 de febrero de. 9. 16 de febrero de 2016. 5. 23 de febrero de 2016. 10. 11 de Marzo de 2016. 23. 1 de Abril de 2016. 8. 8 de Abril de 2016. 8. 22 de Abril de 2016. 2016 2. Envío del anteproyecto.. 16 de febrero de 2016. 3. Aprobación del anteproyecto. 23 de febrero de 2016. 4. Realizar comparación de marcos de 11 de Marzo de gestión de riesgos de T.I.. 5. 2016. Seleccionar marco para gestión de 1 de Abril de 2016 riesgo T.I.. 6. Análisis de la información obtenida de 15 de Abril de 2016 las encestas. Fuente: El autor. 1.8. PRODUCTOS A ENTREGAR La Tabla 3. Describe Los entregables del proyecto y sus respectivas fechas TABLA 3. PRODUCTOS A ENTREGAR Nombre del producto. Tipo. Fecha de Entrega. 24.

(25) Anteproyecto. Proyecto final. Plan de continuidad del negocio. Documento. 11 de Febrero de. escrito. 2016. Documento. 11 de Mayo de. escrito. 2016. Documento. 6 de Mayo de 2016. escrito Business Impact Analysis. Documento. 7 de Mayo de 2016. escrito Risk Assessment. Documento. 8 de Mayo de 2016. escrito Análisis de riesgos IT en el área de Documento tecnología y operación. 9 de Mayo de 2016. escrito. Mejoras potenciales para la infraestructura Documento. 10 de Mayo de. IT. escrito. 2016. Poster. Pieza gráfica. 11 de Mayo de 2016. Fuente: El autor. 1.9. INSTALACIONES Y EQUIPOS REQUERIDOS Para la realización de este proyecto se necesita: . 2 equipos de cómputo portátiles.. . Conexión a internet.. La Tabla 4. Describe el presupuesto para la ejecución del proyecto.. 25.

(26) TABLA 4. PRESUPUESTO Concepto. Cantidad. Valor. Total. Transporte. 60 pasajes. $ 1.700 m/c. $ 102.200 m/c. Papelería. 300 unidades. $ 200 m/c. $ 60.000 m/c. Computador. 2 unidades. $ 1.400.000 m/c. $ 2.800.000 m/c. Internet. 3 meses. $ 100.000 m/c. $ 300.000 m/c. TOTAL. $ 3.162.200 m/c. Fuente: El autor. El cobro por honorarios es: TABLA 5. HONORARIOS Concepto. Cantidad. Valor. Total. Honorarios. 180 horas. $ 60.000 m/c. $ 10.800.000 m/c. Fuente: El autor 1.10. ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN Dentro de las estrategias de comunicación y divulgación de la investigación realizada en el proyecto se encuentra la presentación de trabajos de grado que está prevista a ser organizada el día 1 de Junio de 2016. El programa de ingeniería de sistemas ofrecerá un espacio a los estudiantes que estén realizando trabajo de grado para que socialicen sus proyectos, siendo este un medio para comunicar esta investigación. Apoyándose en posters informativos y un (1) artículo científico y tecnológico sobre la temática tratada en este documento. También se le realizará la presentación de un documento final de esta investigación a los Jurados de Grado. 26.

(27) 2. ANÁLISIS DE MARCOS DE REFERENCIA DE GESTIÓN DEL RIESGO T.I. Los marcos de referencia estudiados son muy parecidos, entré 4A, Magerit y Risk IT, pues todas tienen el mismo objetivo que es encaminar a la empresa al cumplimiento de sus objetivos mitigando el riesgo de manera eficiente, todas en términos generales incluyen los mismos pasos a seguir, desde la perspectiva de sus respectivos autores. Para el análisis y gestión de riesgos de T.I. hay que definir un conjunto de factores que logren definir y caracterizar claramente un marco.. 27.

(28) 2.1. MARCO 4A PARA LA GESTIÓN DE RIESGOS TI.1 El marco 4A fue desarrollado con la finalidad de reducir el riesgo de las T.I. enfocado en términos de negocio. El Marco 4A define el riesgo de T.I. como el potencial para un evento no planeado involucrando T.I. como tratamiento de cualquiera de los 4 objetivos interrelacionados de una empresa como lo son AVAILABILITY (disponibilidad), ACCESS (acceso), ACCURACY (precisión), y AGILITY (agilidad). . Disponibilidad: para mantener sistemas (y los procesos de negocio) en ejecución y sean recuperables.. . Acceso: garantizar a las personas adecuadas el acceso a los datos y los sistemas cuando sea necesario.. . Precisión: proporcionar información correcta a tiempo y completa.. . Agilidad: ser capaz de cambiar con el costo y velocidad adecuada.. Los ejecutivos de negocio necesitan encaminar la empresa por una dirección para poder gestionar los riesgos T.I. discutiendo una serie de preguntas con respecto al alto nivel en que se pueden presentar las 4A´s.Lo más importante es tomar puntos relevantes sobre la tolerancia de riesgos procesos y cada una de las 4A´s. El análisis de riesgos en términos del marco 4A permite dar forma a un perfil de riesgo apropiado para la empresa. Sin un mecanismo de este tipo, hay un alto peligro de un exceso de inversión en gerencia de riesgos, ya que es una inversión insuficiente. Este marco consta de 3 disciplinas fundamentales que son la Base, la cultura consciente del riesgo y el buen gobierno del riesgo. La Base una base tecnológica instalada de infraestructura y tecnologías de aplicación , el apoyo de personal y procedimientos , que se entiendan bien, este bien administrado, y no más complejo de lo que sea absolutamente necesario Una amplia gama de informática, gestión de la información y las comunicaciones en toda la empresa están sujetas en actividades de infraestructura.. 1. WESTERMAN G., HUNTER, R IT Risk: Turning Business Threats Into Competitive Advantage. 2007. [citado el 27 de febrero de 2016]. 28.

