Análisis de las estructuras de contingencia de sistemas y telecomunicaciones (hardware, software y recurso humano) y el desarrollo de un plan de continuidad del negocio para garantizar la seguridad de los usuarios del sistema bancario en la ciudad de Guay

Texto completo

(1)UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS ADMINISTRATIVAS. UNIDAD DE POSTGRADOS. ANÁLISIS DE LAS ESTRUCTURAS DE CONTINGENCIA DE SISTEMAS Y TELECOMUNICACIONES (HARDWARE, SOFTWARE Y RECURSO HUMANO) Y EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO PARA GARANTIZAR LA SEGURIDAD DE LOS USUARIOS DEL SISTEMA BANCARIO EN LA CIUDAD DE GUAYAQUIL. Para obtener el Grado de: Magíster en Administración de Empresas Mención Especial: Telecomunicaciones. Tesis de maestría presentada por Daniel Alexander Parra Loayza. Tutor Ing. Fabricio Echeverría MBA MSIG 2015.

(2) i. APROBACIÓN DEL TUTOR. Guayaquil, Julio 2015. En mi calidad de tutor de la tesis de grado titulada: “ANÁLISIS DE LAS ESTRUCTURAS. DE. TELECOMUNICACIONES. CONTINGENCIA (HARDWARE,. DE SOFTWARE. SISTEMAS Y. Y. RECURSO. HUMANO) Y EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO PARA GARANTIZAR LA SEGURIDAD DE LOS USUARIOS DEL SISTEMA BANCARIO EN LA CIUDAD DE GUAYAQUIL”, elaborado por el Ingeniero Daniel Alexander Parra Loayza de la maestría de Administración de Empresas con mención en Telecomunicaciones de la Facultad de Ciencias Administrativas de la Universidad de Guayaquil, me permito declarar que luego de haber orientado, estudiado y revisado la investigación, la APRUEBO en todas sus partes; y de haber realizado el informe final encontrándose menos del 5% en el nivel de plagio dentro de la validación del software Urkund.. Atentamente,. Ing. Fabricio Echeverría MBA MSIG.

(3) ii. DECLARACIÓN. Guayaquil, Julio 2015. Yo, DANIEL ALEXANDER PARRA LOAYZA, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento.. La reproducción total o parcial de este libro en forma idéntica o modificada, escrita a máquina o por el sistema "multigraph", mimeógrafo, impreso, etc., no autorizada por los editores, viola derechos reservados.. Cualquier utilización debe ser previamente solicitada.. 2015, Facultad de Ciencias Administrativas de la Universidad de Guayaquil.. Derechos Reservados del Autor. Daniel Alexander Parra Loayza.

(4) iii AGRADECIMIENTO. Principalmente. a. Dios. por. otorgarme sabiduría y salud para cumplir con esta meta profesional.. Gracias a mi familia y mi novia por impulsarme. a. seguir. adelante. durante todo el desarrollo de este trabajo.. A mi tutor por ser el guía en el desarrollo de mi trabajo..

(5) iv DEDICATORIA. Dedico este trabajo con todo mi amor a Dios, mi familia y mi novia por su gran apoyo incondicional para. cumplir. profesionales.. mis. metas.

(6) v RESUMEN “Análisis de las Estructuras de Contingencia de Sistemas y Telecomunicaciones (Hardware, Software Y Recurso Humano) y el efecto de su implementación en la seguridad de los usuarios del sistema financiero en la ciudad de Guayaquil”. En la actualidad, la Superintendencia de Bancos y Seguros exige que las instituciones bancarias gestionen el riesgo operacional de manera estable y eficiente, por lo que desarrolló la normativa mediante la resolución de la Junta Bancaria JB-2005-834 que consta de una serie de artículos que se deben cumplir para estar en capacidad de funcionar ante situaciones de desastre y puedan laborar sin interrupciones. Este riesgo operacional puede causar cuantiosas pérdidas en el sistema bancario si no es llevado con la suficiente responsabilidad que demanda.. En la introducción se presenta el desarrollo de la investigación, indicando el análisis y sistematización del problema a profundizar; planteando los objetivos principales y específicos del tema, y desarrollando la hipótesis la cual será analizada y comprobada en los capítulos posteriores.. En el primer capítulo se estudiará la infraestructura de Tecnologías de Información(TI), describiendo los diferentes tipos de tecnología referente a telecomunicaciones, plataformas de Hardware y Software, Base de Datos y Seguridad de Información; también conocer los marcos de trabajo como la Biblioteca de Infraestructura de Tecnologías de Información (ITIL) y los Objetivos de Control para Información y Tecnologías Relacionadas (COBIT),y describir las normas referente al estándar de la Organización Internacional de Normalización ISO 27000, en particular.

(7) vi ISO 27002:2013; necesario para emplear los procesos de gestión de Tecnologías de Información (TI) dentro de una entidad bancaria.. El segundo capítulo se enfocará en conocer la situación bancaria actual, conociendo el rol que cumple la Superintendencia de Bancos, así como conocer las instituciones bancarias que se encuentran reguladas en la actualidad; además de conocer los parámetros más importantes incluidos en la normativa de la Junta Bancaria JB-2005834, con sus respectivos cambios posterior a la fecha, con la finalidad de crear confianza al usuario, ya que es al final quien decide si un banco tiene buena aceptación.. El tercer capítulo se basa en la aplicación de la encuesta como metodología de investigación realizado a instituciones bancarias de la localidad; con esto se logra medir el grado de madurez en base a los dominios de los Objetivos de Control para Información y Tecnologías Relacionadas COBIT y del estándar de la Organización Internacional de Normalización ISO 27002:2013; en la cual la recolección de datos ofrece una visión técnica amplia acerca de las fortalezas y debilidades en los diferentes procesos realizados por las entidades bancarias y relacionarlos con las pérdidas operacionales que se muestran en el balance de pérdidas y ganancias de los bancos.. Finalmente, en el cuarto capítulo la entrevista con un profesional en el tema de gestión y gobierno de Tecnologías de Información (TI) permite plantear propuestas de mejora en la investigación. Con la información obtenida, las conclusiones y recomendaciones se enfocan en un plan de gestión de mejora continua, que sirva como fuente de análisis y de soporte para las instituciones bancarias, y apoyo para el cumplimiento de las normativas y sus futuros cambios..