(29) Las aplicaciones que apoyan las tareas y procesos de la empresa, como los sistemas de información financiera, los sistemas de la cadena de suministro, e incluso las hojas de cálculo y sistemas de apoyo de decisión utilizados por los planificadores Las personas con las habilidades necesarias para gestionar la fundación, procesos y mecanismos de seguimiento, control y mantenimiento para mantener estos activos funcionando sin problemas y con seguridad. Cuando los problemas y fracasos ocurren, es más rápido y fácilmente diagnosticar y reparar. Menor complejidad hace que las causas de los problemas más evidentes, y el personal técnico son mucho más propensos a entender lo que ha salido mal y cómo solucionar el problema. Una Fundación débil Amplifica Todo Riesgo, una base débil, obviamente, genera riesgos relacionados con la disponibilidad y el acceso. Pero los riesgos a menudo van mucho más allá, afectando la compañía y sus clientes a través de amenazas a la precisión y agilidad La fijación de la Fundación es un viaje, el primer y más básico paso para mejorar disciplina es examinar el fundamento e implementar controles básicos para asegurar que no hay gran debilidad de espera para convertirse en catástrofes e implementar procesos de recuperación en caso de fallo. El siguiente paso es reducir la complejidad en la infraestructura y las aplicaciones, en última instancia, la forma más rentable de reducir el riesgo en la organización a largo plazo. Cultura consciente del riesgo, proporciona una vista de nivel empresarial de todos los riesgos, por lo que los ejecutivos pueden priorizar e invertir adecuadamente en la gestión de riesgos, mientras que permite a los administradores de nivel inferior gestionar de forma independiente la mayoría de los riesgos en sus áreas.. Que todo el mundo tiene el conocimiento apropiado de los riesgos y de ser así se abren, las discusiones no amenazantes de riesgos son la norma. Amplia experiencia en aspectos particulares de los riesgos de TI, que se celebra y utilizado por los especialistas normalmente, conciencia generalizada en toda la empresa de la naturaleza y las consecuencias de las conductas de riesgo y cómo evitarlos Una cultura que fomenta explícitamente todo el mundo, en todos los niveles de la empresa, para discutir abiertamente los riesgos y tomar responsabilidad personal para su gestión sin una cultura que fomenta la discusión abierta de riesgo y una. 29.

(30) responsabilidad compartida de su gestión, condiciones de riesgo están ocultos a la vista, o gerentes defenderse de los riesgos con todos los medios a su disposición. La tecnología sólo va tan lejos en la reducción del riesgo teniendo un buen conocimiento de los riesgos, no se trata de ser adverso al riesgo. Está sobre ser consciente de los riesgos y tomar decisiones inteligentes acerca de ellos. Empresas con una cultura consciente del riesgo asumen más riesgos, pero no son más riesgosos. Ellos son más inteligentes acerca de qué riesgos van a tomar y cómo van a manejar esos riesgos. Proceso de gobierno del Riesgo, provee una visión a nivel global, para que la alta gerencia priorice e invierta adecuadamente, y así gestionar la mayoría de los riesgos en cada área respectivamente. Definir y mantener las políticas y normas, identificar y priorizar los riesgos, gestionar los riesgos y monitorear las tendencias de riesgo a través del tiempo, garantizar el cumplimiento de las políticas y normas de riesgo. El proceso de gestión del riesgo es la fuerza que tira de otro modo visiones fragmentadas, localizadas de los riesgos de TI en un todo integral, lo que permite a la empresa a las prioridades establecidas con eficacia y actuar. Cuando una empresa de riesgos de TI disciplina gobierno es débil, la empresa tiene una vista irregular fragmentada de riesgo. No se entiende la magnitud de un riesgo determinado y su prioridad en comparación con otros riesgos. Si no se abordan los riesgos más importantes lleva primero a las exposiciones peligrosas. El gasto y los recursos dedicados a los riesgos no se conocen bien. Fragmentación oculta el nivel de gasto, así como el grado de riesgo. Cuando se fragmenta la supervisión del riesgo, el local se inunda difícil saber si los esfuerzos están produciendo los resultados deseados y dónde, cómo y por qué lo están logrando o no. A partir de estas 3 disciplinas el marco 4A analiza el posible riesgo desde cada uno de estos frentes y se complementan una a la otra, lo que disminuiría considerablemente la probabilidad de problemas y generaría una resolución de fallas más ágil. Con una buena Base, la cultura consciente del riesgo y el buen gobierno del riesgo Propician visión global del riesgo en la organización, permitiendo comparar y clasificar los tipos de riesgos determinando prioridades concernientes y encamina la inversión hacia los riesgos de mayor prioridad.. 30.

(31) Favorecen un ambiente de comunicación de riesgos constante y transparente entre toda la empresa u organización, asumiendo la toma de riesgos de T.I. de una manera administrada y responsable. El marco 4A es un proceso de gestión de riesgos de T.I. que propone una asimilación del riesgo para así hacer una evaluación continua y mejorar progresivamente, ya que forma unos subprocesos que se adecuan a la administración del riego de T.I. para afrontar las necesidades cambiantes del negocio. El punto de inicio de este ciclo es el análisis de riesgos de T.I. bajo las 4A´s, seguidamente se definirán los riesgos de acuerdo a unas características específicas del negocio, con lo cual se implementarían las 3 disciplinas para poder gestionar los riesgos de una manera organizacional, realimentando de información El proceso de análisis de las 4A´s. En la figura 1 se puede ver el funcionamiento del marco 4A. FIGURA 1 CICLO DE GESTIÓN MARCO 4A. 31.

(32) Fuente:https://biblioteca.uniandes.com/visor_de_tesis_/web/?SessionID=L1Rlc2zXzIyMDAS5X3NZ 3VuTZXN0cmTvOTk4Ln8kzg%3D%3D. 2.2 MARCO PARA LA GESTIÓN DE RIESGOS DE T.I (MAGERIT) 2 Esta metodología de análisis y gestión de riesgos de los Sistemas de Información fue desarrollada por el ministerio de administraciones públicas de Madrid. Está enfocada a la información mecanizada y a los sistemas informáticos que la tratan; dicha metodología nos permite saber cuánto de los activos de la empresa están en juego y cómo protegerlos. Magerit persigue los siguientes objetivos: Directos: Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos, ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la. 2. (Trelles, CAPITULO 2 “CONCEPTUALIZACIÓN PARA EL ANÁLISIS DE RIESGOS”, 2008)[En línea]<http://www.dspace.ups.edu.ec/bitstream/123456789/573/4/CAPITULO2.pdf>Citado el 27 de febrero del 2015. 32.

(33) información y comunicaciones (TIC), ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos: Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso. También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos: Modelo de valor es la caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. Mapa de riesgos es la relación de las amenazas a que están expuestos los activos. Declaración de aplicabilidad para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido. Evaluación de salvaguardas es la evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo se caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. Informe de insuficiencias es ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. Cumplimiento de normativa a satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente. Plan de seguridad es un conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos Tiene 3 pilares fundamentales los cuales debe tener la empresa a emplear esta metodología: . Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de tratarlos a tiempo.. . Ofrecer un método sistemático para analizar tales riesgos.. . Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.. 33.

(34) 2.2.1. Pasos Propuestos por Magerit. Magerit propone dos pasos, análisis y gestión de los riesgos. 2.2.2. Análisis de Riesgos. El marco Magerit define el análisis de riesgos como una técnica utilizada para determinar el riesgo. Lo cual permite determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué pérdidas (coste) supondría su degradación. Para lo cual propone las siguientes acciones a realizar: . Determinar a qué amenazas están expuestos aquellos activos.. . Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.. . Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.. . Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.. 2.2.3. Gestión del Riesgo. En esta tarea se resuelve que hacer con los riesgos e impactos determinados. . Interpretación de los valores de impacto y riesgo residual.. . Selección de salvaguardas.. . Análisis de pérdidas y ganancias.. . Colaboración de la dirección de la empresa.. . Revisión de los activos de la empresa.. 34.

(35) En la Figura 2 se puede ver de una manera gráfica el funciona del marco Magerit. FIGURA 2 CICLO DE MARCO MAGERIT. Fuente:https://biblioteca.uniandes.com/visor_de_tesis_/web/?SessionID=L1Rlc2zXzIyMDAS5X3NZ 3VuTZXN0cmTvOTk4Ln8kzg%3D%3D. 2.3. RISK T.I. MARCO PARA LA GESTIÓN DE RIESGOS DE T.I. Nace del IT “Governance Institute” I.T.G.I. entidad sin ánimo de lucro, desarrollo Risk I.T. es una guía para la gestión de riesgos de T.I. el cual el marco lo define como cualquier posible riesgo con el uso, propiedad, operación, involucramiento, influencia y adopción de T.I. dentro de una organización. 3 Existen 3 categorías definidas por el marco RISK I.T. donde los clasifica de la siguiente manera: Riesgo en la Entrega de Servicios de T.I. directamente relacionado con el rendimiento y la disponibilidad de los servicios de T.I.. 3. https://seguridadinformaticaufps.wikispaces.com/RISKT.I.. 35.

(36) Riesgo en la Entrega de Soluciones de T.I. asociado en el desarrollo de nuevas soluciones para el negocio, usualmente en la forma de proyectos y/o programas de acción. Riesgo en la Habitación de Beneficios de T.I. referenciado la posible pérdida de uso en la tecnología eficientemente y eficazmente en los procesos de negocio. Base del Marco Risk T.I. son las herramientas necesarias para implantar el perfil de riesgo de la empresa. Para esto se utilizan 3 herramientas: Escenarios de riesgo, descripción del impacto del riesgo en el negocio, indicadores clave de riesgo. Modelo del proceso de gestión de riesgos permite identificar las actividades requeridas para hacer una adecuada gestión del riesgo de T.I. tiene 3 dominios. . Gobierno de riesgos.. . Visión común y estándar del riesgo, gestión de riesgos corporativos, decisiones de negocio consistentes del riesgo de T.I.. . Evaluación de riesgos.. . Recopilar información, analizar riesgo, perfil de riesgos.. . Respuesta del riesgo. . Articular el riesgo, manejar el riesgo, reaccionar ante Eventos.. A continuación se describen en detalle los principios y cualidades del marco (Ver Figura 3.). 36.