(8) vii ABSTRACT. “Contingency Analysis of Systems and Telecommunications (Hardware, Software and Human Resources) and the effect of their implementation on the safety of users of the financial system in Guayaquil city”. At present, the Superintendence of Banks requires banking institutions to manage operational risk in a stable and efficient manner, so the superintendence developed the resolution JB-2005-834 consisting of a series of articles that the banks must be able to function in disaster situations without service interruption. This operational risk can cause losses in the banking system if not taken enough responsibility.. The introduction presents the development of the investigation, indicating the analysis and systematization of the problem; the main theme and specific objectives are explained, and the hypothesis is developed, which will be analyzed and tested in subsequent chapters.. In the first chapter, the study of Information Technology (IT) infrastructure, describes the different technologies such as telecommunications, hardware and software platforms, Database and Information Security; also known frameworks like Infrastructure Library Information Technology (ITIL) and Control Objectives for Information and related Technology (COBIT), and the standard relating to the International Organization for Standardization ISO 27000, in particular ISO 27002: 2013, using the processes necessary for Information Technology management within a bank..

(9) viii In the second chapter, it will focus on the current banking situation; the roles played by the Superintendence of Banks as regulator and meet the banking institutions that are currently regulated. Describe the most important parameters included the regulations of the Banking Board JB-2005-834, with their subsequent updates, in order to create confidence to the user, who decides whether a bank has good acceptance. In the chapter three, the poll implementation like as research methodology applied to a banking institutions in the town, to measure the maturity level based on the domains of the Control Objectives for Information and Related Technology COBIT and standard of the International Organization for Standardization ISO 27002:2013; which data collection provides a broad technical overview about the strengths and weaknesses in the different bank processes and make a relationship between maturity level of processes and operational losses shown in the balance shown on the Superintendence of Banks website.. Finally, in the fourth chapter the interview with a professional who known about Information Technology (IT) management and governance, can make proposals for improving the investigation. With the information obtained, conclusions and recommendations focus on a management plan for continuous improvement, to serve as a source of analysis and support for banking institutions, and support for regulatory compliance and future changes..

(10) ix INDICE GENERAL Aprobación del tutor Declaración. I II. Agradecimiento. III. Dedicatoria. IV. Resumen Abstract Indice general. V VII IX. Indice de figuras. XII. Indice de tablas. XIII. INTRODUCCIÓN ANÁLISIS DEL PROBLEMA SISTEMATIZACIÓN DEL PROBLEMA JUSTIFICACIÓN Justificación Teórica Justificación Metodológica Justificación Práctica HIPÓTESIS Variable Independiente Variable Dependiente OBJETIVOS Objetivo General Objetivos Específicos. XIV xvi xviii xxi xxi xxii xxii xxiii xxiii xxiii xxiv xxiv xxiv. CAPITULO I 1 INFRAESTRUCTURA DE TECNOLOGÍA DE LA INFORMACIÓN 1.1 INFRAESTRUCTURA DE TECNOLOGÍA DE INFORMACIÓN 1.1.1 Definición 1.1.2 Evolución 1.1.3 Componentes de la Infraestructura 1.1.3.1 Plataformas de Hardware de Cómputo 1.1.3.2 Plataformas de Sistemas Operativos 1.1.3.3 Aplicaciones de Software Empresariales 1.1.3.4 Administración y Almacenamiento de Datos 1.1.3.5 Plataformas de Redes/Telecomunicaciones 1.1.3.6 Plataformas de Internet 1.1.3.7 Servicios de Consultoría e Integración de Sistemas 1.1.4 PLATAFORMAS DE HARDWARE CONTEMPORANEAS. 1 2 2 4 6 7 7 8 8 9 9 10 10.

(11) x 1.1.4.1 Plataforma Digital Móvil Emergente 1.1.4.2 Computación en malla 1.1.4.3 Virtualización 1.1.4.4 Computación en la nube 1.1.4.5 Computación Verde 1.1.4.6 Computación Autonómica 1.1.4.7 Procesadores de alto rendimiento y ahorro de energía 1.1.5 PLATAFORMAS DE SOFTWARE CONTEMPORÁNEAS 1.1.5.1 Linux y el Software de Código Fuente Abierto 1.1.5.2 Software para Web: Java y Ajax 1.1.5.3 Los servicios Web y la arquitectura orientada a servicios 1.1.5.4 Outsourcing de software y servicios en la Nube 1.1.6 ASPECTOS GERENCIALES 1.1.6.1 Fuerzas competitivas para inversión en tecnologías de Información 1.1.6.2 Costo total de propiedad de los activos tecnológicos 1.1.7 BASES DE DATOS Y ADMINISTRACIÓN DE LA INFORMACIÓN 1.1.7.1 Organización de los datos 1.1.7.2 Metodología para la administración de datos 1.1.7.3 DataWarehouse: Uso de Base de Datos 1.1.8 TELECOMUNICACIONES E INTERNET 1.1.8.1 Telecomunicaciones y Redes 1.1.8.2 Redes de Comunicaciones 1.1.8.3 Internet Global 1.1.9 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN 1.1.9.1 Vulnerabilidad y Abuso de los Sistemas 1.1.9.2 Valor de Negocios de la Seguridad y el Control 1.1.9.3 Marco de Trabajo para Seguridad y Control 1.1.9.4 Tecnologías y Herramientas para proteger recursos de Información 1.2 GOBIERNO DE TECNOLOGÍA DE INFORMACIÓN 1.2.1 COBIT 1.2.1.1 Planificación y Organización 1.2.1.2 Adquisición e implantación 1.2.1.3 Soporte y Servicios 1.2.1.4 Monitoreo 1.2.2 ITIL 1.2.2.1 Estrategia del Servicio 1.2.2.2 Diseño del Servicio 1.2.2.3 Transición del Servicio 1.2.2.4 Operación del Servicio 1.2.2.5 Perfeccionamiento Continuo del Servicio 1.2.3 ISO 27000 1.2.4 COMPARACIÓN DE COBIT, ITIL E ISO 27002. 10 10 11 11 13 13 14 14 14 15 16 16 17 17 19 20 20 20 21 22 22 24 26 27 27 30 31 33 34 35 36 37 39 41 42 42 43 44 46 47 48 52.