(37) FIGURA 3 PROCESO DE METODOLOGÍA RISK T.I.. 4. Fuente:https://biblioteca.uniandes.com/visor_de_tesis_/web/?SessionID=L1Rlc2zXzIyMDAS5X3NZ 3VuTZXN0cmTvOTk4Ln8kzg%3D%3D. 2.4. COMPARACIÓN DE CRITERIOS DE MARCOS DE REFERENCIA Para evaluar qué marco de análisis y gestión de riesgos de T.I. entre 4A, Magerit y Risk IT. Se utilizará de guía una herramienta desarrollada por John Jairo Santa Delgado en su trabajo de grado “Análisis de Marcos de Gestión del Riesgo de TI” 5 . Se toman algunos criterios para adaptarla y poder seleccionar la mejor metodología en el análisis y gestión de riesgos de T.I. identificando el más adecuado para la empresa Recaudo Bogotá SAS. Una vez hecho esto la herramienta debe analizar dichas características bajo cada una de estas preguntas claves relacionadas con los marcos de referencia.. 4. John Santa Delgado. análisis de marcos de gestión del riesgo de T.I. Los Marcos 4ª, RiskIt y la construcción de una herramienta de análisis. Bogotá, 2009, pág. 10.trabajo de grado ingeniero de sistemas y de computación. Universidad de los Andes. ingeniería de sistemas y computación.[en línea]<https://biblioteca.uniandes.edu.co/visor_de_tesis/web/?SessionID=L1Rlc2lzXzIyMDA5X3NlZ 3VuZG9fc2VtZXN0cmUvOTk4LnBkZg%3D%3D> Citado el 10 de febrero de 2016 5. Ibíd.. 37.

(38) . ¿Cuál es su propósito y Definición del Riesgo de T.I.? Analiza el enfoque del marco midiendo la calidad y el alcance, su definición, y sus instrumentos.. . ¿Cómo Funciona? Describe la calidad de las acciones propuestas para manejar el riesgo.. . ¿Cómo se Mide y gestiona a sí mismo? Destaca los instrumentos y herramientas propuestas por el marco para medir su eficiencia y eficacia.. . ¿Cómo se Adapta? Analiza la facilidad del marco para ser moldeado a la medida de la organización.. . ¿Cómo se Integra? Evalúa la calidad y complejidad de la interacción, junto con posibles apalancamientos en otras aéreas, herramientas y programas de la organización.. Para cada característica se definirán un conjunto de ítems relevantes a los cuales se les asignará un nivel de calidad cuantitativo, los niveles inician en 0 y terminan en 4, siendo 0 no existe, 1 bajo, 2 Medio-Bajo, 3 Medio-Alto y 4 Alto (Ver Figura 4.). FIGURA 4 EVALUACIÓN CUANTITATIVA. Fuente: El autor. Una vez definida esta escala cuantitativa, se establecen los criterios a evaluar con cada marco para hacer una respectiva evaluación y determinar cuál es el más apto para utilizar en la gestión de riesgos de T.I., la evaluación final corresponderá al promedio de cada uno de los criterios definidos.. 38.

(39) Los criterios y sus definiciones son los siguientes: . C1 Involucramiento del riesgo de T.I. en el Negocio: En qué nivel el riesgo de T.I. se integra en el negocio y reconociendo su impacto corporativo.. . C2 Facilidad de integración de los riesgos de T.I. con la Gestión de Riesgos Corporativos: definir el riesgo de T.I. en la organización deben ser integrados fácilmente al proceso de gestión de riesgos corporativos.. . C3 Énfasis en la Responsabilidad Global frente al Riesgo de T.I.: debe expresar la importancia de una responsabilidad global de toda la organización.. . C4 Completitud: indica en qué medida la clasificación propuesta cubre el universo de riesgos de T.I. . C5 Claridad del negocio: evalúa la claridad, de la clasificación propuesta por el marco.. . C6 Interrelación entre las categorías de riesgo: analiza la interrelación existente entre los riesgos de cada categoría propuesta.. . C7 Propuestas para definir el balance riesgo-valor: evalúa la calidad de la herramienta propuesta para definir el balance adecuado entre riesgo y valor.. . C8 Herramientas de evaluación del valor asociado al riesgo: analiza la herramienta propuesta para cuantificar el valor asociado a un riesgo.. . C9 Principios: corresponde a los preceptos base bajo los cuales se construye el marco.. . C10 Visión del problema: analiza la perspectiva y carácter de la propuesta general del marco bajo análisis.. . C11 Resultados esperados: examina la calidad, pertinencia y utilidad de los resultados esperados al aplicar el marco.. . C12 Definición de la tolerancia al riesgo del negocio: analiza la forma en la cual el marco propone definir el nivel de tolerancia a los distintos riesgos de TI de la organización.. . C13 Priorización de los riesgos: evalúa el proceso de identificación de los riesgos críticos de la organización.. 39.