(12) xi CAPITULO II 2 SITUACION ACTUAL. 55. 2.1 SISTEMA FINANCIERO DEL ECUADOR 2.2 ÓRGANOS RECTORES DEL SISTEMA FINANCIERO 2.3 ENTIDADES BANCARIAS 2.4 CANALES DE PROVISIÓN DE SERVICIOS FINANCIEROS 2.5 NORMAS DE SUPERINTENDENCIA DE BANCOS Y SEGUROS 2.6 CASOS SUCEDIDOS EN ENTIDADES BANCARIAS 2.6.1 Caso 1: Banco de Guayaquil 2.6.2 Caso 2: Banco de Pichincha. 55 55 56 58 60 68 68 68. CAPITULO III 3 METODOLOGÍA DE LA INVESTIGACIÓN 3.1 MÉTODOS DE INVESTIGACIÓN 3.1.1 Descriptivo 3.1.2 Deductivo-Inductivo 3.1.3 Observación 3.2 FUENTES DE DATOS 3.2.1 Cuestionario 3.2.2 Entrevistas 3.3 ANALISIS DE UNA VARIABLE 3.4 RELACIÓN NIVEL DE MADUREZ Y PÉRDIDAS OPERACIONALES. 70 70 70 71 72 72 72 77 78 104. CAPITULO IV 4 ANÁLISIS DE RESULTADOS. 109. 4.1 ANÁLISIS DE CAUSA Y EFECTO 4.2 ENTREVISTA CON EXPERTO 4.3 ANÁLISIS DE HIPÓTESIS Y DE OBJETIVOS 4.3.1 Análisis de Hipótesis 4.3.2 Análisis de Objetivos 4.4 PROPUESTA DE MEJORA 4.5 CONCLUSIONES Y RECOMENDACIONES 4.5.1 Conclusiones 4.5.2 Recomendaciones. 109 119 125 125 127 129 131 131 133. BIBLIOGRAFÍA. 136. ANEXOS. -1-.

(13) xii INDICE DE FIGURAS. Figura 1.1 Evolución Infraestructura de TI: Era Internet Empresarial ............................. 6 Figura 1.2 Componentes de Infraestructura de TI ............................................................ 6 Figura 1.3 Componentes de costos del TCO .................................................................. 23 Figura 1.4 Infraestructura de una Red Corporativa ........................................................ 24 Figura 1.5 Vulnerabilidades de Seguridad de una Red Corporativa .............................. 28 Figura 1.6 Evolución de COBIT .................................................................................... 35 Figura 3.1 Resultado Norma aplicada a entidad bancaria .............................................. 79 Figura 3.2 Resultado de Servicios de TI administrados por terceros ............................. 80 Figura 3.3 Resultado COBIT Dominio1: Planificación y Organización ........................ 82 Figura 3.4 Resultado COBIT Dominio 2: Adquisición e Implantación ......................... 84 Figura 3.5 Resultado COBIT Dominio 3: Soporte y Servicios ...................................... 87 Figura 3.6 Resultado COBIT Dominio 4: Monitoreo y Evaluación............................... 88 Figura 3.7 Resultado ISO Dominio 2: Aspectos Organizativos de la Seguridad de la Información .................................................................................................................... 90 Figura 3.8 Resultado ISO Dominio 4: Gestión de Activos ............................................ 91 Figura 3.9 Resultado ISO Dominio 5: Control de Accesos............................................ 93 Figura 3.10 Resultado ISO Dominio 6: Cifrado ............................................................. 94 Figura 3.11 Resultado ISO Dominio 7: Seguridad Física y Ambiental ......................... 95 Figura 3.12 Resultado ISO Dominio 8: Seguridad en la Operativa ............................... 97 Figura 3.13 Resultado ISO Dominio 9: Seguridad en las Telecomunicaciones ............. 98 Figura 3.14 Resultado ISO Dominio 10: Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información ........................................................................................... 99 Figura 3.15 Resultado ISO Dominio 11: Relaciones con Suministradores .................. 101 Figura 3.16 Resultado ISO Dominio 12: Gestión Incidentes en Seguridad de Información .................................................................................................................. 102 Figura 3.17 Resultado ISO Dominio 13: Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio ........................................................................ 104 Figura 3.18 Porcentaje Pérdidas Operacionales de Bancos Encuestados ..................... 106 Figura 3.19 Cálculo de regresión lineal simple de bancos encuestados ....................... 107 Figura 4.1 Diagrama Causa-Efecto basado en la Encuesta bancaria de los procesos COBIT .......................................................................................................................... 112 Figura 4.2 Diagrama Causa-Efecto basado en la Encuesta bancaria de los procesos ISO 27002 ............................................................................................................................ 113.

(14) xiii INDICE DE TABLAS. Tabla 1.1 Etapas en la evolución de la Infraestructura de TI ........................................... 5 Tabla 1.2 Componentes de costos del TCO ................................................................... 19 Tabla 1.3 Comparación COBIT, ITIL e ISO 27000 ....................................................... 53 Tabla 2.1 Entidades Bancarias Públicas en el Ecuador .................................................. 57 Tabla 2.2 Entidades Bancarias en el Ecuador................................................................. 58 Tabla 2.3 Tabla de Riesgo Operativo ............................................................................. 67 Tabla 3.1 Preguntas de Consulta General ....................................................................... 73 Tabla 3.2 Preguntas con directrices relacionadas con COBIT 5 .................................... 74 Tabla 3.3 Preguntas con directrices relacionadas con ISO 27002:2013......................... 75 Tabla 3.4 Niveles de Madurez aplicado en el Cuestionario ........................................... 76 Tabla 3.5 Entidades Bancarias que realizaron la Entrevista ........................................... 78 Tabla 3.6 Resultado Norma aplicada en entidad bancaria.............................................. 79 Tabla 3.7 Resultado de Servicios de TI administrados por terceros .............................. 80 Tabla 3.8 Resultado COBIT Dominio1: Planificación y Organización ......................... 81 Tabla 3.9 Resultado COBIT Dominio 2: Adquisición e Implantación .......................... 83 Tabla 3.10 Resultado COBIT Dominio 3: Soporte y Servicios ..................................... 85 Tabla 3.11 Resultado COBIT Dominio 4: Monitoreo y Evaluación .............................. 88 Tabla 3.12 Resultado ISO Dominio 2: Aspectos Organizativos de la Seguridad de la Información .................................................................................................................... 89 Tabla 3.13 Resultado ISO Dominio 4: Gestión de Activos ............................................ 91 Tabla 3.14 Resultado ISO Dominio 5: Control de Accesos ........................................... 92 Tabla 3.15 Resultado ISO Dominio 6: Cifrado .............................................................. 93 Tabla 3.16 Resultado ISO Dominio 7: Seguridad Física y Ambiental ........................... 95 Tabla 3.17 Resultado ISO Dominio 8: Seguridad en la Operativa ................................. 96 Tabla 3.18 Resultado ISO Dominio 9: Seguridad en las Telecomunicaciones .............. 98 Tabla 3.19 Resultado ISO Dominio 10: Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información ................................................................................................ 99 Tabla 3.20 Resultado ISO Dominio 11: Relaciones con Suministradores ................... 100 Tabla 3.21 Resultado ISO Dominio 12: Gestión Incidentes en Seguridad de Información ...................................................................................................................................... 102 Tabla 3.22 Resultado ISO Dominio 13: Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio ........................................................................ 103 Tabla 3.23 Ingresos y Pérdidas Operacionales de bancos privados del Ecuador ......... 105 Tabla 3.24 Matriz Nivel Madurez y Pérdidas Operacionales de bancos encuestados . 107.

(15) xiv INTRODUCCIÓN. El presente trabajo de investigación es realizado a partir de las normativas que se aplican para las instituciones del sistema bancario por parte de la Superintendencia de Bancos y Seguros del Ecuador, con la finalidad de administrar de manera correcta el riesgo operativo mediante un plan de gestión integral y de control de riesgos.. Cuando existe algún evento como fallas en algún servidor, cortes de fluido eléctrico, ruptura de fibra óptica o pérdida de comunicación; se origina afectación a los clientes e insatisfacción por un mal servicio que retrasa sus actividades. Esto genera reclamos, aglomeración del público en las oficinas y la atención se torna lenta o nula en los diversos canales de servicios.. En la actualidad las instituciones bancarias cumplen con los procesos necesarios para tener una infraestructura adecuada, pero se debe desarrollar tareas automatizadas y de control referente a redundancias y contingencias de los activos, para que puedan funcionar ante eventos externos y sin interrupciones durante el tiempo que tomaría restaurar la infraestructura afectada, con el principal objetivo de ofrecer un servicio de calidad al cliente.. A nivel nacional se tuvieron antecedentes de problemas operacionales, como el caso del Banco de Guayaquil que sufrió un desperfecto técnico en su software operativo en Julio del 2011, afectando transacciones de la institución a través de sus canales. En abril del 2012 suscitó un problema con el Banco de Pichincha que afectó los servicios para.

(16) xv hacer depósitos, retiros, etcétera; que de acuerdo al informe oficial fue un desperfecto eléctrico que ocasionó indisponibilidad de los servicios por alguna horas.. Por ello es necesario analizar los factores que influyen directamente en los procesos y servicios que proveen los bancos, de esta manera recomendar el uso de marcos de trabajo como la Biblioteca de Infraestructura de Tecnologías de Información (ITIL) y de los Objetivos de Control para Información y Tecnologías Relacionadas (COBIT), para gestión de las Tecnologías de Información(TI) alineados a los objetivos principales de las entidades; así como también el estándar de la Organización Internacional de Normalización (ISO) para el Gobierno de Tecnología de Información, que permita establecer mejores prácticas en los procesos exigidos por el ente regulador del Estado.. El estudio permitirá conocer la realidad actual de las entidades bancarias, mediante el análisis de la normativa de la Junta Bancaria que exige el cumplimiento la Superintendencia de Bancos, la medición del nivel de madurez (CMMI) de los procesos del marco de trabajo referente a los Objetivos de Control para Información y Tecnologías Relacionadas COBIT y el estándar de la Organización Internacional de Normalización ISO 27002:2013, y el punto de vista de un experto con conocimientos sólidos sobre la temática de gestión de Tecnologías de Información (TI); permitirá conocer las fortalezas y debilidades que se perciben en las operaciones realizadas en las entidades bancarias en sus diversos canales de servicio; con el objetivo de verificar la relación del nivel de madurez respecto al porcentaje de pérdidas operacionales, y con esto establecer mejoras para el correcto funcionamiento de los servicios..

(17) xvi ANÁLISIS DEL PROBLEMA. Las entidades bancarias siempre se han visto amenazadas por eventos externos o personas que cometen delitos informáticos, lo que ha originado fallas en los servicios y operaciones de los bancos; afectando la disponibilidad y seguridad de la información de los socios que han depositado sus recursos financieros, generando la insatisfacción de los clientes por el servicio brindado de las instituciones bancarias.. A nivel internacional ante los eventos que causaron cuantiosas pérdidas, grandes entidades financieras como el caso Banco Bital en México y el ING Bank en Honk Kong, presentaron un documento denominado el Acuerdo de Capital de Basilea en 1999, en el que se considera el Riesgo Operativo para evitar que errores en las operaciones produzcan pérdidas económicas hasta el punto de llegar a la bancarrota.. En Ecuador, el 20 de octubre del 2005 la Superintendencia de Bancos y Seguros mediante la resolución JB-2005-834 en conjunto con la Junta Bancaria dictaron una serie de normas para que sean implementadas por las instituciones del sistema financiero nacional, en la cual se presentaba un plan de gestión que puede ser implementado y a su vez permita administrar el Riesgo Operativo. Posteriormente han aparecido ciertas modificaciones a las resoluciones, debido a la globalización de los servicios financieros, riesgos mucho más complejos y la creciente sofisticación de la tecnología.. Actualmente las instituciones bancarias reciben las resoluciones de parte de la Superintendencia de Bancos y Seguros con una posición constructiva y de mejora, ya.

(18) xvii que el objetivo es ofrecer un servicio de excelencia y de satisfacción de los usuarios administrando los recursos de manera eficiente y segura.. Sin embargo, se ha notado que algunas entidades del sistema bancario tienen ciertas deficiencias en algunos procesos ligados hacia las normas sobre Riesgo Operativo; donde no se tiene un plan integral de gestión y control de riesgos, debido a diversos factores como falta de inversión o desconocimiento tecnológico, lo que podrían verse afectados ante futuras amenazas y por lo cual necesitarían planificar en corto plazo la contratación de servicios profesionales y consultoría externa.. Mediante este proceso de investigación se podrán despejar incógnitas conforme se obtengan los datos y fuentes de información, que permitan conocer la situación actual sobre la ejecución de sus procesos, y permita establecer un juicio de valores con respecto a las medidas que se puedan llegar a tomar sobre lo recopilado..