(40) . C14 Fuentes de opiniones involucradas en las decisiones: indica la completitud de los stakeholders involucrados en el proceso de definición del perfil de riesgo.. . C15 Resolución de conflictos: evalúa la propuesta para resolver contrastes de opinión dentro de los stakeholders involucrados en las decisiones.. La Tabla 6 contiene los criterios de evaluación de los marcos de gestión de riesgos TI y así elegir el mejor marco para realizar el debido análisis de gestión de riesgos de TI en el área de tecnología e información en Recaudo Bogotá.. TABLA 6 CRITERIOS DE EVALUACIÓN DE MARCOS DE RIESGOS DE T.I. Código Criterio C1 Involucramiento del riesgo de T.I. en el Negocio C2 Facilidad de integración de los riesgos de T.I. con la Gestión de Riesgos Corporativos C3 Énfasis en la Responsabilidad Global frente al Riesgo de T.I. C4 Completitud C5 Claridad del negocio C6 Interrelación entre las categorías de riesgo C7 Propuestas para definir el balance riesgo-valor C8 Herramientas de evaluación del valor asociado al riesgo C9 Principios C10 Visión del problema C11 Resultados esperados C12 Definición de la tolerancia al riesgo del negocio C13 Priorización de los riesgos C14 Fuentes de opinión involucradas en las decisiones C15 Resolución de conflictos Fuente: Marco 4A. 2.4.1. Evaluación de los Marcos de Gestión de Riesgos de T.I. Con base a la Tabla 5. Se evalúa el marco 4A, el marco Magerit y el marco RISK T.I. y se le asigna un puntaje a cada criterio para poder dar un puntaje global y de esta manera elegir un marco a desarrollar. Este puntaje es asignado con base a un análisis de cada marco y con referencia a los criterios de cómo evalúan cada ítem se les dio una calificación de 0 y terminan en 4, siendo 0 no existe, 1 bajo, 2 MedioBajo, 3 Medio-Alto y 4 Alto. (Ver Tabla 7.). 40.

(41) TABLA 7 EVALUACIÓN DE MARCOS DE RIESGOS DE T.I. Código. Marco. 4A. Marco. RISK I.T.. Marco. MAGERI T. Clasificaci ón. pto s. Clasificaci ón. Ptos.. Clasificaci ón. Ptos. C1. Alto. 4. Alto. 4. Medio-alto. 3. C2. Medio-alto. 3. Alto. 4. Medio-alto. 3. C3. Alto. 4. Medio-Alto. 3. Alto. 4. C4. Alto. 4. Medio-Bajo. 2. Alto. 4. C5. Alto. 4. Medio-Bajo. 2. Medio-Bajo. 2. C6. Alto. 4. Medio-Bajo. 2. Medio-Bajo. 2. C7. Noexistente. 0. Medio-Alto. 3. Noexistente. 0. C8. Noexistente. 0. Alto. 4. Noexistente. 0. C9. Medio-Bajo. 2. Alto. 4. Medio-Bajo. 2. C10. Alto. 4. Medio-Bajo. 2. Alto. 4. C11. Alto. 4. Medio-Bajo. 2. Medio-alto. 3. C12. Alto. 4. Alto. 4. Alto. 4. C13. Alto. 4. Bajo. 1. Medio-alto. 3. C14. Alto. 4. Alto. 4. Medio-alto. 3. C15. Medio-Alto. 3. NoExistente. 0. Medio-Alto. 3. TOTAL PROMEDI O. 3,2. 2,73333 33. 2,666666 67. Fuente: El autor. 41.

(42) Con base en el resultado del análisis anterior el marco óptimo para realizar el estudio de gestión de riesgos de T.I. es el marco 4A, un factor importante es la forma en la que se presentan los resultados, su puntaje obtenido es del 3.2 total promedio sobre los otros marcos y se puede detectar algunas fortalezas del marco 4A. . Buena adaptación a distintas situaciones y organizaciones.. . excelente definición del riesgo de T.I.. . Propuesta de mejoramiento de base tecnológica.. . Fortalece la buena definición de riesgo de T.I.. A partir de su 4 pilares Disponibilidad, Acceso, Agilidad, Precisión se puede armar una matriz en la que se visualizan fácilmente los riesgos con sus respectivas ponderaciones de ocurrencia lo cual ayudará al momento de combatirlos, pues se conoce la prioridad de cada uno de ellos, y así diseñar las políticas de seguridad para la disminución de impacto por riesgos.. 42.

(43) 2. PLAN DE CONTINUIDAD DEL NEGOCIO -BCPUna vez seleccionado el marco de referencia 4A para la gestión de riesgos se comenzó con la aplicación del mismo. El primer paso fue la aplicación de las encuestas (ejecutiva, operativa) del marco 4A. A través de estas, se pudo detectar los riesgos potenciales en las áreas de tecnología; dichos riesgos serán evaluados bajo los criterios de Disponibilidad, Acceso, Precisión y agilidad.6 3.1. RIESGO DE TI EN RECAUDO BOGOTÁ SAS Hablando de Disponibilidad las preguntas formulada en el marco son: ¿Cuál de nuestros procesos principales son más dependientes de la T.I., y qué consecuencias son probables si los sistemas de apoyo no están disponibles? Dada la evaluación, ¿qué procesos y sistemas tienen la más alta prioridad de negocio para la recuperación en caso de fallo? Descripción de riesgos de disponibilidad: D1: Tiempo de Inactividad de los sistemas, es el riesgo a que los sistemas estén inactivos por un periodo prudencial mediante una falla. D2: Probabilidad de interrupción de los sistemas, riesgo de probabilidad a que haya una interrupción en un sistema bien sea por cuestiones eléctricas, personales, etc. D3: Medios eficaces de reducir el potencial de pérdida de disponibilidad de estos sistemas, Riesgo de tener las medidas para que no se presenten los dos primeros riesgos D1 y D2. D4: Signos de alerta, riesgo de falta de signos de alerta en medida que aparezca alguno de los riesgos anteriores. (D1, D2y D3). Tomando como base los riesgos anteriormente definidos y contrastando los mismos contra los resultados de las encuestas realizadas, se determinaron los tiempos de ocurrencia de cada uno de los riesgos para el área seleccionada (Ver Tabla 8.).. 6. ANEXOS ENCUESTAS. 43.