(19) xviii SISTEMATIZACIÓN DEL PROBLEMA. En base al análisis realizado en el planteamiento del problema, la investigación sobre los diferentes procesos aplicados en las instituciones bancarias en la actualidad, es el punto de partida para conocer la situación actual y por ende identificar las problemáticas; y por lo tanto se pueda planificar, desarrollar y plantear soluciones que permitan tener un estándar de calidad de servicio acorde a este tipo de negocios. Ante la problemática expuesta podemos formularnos las siguientes interrogantes:. ¿Qué es un plan de contingencia y qué aspectos cubre? Un plan de contingencia consiste en una serie de pasos que se siguen luego de un desastre o eventualidad, para recuperar la capacidad funcional del sistema en el mínimo tiempo posible, recuperando o reemplazando los recursos e información que se vieron afectados. Los aspectos que cubre son en hardware, software, telecomunicaciones y almacenamiento de información.. ¿Qué tipos de planes de contingencia se aplican en las instituciones financieras de la ciudad de Guayaquil? En la actualidad las instituciones financieras se rigen a las normativas de la Superintendencia de Bancos y Seguros que mediante resolución No. JB-2005-834, las cuales exigen el cumplimiento de ciertos estándares como por el ejemplo el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS) para la seguridad en las transacciones de las tarjetas de crédito. Adicionalmente, al contratar los servicios de telecomunicaciones a proveedores de la localidad, éstos a su vez cumplen con estándares como el estándar de la Organización Internacional de Normalización (ISO) o.

(20) xix el plan de continuidad del Negocio (BCP) requeridos para ofrecer un servicio seguro y confiable.. ¿Cuál es la función principal del Sistema Bancario del Ecuador? El sistema Bancario del Ecuador tiene como función la circulación de flujos monetarios en la economía, estableciendo un sector de servicios de intermediación entre la oferta y demanda de dinero, mediante la entrega de créditos o captación de depósitos. Las entidades poseen distintos canales para hacer uso de los servicios como agencias, ventanillas, cajeros automáticos, banca virtual, banca telefónica.. ¿Qué eventos de riesgo operativo han ocurrido históricamente en el país? A nivel local se han presentado casos que han ocupado planas de los informativos más importantes, como fue el caso del Banco de Guayaquil en el 2011 que tuvo un problema en su software afectando el servicio por una jornada laboral, o en el 2012 con el Banco de Pichincha que tuvo un problema eléctrico que afectó al sistema permaneciendo inoperativo por varias horas.. ¿Hubo claridad en la aplicación de esta normativa de la Superintendencia de Bancos desde su vigencia? La superintendencia de Bancos ha ido modificando sus normativas, ya sea añadiendo nuevos puntos o modificando puntos ya existentes; el problema surge en la disponibilidad de recursos y medios de parte de las instituciones bancarias de tener un plan adecuado de mejorar su infraestructura y procesos, implementando nueva.

(21) xx tecnología y definiendo roles en el personal y capacitándolo constantemente para que se garantice la seguridad y disponibilidad de la información.. ¿Existe algún método que garantice la integridad de la información y los procesos en los servicios ofrecidos? De acuerdo a la investigación y en base a las normativas establecidas no existe un plan rígido que se deba seguir o implementar en cada una de las instituciones bancarias, pero en este trabajo de investigación se consulta el nivel de madurez en los procesos basados en marcos de trabajo de referente a los Objetivos de Control para Información y Tecnologías Relacionadas (COBIT) y del estándar de la Organización Internacional de Normalización ISO 27002, para conocer la real situación de los bancos y poder analizar los puntos de mejora en los diferentes dominios. Este modelo desarrollado es una fuente de ayuda que puede estar sujeto a modificaciones por los administradores de Tecnología de Información de las instituciones..

(22) xxi JUSTIFICACIÓN. Justificación Teórica Las disposiciones emitidas por la Superintendencia de Bancos y Seguros del Ecuador señalan que las instituciones controladas deberán implementar planes de continuidad, a fin de garantizar su capacidad para trabajar en forma permanente y minimizar las pérdidas en caso de interrupción de sus operaciones.. Las instituciones bancarias requieren adoptar medidas preventivas para minimizar la probabilidad de ocurrencia de eventos que afecten el normal desarrollo de sus operaciones, especialmente cuando la tecnología de la información es su activo más importante.. Frente a la posible ocurrencia de desastres o interrupciones que pueden originar que los negocios financieros se suspendan o no se restablezcan dentro de los plazos requeridos, es necesario contar con planes de continuidad y contingencia que permitan fortalecer las estructuras y procesos organizacionales.. Debe existir un enfoque eminentemente social para mantener vigente el cumplimiento de los objetivos para los cuales fueron creadas las normativas en mención, por lo que es necesario se implementen políticas de gestión de riesgos, que les permitan sostenerse en el tiempo..

(23) xxii Justificación Metodológica La metodología a utilizarse es de tipo investigativa que implica la recolección de datos como la información obtenida de artículos, entrevistas a los directores de Tecnología de Información de las entidades bancarias, encuestas para medición de nivel de madurez en los procesos de las instituciones, etc.. Los análisis de los procesos de la gestión de Tecnología de Información empiezan por el análisis del sistema, los riesgos a los cuales están propensos que sirvan para ofrecer alternativas de soluciones integradas sobre el Riesgo Operativo para asegurar la disponibilidad y seguridad de información de este tipo de establecimientos.. Justificación Práctica La correcta gestión de las Tecnología de Información por parte de los administradores de la organización, permite mejorar los procesos ante nuevos eventos y los planes de continuidad del negocio, que asegure que la infraestructura y servicios no tengan vulnerabilidades ante eventos externos como desastres naturales, internos como malas prácticas por parte de los colaboradores del bancos o personas con fines maliciosos como los hackers; evitando que sean afectados por corrupción o falta de accesibilidad de la información..

(24) xxiii HIPÓTESIS. El elevado nivel de madurez de los procesos del marco de trabajo de COBIT y el estándar ISO 27002 permitirá eliminar o reducir el porcentaje relativo de pérdidas operacionales en las instituciones bancarias de la ciudad de Guayaquil.. Variable Independiente. Elevado nivel de madurez en los procesos del marco de trabajo COBIT y el estándar ISO 27002.. Variable Dependiente. Porcentaje de pérdida operacional de las entidades bancarias..

(25) xxiv OBJETIVOS. Objetivo General Comparar los procesos de Gestión de Tecnologías de Información en el sistema bancario de la ciudad de Guayaquil como herramienta de autoprotección ante fenómenos de alto impacto.. Objetivos Específicos . Cuantificar el nivel de madurez en los procesos de Gestión de Tecnologías de Información para una entidad bancaria.. . Evaluar los impactos operacionales que los factores externos pueden causar en las operaciones de la organización, sus áreas y su infraestructura.. . Investigar eventos y factores de Riesgo para realizar un plan de Gestión de Tecnologías de Información..

(26) 1. CAPITULO I 1. INFRAESTRUCTURA DE TECNOLOGÍA DE LA INFORMACIÓN La tecnología de la información (TI) consiste en el equipamiento de hardware y. software necesario en una empresa o compañía para cumplir con sus objetivos de negocios (Laudon K. y Laudon J., 2012). La tecnología de la información es una de las diversas herramientas que utilizan los gerentes para lidiar con el cambio.. En lo que respecta a la infraestructura de tecnología de la información (TI), es un mundo tecnológico que incluye hardware como equipos de cómputo, dispositivos de almacenamiento y los dispositivos móviles; también componentes de software como sistemas operativos ya sea Windows o Linux, herramientas de escritorio como por ejemplo Microsoft Office y programas de computación que ayudan a minimizar el tiempo de desarrollo de tareas de los usuarios.. La tecnología de redes y telecomunicaciones, ha tenido un gran desarrollo e importancia permitiendo que empresas multinacionales e inclusive pymes puedan conectar sus equipos de comunicaciones en redes sin importar las distancias geográficas y puedan transmitir información ya sea en datos, voz y video. Esta plataforma que permite conectar redes a nivel mundial se denomina Internet y el uso en la actualidad es considerada por la mayoría de empresas como una necesidad de negocios antes que una ventaja competitiva (Laudon K. y Laudon J, 2012).. Dentro de esta infraestructura el talento humano cumple un rol preponderante ya que los gerentes y directores de tecnología de la información (TI) en base a las.

(27) 2 características del negocio y servicios que se utilizarán, deben diseñar, operar y administrar los recursos tecnológicos de manera eficiente mediante el análisis de hardware, software, bases de datos y redes de telecomunicaciones en conjunto con herramientas idóneas para garantizar la seguridad de toda la red.. 1.1 INFRAESTRUCTURA DE TECNOLOGÍA DE INFORMACIÓN Son recursos de tecnología, las cuales incluyen Hardware, Software y Servicios; siendo inversiones necesarias para cumplir con tres objetivos primordiales de una organización: - Servir a los clientes. - Trabajar con proveedores - Manejar los procesos de negocios internos.. De acuerdo a estudios enfocados en grandes empresas, la inversión en infraestructura tiene un margen entre 25 y 35 por ciento del gasto total en tecnología de información (Weill y Cols., 2002).. 1.1.1 Definición Se define como un conjunto de dispositivos físicos y de aplicaciones de software que se requieren para operar toda la empresa (Laudon K. y Laudon J, 2012)..

(28) 3 El conjunto de servicios de una organización debe ser presupuestado de manera eficiente y debe abarcar capacidades tanto humanas como técnicas, entre los que se destacan:.  Plataformas de Computación: Proporcionan servicios de cómputo en el cual incluye mainframes, computadoras ya sean de escritorio, laptops, tablets, asistentes digitales PDAs e inclusive smartphones..  Servicios de Telecomunicaciones: Proporcionan conectividad de información ya sea datos, voz y video entre empleados, clientes y proveedores por medio de redes corporativas e Internet..  Servicios de administración de datos: Proporciona el almacenamiento de datos corporativos y la capacidad para el análisis de los datos..  Servicios de software de aplicaciones: Proporcionan sistemas de planeación de recursos empresariales, de administración de las relaciones con el cliente, de administración de la cadena de suministro y de administración del conocimiento, que son comparten entre todas las unidades de negocios..  Servicios de administración de instalaciones físicas: Desarrollan y manejan las instalaciones físicas requeridas por los servicios de cómputo, de telecomunicaciones y de administración de datos..

(29) 4  Servicios de administración de TI: Planifican y desarrollan la infraestructura, coordinan los servicios de TI, manejan la contabilidad de los gastos en TI y proporcionan servicios de administración de proyectos.. 1.1.2. Evolución La evolución de las Tecnologías de Información contempla de más de medio siglo, donde se destacan cinco etapas o eras que no necesariamente son sucesivas y han quedado en el pasado, en algunos casos todavía siguen implementándose dentro de organizaciones de acuerdo a las características del negocio. Las etapas de la infraestructura de TI se han denominado a continuación:. - Era de las máquinas electrónicas de contabilidad: 1930-1950.. - Era de los mainframes y las minicomputadoras de propósito general: 1959 a la fecha.. - Era de la computadora personal: 1981 a la fecha.. - Era cliente/servidor: 1983 a la fecha. - Era de la computación empresarial y de Internet: 1992 a la fecha.. A continuación se detalla una tabla con las de cada una de las etapas:.

(30) 5 Tabla 1.1 Etapas en la evolución de la Infraestructura de TI. Fuente: Sistemas de Información Gerencial Elaborado por: Laudon K. y Laudon J.. En la siguiente figura se ilustra la configuración de computación de la etapa de Internet Empresarial, cuyo esquemático contiene la estructura de otras etapas:.

(31) 6 Figura 1.1 Evolución Infraestructura de TI: Era Internet Empresarial. Fuente: Sistemas de Información Gerencial Elaborado por: Laudon K. y Laudon J.. 1.1.3 Componentes de la Infraestructura La infraestructura de TI está conformada por siete componentes principales. La figura 1.2 ilustra los componentes necesarios en una infraestructura de TI. Adicionalmente, están incluidos los principales fabricantes dentro de cada categoría:. Figura 1.2 Componentes de Infraestructura de TI. Fuente: Sistemas de Información Gerencial Elaborado por: Laudon K. y Laudon J..