(44) TABLA 8 EVALUACIÓN DE MARCOS DE RIESGOS DE T.I. Nro. Evaluación de Nunca Rara A veces Frecuentemente Siempre Riesgos vez D1 Tiempo de x Inactividad de los sistemas D2 Probabilidad de x interrupción de los sistemas D3 Medios x eficaces de reducir el potencial de pérdida de disponibilidad de estos sistemas. D4 Signos de x alerta Fuente: Marco 4A. En Acceso las preguntas se centran en el valor de la información y las consecuencias por su mal uso. ¿Qué categorías de información son más críticas para el éxito o fracaso de la organización? ¿Qué consecuencias son probables si la información en una categoría dada es liberada inadvertidamente, se pierde o es comprometida? Descripción de riesgos de acceso: AC1: Integridad de la información, es el riesgo a que los sistemas mantengan la integridad de la información. AC2: Acceso a la información sensible interna, riesgo de acceso a la información sensible, lo que solo las personas con los debidos permisos deben ver. AC3: Acceso a la información de socios externos y/o proveedores, riesgo de mantener la información relevante para cada proveedor y/o socios externos, una vez se cierren negociaciones se archiva y se evita el dominio público. AC4: eliminar el acceso inmediato cuando termina la relación, riesgo unido al anterior AC3, una vez se terminan la relación. Estos riesgos fueron detectados en las encuestas realizadas. En la Tabla 9. Se especifica su tiempo de ocurrencia.. 44.

(45) TABLA 9 RIESGOS DE ACCESO Nro. Evaluación de Nunca Riesgos AC1 Integridad de la información AC2 Acceso a la información sensible interna AC3 Acceso a la información de socios externos y proveedores AC4 eliminar el acceso inmediato cuando termina la relación. Rara vez. A veces Frecuentemente Siempre x X. x. x. Fuente: Marco 4A. En precisión se centran en el impacto de la información incompleta e inexacta sobre las estrategias y las decisiones. Para el proceso o las categorías de información, ¿Son los datos suficientemente precisos y oportunos para satisfacer los requerimientos internos y externos? Descripción de riesgos de precisión: P1: Integridad de la información, riesgo en que la información se mantenga libre de modificaciones no autorizadas. P2: Inconsistencia de la información, riesgo a que la información recolectada, no se confiable por falta de metodologías de archivo de datos. Estos riesgos fueron detectados en las encuestas realizadas. La Tabla 10. Especifica su tiempo de ocurrencia. TABLA 10 RIESGOS DE PRECISIÓN Nro. Evaluación de Nunca Riesgos P1 integridad de la x información P2 Inconsistencia de la información. Rara vez. A veces. Frecuentemente Siempre. x. Fuente: Marco 4A. 45.

(46) La Agilidad se evalúa ¿con qué frecuencia los proyectos empresariales con participación de T.I. vienen a tiempo y dentro del presupuesto? Descripción de riesgos de agilidad: AG1: Mala Velocidad de respuesta en cada unidad de negocio, riesgo en la comunicación entre unidades de negocio AG2: No se lleva un historial de entrega (Seguimiento entregables), riesgo en la falta de seguimiento por parte de superiores a la hora de hacer entregas. AG3: Malos requerimientos de negocio, riesgo en el levantamiento de requerimientos funcionales y no funcionales. AG4: Falta de metodologías eficientes, riesgo en falta de buenas prácticas para mejorar el riesgo anterior AG3. Estos riesgos fueron detectados en las encuestas realizadas. La Tabla 11. especifica su tiempo de ocurrencia TABLA 11 RIESGOS DE AGILIDAD Nro. Evaluación de Nunca Rara Riesgos vez AG1 Mala Velocidad de respuesta en cada unidad de negocio AG No se lleva un 2 historial de entrega(Seguimiento entregables) AG Malos 3 requerimientos de negocio AG Falta de 4 metodologías eficientes. A veces x. Frecuentemente Siempre. x. x. x. Fuente: Marco 4A. Una vez definidos los posibles riesgos, y el área a la cual se vería más afectada, se procede a realizar un plan de mejoramiento para tener una fundación bien estructurada. Se define una Fundación bien estructurada (Wellstructurefoundation of IT Assets) como las herramientas y tecnologías instaladas que son bien entendidas, bien administradas y con un nivel de complejidad reducido al máximo necesario; para lo cual se necesitan mejorar las siguientes características:. 46.

(47) . Corregir fallas y vulnerabilidades de la estructura.. . Simplificar sistemas siempre que sea posible.. . Infraestructura estandarizada.. . Integraciones de aplicaciones simple y exclusivamente necesaria.. . Acceso a data controlado.. . Actualización de seguridad de sistemas.. El Procedimiento de solución se detalla a continuación: . Detectar riesgos y forma de solucionarlos para que el negocio continúe activo a pesar de un incidente mayor.. . Auditoría frecuente y preguntas recurrentes al equipo IT para descubrir prontamente nuevos riesgos.. . Monitorear constantemente los riesgos.. . Una vez definida la fundación, se procede a construir un BCP (Continue Business Plan).. . 7Comprender. . Construir BIA (Impacto en el negocio Analysis, senior management discusión).. . Construir clasificación de servicio.. . Crear un plan que defina plan de manejo de incidentes, plan de manejo de procesos, plan de manejo de equipo.. . Implementar y probar el plan.. 7. (img39, itrisk1). los recursos de tecnología y los riesgos de disponibilidad.. 47.

(48) 3.2. RISK ASSESSMENT -RA- MEDIO DE PAGO El RA de medio de pago, como servicio clave, pretende identificar las amenazas situacionales, evaluar/analizar los riesgos asociados a la amenaza y determinar las maneras apropiadas de tratarla o eliminarla. La Tabla 12. Muestra una secuencia de pasos en caso de ocurrencia de algún riesgo. TABLA 12 RISK ASSESSMENT MEDIO DE PAGO. Riesgo. Lista de Lista de procedimiento elementos Acción(Trata s, políticas o adicionales Puntaje del r el riesgo, ¿Qué documentos que Riesgo(A,B,C, tolerar el funcionalidade que disminuyen D. riesgo, s claves se disminuyen la la Probabilidad e transferir el impactarían? probabilidad probabilidad impacto) riesgo). Manuales de procedimientos GT-# Políticas de Backup del sistema GTM07 Renuncia/Ausenci Políticas de a de miembros monitoreo del del equipo Medio de Pago sistema GT-P13. Capacitacione s de servicio para nuevos integrantes. C. Tratar el riesgo. Manuales de procedimientos GT-# Políticas de Backup del sistema GMP01 Políticas de monitoreo del Medio de Pago sistema GT-P13. Auditoría continua de estrategias de Alta disponibilidad y Recuperación de desastre. B. Tratar el riesgo. Proveedor alternativo que conozca la especificación de la TISC TuLlave. B. Tratar el riesgo. Pérdida del Sistema. Incumplimiento de proveedores clave Medio de Pago No hay. Fuente: El autor. 48.

(49) 3.3. BCP MEDIO DE PAGO - RECAUDO BOGOTÁ SAS El plan de continuidad de negocio para medio de pago pretende: . Identificar y ordenar los riesgos para el servicio clave medio de pago.. . Analizar el impacto de los riesgos sobre el servicio clave medio de pago.. . Definir un plan de respuesta y recuperación.. . Establecer criterios de activación del plan y registro del mismo.. 3.3.1. LISTA DE DISTRIBUCIÓN Se puede evidenciar los cargos y su ubicación con respecto al procedimiento de medio de pago (Ver Tabla 13). TABLA 13 LISTA DE DISTRIBUCIÓN No. de copia. Cargo. Ubicación. 001. Vicepresidente de Tecnología y Operación. Calle 73 No.7 – 31 Bloque B Piso 4° Oficina Vicepresidente de tecnología y Operación. 002. Coordinador de Recaudo. Calle 73 No.7 – 31 Bloque B Piso 4° Oficina de coordinador de Recaudo. Fuente: El autor. El documento del procedimiento de medio de pago consta de unos realizadores los cuales deben mantenerlo actualizado y en constante retroalimentación para así permitir al proceso y a todos los involucrados estar enterados de cualquier cambio (Ver Tabla 14.). 49.

(50) TABLA 14 DUEÑO DEL DOCUMENTO Y RESPONSABLE DE ACTUALIZACIÓN Dueño del documento: Diego Corredor Responsable de mantenimiento:. Diego Bravo. Fuente: El autor. El negocio clave de medio de pago requiere procedimientos que lo complementen y le den planes para realizar subtareas, como respaldos de sus bases de datos y desarrollo de software complementarios. Ver tabla de planes y documentos asociados (Ver Tabla 15.) TABLA 15 LISTA DE PLANES Y DOCUMENTOS ASOCIADOS Título de documento Manual respaldos de la información Procedimiento de desarrollo de software Fuente: El autor. 3.3.2. Propósito y Alcance Determinar el curso de acción, protocolo de activación y expectativas de recuperación ante un incidente de interrupción al servicio de Flujo de Pago El alcance se refiere al flujo de trabajo de Medio de pago especificado en el documento Procedimiento de gestión del medio de pago. El siguiente plan está enfocado en el procedimiento de medio de pago y por consiguiente plantea situaciones en las cuales se podría aplicar y por quién, cómo se evidencia en la Tabla 16.. 50.

(51) TABLA 16 PLAN DE ACTIVACIÓN DE PROCEDIMIENTO Este plan puede ser activado por:. Coordinador de Recaudo. Este plan puede ser disparado por los siguientes eventos:. Caída del servidor HSM (Servidor que almacena las llaves privadas de cada TIC inicializada) Caída del Sistema inteligente de administración de tarjetas (SCMS) Caída del FareCollectionSystem (Sistema de Recaudo) Retraso en la importación (LG) de las tarjetas TICS (Tarjeta inteligente sin contacto). Error humano del analista del TISC para el conteo de existencia mínima en la bodega del proveedor logístico (OSIS). La ubicación primaria para que sea administrada es:. Calle 73 No.7 – 31 Bloque B Piso 4°. La ubicación alternativa para que sea administrada es:. Calle 73 No.7 – 31 Bloque B Piso 4°. Las siguientes personas han sido entrenadas como Incident Manager:. Diego Corredor Diego Barrera. Fuente: El autor. Se enumeran las actividades de mayor prioridad y muestra un tiempo estimado de posible falla del sistema, y su tiempo de recuperación (Ver Tabla 17.).. 51.