(32) 7 1.1.3.1 Plataformas de Hardware de Cómputo Este componente incluye a las computadoras de escritorio, laptops, PDAs y máquinas servidor. En lo referente a servidores existen los Blades, computadoras ultradelgadas de procesamiento modular, que ocupan menos espacio que los servidores tradicionales, y cuyos proveedores líderes son HP, Dell y Sun Microsystems. También existen los Mainframes cuyo proveedor IBM ha rediseñado sus sistemas para utilizarlos como servidores gigantes para redes empresariales de gran tamaño.. 1.1.3.2 Plataformas de Sistemas Operativos Un sistema operativo es un programa de un sistema informático que gestiona los recursos de hardware y provee servicios a los programas de aplicación (Tanenbaum, A.,1992).. Los principales sistemas operativos que existen en el mercado son:.  Microsoft Windows, que tiene cerca del 75 por ciento del Mercado de servidores y el 90 por ciento de las PCs a nivel cliente..  Unix y Linux, son confiables y menos costosos, sus proveedores principales son IBM, HP y Sun..

(33) 8  Chrome OS, su proveedor es Google y ha sido diseñado para computación en la nube mediante el uso de netbooks..  Android, sistema operativo móvil flexible y actualizable desarrollado por Android, Inc.. 1.1.3.3 Aplicaciones de Software Empresariales Los proveedores más importantes de software de aplicaciones empresariales son SAP y Oracle. BEA provee software middleware, para obtener una integración empresarial vinculando los sistemas de aplicaciones existentes de la empresa. Microsoft se enfoca en las empresas. medianas. y. pequeñas. que. no. poseen aplicaciones. empresariales (Laudon K., Laudon J., 2012).. 1.1.3.4 Administración y Almacenamiento de Datos El software de gestión de bases de datos se encarga de administrar la información de la empresa. Entre los principales proveedores tenemos: IBM (DB2), Oracle, Microsoft (SQL Server) y Sybase (Adaptive Server Enterprise) (Laudon K., Laudon J., 2012).. Las redes de área de almacenamiento (SAN) están reemplazando a las tradicionales matrices de discos y bibliotecas de cintas, ya que.

(34) 9 conectan varios dispositivos en una red independiente de alta velocidad, dedicada al almacenamiento y accesible los servidores de la red.. 1.1.3.5 Plataformas de Redes/Telecomunicaciones Esta plataforma incluye las redes de área local, así como las redes empresariales de área amplia proporcionados por los proveedores de servicios de telecomunicaciones en cada uno de los países.. Los proveedores de hardware de red más importantes son Cisco, Alcatel-Lucent, Nortel y Juniper Networks. Los servicios incluyen el acceso a Internet, interconectando los equipos por distintos medios, ya sea fibra óptica, inalámbrica y celular.. 1.1.3.6 Plataformas de Internet La plataforma involucra el servicio de hospedaje Web, enrutadores y medios físicos de interconexión. Los proveedores de servidores de hardware se concentran en IBM, Dell y HP/Compaq; mientras que las herramientas de desarrollo de aplicaciones Web las proveen Microsoft con .NET y Oracle-Sun con su herramienta Java..

(35) 10 1.1.3.7 Servicios de Consultoría e Integración de Sistemas Una nueva integración requiere procesos y procedimientos de negocios, capacitación, e integración de software, capaces de trabajar en conjunto con la infraestructura anterior, para evitar el alto costo de rediseño y reemplazo. Empresas que ofrecen consultoría en el mercado son: Accenture, IBM Global Services, HP Enterprise Services, Infosys y Wipro Technologies, que se adaptan de acuerdo a las necesidades de la empresa.. 1.1.4 PLATAFORMAS DE HARDWARE CONTEMPORANEAS. 1.1.4.1 Plataforma Digital Móvil Emergente En la actualidad las plataformas de computación digital móviles como los teléfonos celulares, smartphones, netbooks e iPads son una alternativa a las computadoras de escritorio, debido a que realizan muchas funciones mediante el acceso a Internet como trasmitir datos, navegar por Web, correo electrónico, acceso a sistemas corporativos internos de una empresa.. 1.1.4.2 Computación en malla Es el proceso de interconectar varias computadoras que se encuentran en diferentes puntos geográficos como si fuera una sola red, convirtiéndose en una computadora virtual de gran escala; siendo.

(36) 11 posible gracias al Internet de alta velocidad, donde los datos y código son repartidos en cada una de las máquinas para realizar las tareas y ejecutar aplicaciones.. 1.1.4.3 Virtualización La virtualización consiste en tener un recurso físico ya sea un servidor, red o dispositivo de almacenamiento y presentar varios recursos lógicos ante el usuario, sin restricción de recursos físicos; cuyo objetivo es alojar varios sistemas en una máquina física, incrementando las tasas de uso del equipo hasta un 70% más y permitiendo el ahorro de energía. VMware es el software de virtualización líder que permite el manejo de procesamiento y almacenamiento computacional mediante el uso de recursos de manera remota.. 1.1.4.4 Computación en la nube Cloud computing, su término en inglés, es un nuevo modelo de prestación de servicios de negocio y tecnología a través de Internet. Esta tecnología permite tener todos nuestros archivos e información en Internet, y los servicios que se ofrecen son los siguientes:. • Infraestructura en la nube como un servicio (IAAS): Los clientes utilizan el procesamiento, el almacenamiento, la conexión en red y.

(37) 12 otros recursos de cómputo de los proveedores de servicio en la nube para operar sus sistemas de información.. • Plataforma en la nube como un servicio (PAAS): Los clientes implementan sus propias aplicaciones utilizando la infraestructura y las herramientas de programación desarrolladas por el proveedor. Como proveedores comerciales está el entorno IBM Cloud del proveedor IBM, Google con Google App Engine que permite crear aplicaciones y Windows Azure de Microsoft que permite desarrollar aplicaciones en lenguajes como .NET, Java y PHP.. • Software en la nube como un servicio (SAAS): Los clientes usan el software que el proveedor aloja en su infraestructura; esto significa que una sola instancia del software que corre en la infraestructura del proveedor sirve a múltiples organizaciones de clientes. Google Apps y Salesforce.com son proveedores de aplicaciones empresariales en línea y que se puede acceder desde un navegador Web.. La nube se puede clasificar como privada o pública. Una nube pública se mantiene a través un proveedor de servicios externo accediendo a través de Internet, como puede ser Amazon Web Services. En cambio una nube privada es una red propietaria que interconecta servidores, almacenamiento de datos, redes y aplicaciones como un gran conjunto. Es probable que las instituciones financieras y los.