(52) TABLA 17 ACTIVIDADES CRÍTICAS Y RECURSOS Prioridad Función Clave. Tiempo de ¿Qué recursos o recuperación acciones son necesarias objetivo para cumplir con el RTO (Tiempo de recuperación objetivo)?. 1. Restablecimiento del Servidor HSM. 2 horas. -Procedimiento GT-P13 -Activar servidor de respaldo -Redirección de tráfico desde Firewall Perimetral FortiGuard. 2. Restablecimiento del Servidor SCSM. 2 horas. -Procedimiento GT-P13 -Activar servidor de respaldo -Redirección de tráfico desde Firewall Perimetral FortiGuard. 3. Restablecimiento del Servidor FareCollection. 2 horas. Procedimiento GT-M07/GTF23 -Activar datacenter de respaldo -Redirección de tráfico desde Firewall Perimetral FortiGuard. Fuente: El autor. 3.3.3. Manejo de incidentes, roles y responsabilidades Con base al riesgo se establecen los roles y responsabilidades y el que hacer en caso de que se presenten. La Tabla 18 describe el plan de acción para restablecer el sistema, en caso de fallo del FCS-HSM-SCSM. 52.

(53) TABLA 18FALLA FCS-HSM-SCSM DATACENTER Riesgo. Falla FCS-HSM-SCSM. No. Descripción actividad. Situación. Observaciones. Rol/cargo. Área. 1. Situación de emergencia. La plataforma envía mensaje de anormalidad. Se envían mensajes de anormalidad en los módulos core del FCS primario. Sistemas Centrales (RB). Tecnología. 2. situación de emergencia. Se confirma la falla y se notifica al proveedor de servicios que posee el problema (SLA Start). Se confirma la anormalidad, empiezan los SLA, verificando hardware, software, network, aplicación y base de datos.. Infra (LG). LG/Tecnología. 3. Verificación del sistema. Evaluar el funcionamiento de la plataforma. Revisar el nivel del funcionamiento software, hardware, Network, Aplicación y Bases de Datos. Infra (LG)/Sistemas Centrales (RB). LG/Tecnología. 4. Verificación del sistema. Verificar el estado actual del backup y data actual. Revisar los históricos de backup sobre el entorno de producción (BD FCS) Sincronización de la Data XIV y LTO. Infra (LG)/Sistemas Centrales (RB). LG/Tecnología. 7. Verificación del sistema. Realizar el paso a paso de recuperación de desastres. Realizar un plan de respuesta para recuperar el datacenter primario junto al proveedor. Infra (LG)/Sistemas Centrales (RB). LG/Tecnología. 8. Activar contingencia FCS. Procedimiento activación de contingencia. Se activa el proceso de contingencia ubicación alterna en Transmilenio Sótano 1. Jefe Sistemas Centrales (RB). Tecnología. 9. Preparando la recuperación del sistema. Preparar la operación de recuperación de sistemas (HW, SW, NW, aplicación). Se entra a trabajar en los sistemas de respaldo en el centro de datos de contingencia, se actualizan sistemas, se afinan parámetros y se carga la data, se desactiva la comunicación entre Primario y Secundario.. Infra (LG)/Sistemas Centrales (RB). LG/Tecnología. 10. Preparando la recuperación del sistema. Activar la línea de comunicación entre TM Réplica y los sistemas cores FCS y anillo de Fase III. Se prenden sistemas en conjunto y se hacen pruebas de funcionalidad y operatividad. Infra (LG)/Sistemas Centrales (RB). LG/Tecnología. 11. Preparando la recuperación del sistema. Verificar el estado de funcionalidad de HW, SW y aplicaciones. Se da el visto bueno del área técnica de empezar a operar a nivel de infraestructura. Infra (LG)/Sistemas Centrales (RB). LG/Tecnología. Fuente: El autor. Plan de acción para restablecer el sistema, en caso de fallo por renuncia o ausencia de algún miembro de trabajo (Ver Tabla 19.). 53.

(54) TABLA 19 RENUNCIA/AUSENCIA DE MIEMBRO DEL EQUIPO Riesgo. Renuncia/Ausencia de miembros del equipo. Acción. Tiempo para completar. Recabar información de la persona, tomar decisiones con respecto quién lo reemplazará en su cargo mientras se contrata alguien nuevo y actuar.. 1 hora. Decidir qué lugar responderá con ayuda de la persona principalmente a su jefe de área y grupo de trabajo más cercano y a su vez el departamento de gestión humana.. 1 hora. Llamar a los miembros del equipo de incidentes seleccionado y ver si se tenía contemplada la renuncia o ausencia y si se tienen candidatos potenciales para sustituir el cargo.. 1 hora. Proveer directrices y órdenes al partner temporal de su área de trabajo.. 1 hora. Identificar daños o interrupciones en los servicios clave mientras se socializa el cambio al partner de área.. 3 horas. Contactar a los stakeholders de cada área, si resulta necesario. 1 hora. Proveer información a equipo Decidir el curso de acciones y prioridades (Especificado por Actividades críticas y sus recursos). 1 hora. Proveer información pública para mantener la reputación del negocio. 6 horas. Recoger log de acciones a ser tomadas, escribir reporte de interrupción y revisar BCP. 2 horas. Fuente: El autor. Plan de acción para restablecer el sistema, en caso de fallo por incumplimiento por los proveedores (Ver Tabla 20.). 54.