(38) 13 proveedores de servicios médicos graviten hacia las nubes, ya que estas organizaciones manejan muchos datos financieros y personales.. 1.1.4.5 Computación Verde La computación verde o TI verde es un término que viene en paralelo con la virtualización y cuyo objetivo primordial es optimizar los recursos de hardware y reducir el consumo de energía mediante el uso de nuevas tecnologías y prácticas que disminuyan el impacto sobre el entorno. Por esta razón los directores de los centros de datos tienen un desafío ambiental para lograr reducir la cantidad de electricidad de consumo y también poder enfriar el hardware de manera eficiente.. 1.1.4.6 Computación Autonómica Término que se refiere a desarrollar sistemas que sean capaces de auto configurarse y arreglarse por sí mismos cuando se descompongan y poder protegerse de los intrusos externos, siguiendo especificaciones de comportamiento dadas por los administradores (Trejos I., 2007).. Los sistemas serían capaces de configurarse de manera automática, reparar errores y fallas por si solos, y protegerse ante ataques externos..

(39) 14 1.1.4.7 Procesadores de alto rendimiento y ahorro de energía Los desarrolladores de microprocesadores están involucrándose en mayor medida en el uso de procesadores más eficientes y ahorradores de energía, los cuales pueden contar con varios núcleos de procesadores en un solo chip, denominándose procesador multinúcleo y que permite procesar varias tareas simultáneas con más eficiencia y mayor rapidez que un chip que requiere de muchos recursos.. En la actualidad existen procesadores de doble núcleo (dual-core) y cuádruple núcleo (quad-core) en las computadoras y servidores con procesadores de 8, 10, 12 y 16 núcleos. Fabricantes como Intel han desarrollado microprocesadores que minimizan el consumo de energía y prolongan la vida de la batería.. 1.1.5 PLATAFORMAS DE SOFTWARE CONTEMPORÁNEAS. 1.1.5.1 Linux y el Software de Código Fuente Abierto El Software de código abierto es producido por una comunidad de programadores a nivel mundial. Las herramientas más conocidas son el sistema operativo Linux, el servidor Web Http Apache, el navegador web Mozilla Firefox y la herramienta de escritorio Open Office de Oracle.. Linux es el software de código abierto más popular, que fue creado por Linus Torvalds en 1991; su uso principal es en servidores Web y.

(40) 15 computadores de alto desempeño, ya que funciona en todas las principales plataformas de hardware ya sean mainframes, servidores y clientes. Linux tiene versiones gratuitas y versiones comerciales como Red Hat que incluyen varias herramientas.. 1.1.5.2 Software para Web: Java y Ajax Java es un lenguaje de programación orientado a objetos, creado por J. Gosling en Sun Microsystems en 1992, siendo el principal entorno interactivo para Web y que puede ejecutarse sobre cualquier sistema operativo y procesador, ya que Sun creo una máquina virtual de Java denominada como JVM.. Los desarrolladores crean applets que se insertan en las páginas Web y se descargan para ser ejecutados en un navegador Web como Microsoft Internet Explorer, Mozilla Firefox y Google Chrome que son algunos ejemplos. Ajax es una técnica de desarrollo para crear aplicaciones Web y que utiliza programas de JavaScript para mantener una comunicación asíncrona con el servidor, con el objetivo es realizar cambios sobre las páginas sin necesidad de recargarlas, mejorando la interactividad y velocidad en el uso de las aplicaciones..

(41) 16 1.1.5.3 Los servicios Web y la arquitectura orientada a servicios Los servicios Web son un conjunto de componentes de software acoplados que intercambian información entre sí por medio de estándares y lenguajes de comunicación para la Web, sin importar los sistemas operativos o los lenguajes de programación en que estén basados.. La tecnología que sustenta los servicios Web es XML, que significa Lenguaje de Marcación Extensible, que fue desarrollado en 1996 por el consorcio W3C, como un lenguaje de marcación más potente y flexible para páginas Web que HTML (Lenguaje de Marcación de Hipertexto).. En la actualidad los distribuidores de software proveen herramientas y plataformas para crear e integrar aplicaciones mediante el uso de servicios Web, como el caso de IBM que incluye herramientas de servicios Web en su plataforma de software de negocio electrónico WebSphere, y Microsoft incorporó herramientas de servicios Web en su plataforma Microsoft .NET.. 1.1.5.4 Outsourcing de software y servicios en la Nube En la actualidad, muchas empresas compran o rentan la mayoría de sus nuevas aplicaciones de software a proveedores externos, entre las cuales tenemos:.

(42) 17 - Outsourcing, es la subcontratación para desarrollar aplicaciones personalizadas con un distribuidor externo. Los servicios que ofrecen son de mantenimiento a nivel inferior, captura de datos y operaciones de call centers.. - Los servicios y herramientas de software basados en la nube, que se alojan en poderosos servidores dentro de centros de datos masivos, y su acceso es mediante el Internet y un navegador Web estándar.. 1.1.6 ASPECTOS GERENCIALES Las empresas deben manejar de manera eficiente su infraestructura de TI a medida que van creciendo, por lo cual debe ser escalable y capaz de expandir sus servicios sin tener afectación. La inversión de recursos debe ser una cuestión conjunta entre los gerentes de sistemas de información y los directores generales, con la finalidad de evitar gastos excesivos y tener infraestructura ociosa; o lo contrario, no gastar lo necesario y tener insuficiencia de recursos.. 1.1.6.1 Fuerzas competitivas para inversión en tecnologías de Información El modelo de fuerzas competitivas abarca una serie de puntos para conocer la inversión que se debe realizar en la empresa:.

(43) 18 - La demanda del mercado por los servicios: Se realiza un inventario de servicios que la empresa posee y enfocarlo en áreas, analizando si los servicios cumplen con las necesidades de negocio.. - La estrategia de negocios: Analizar la estrategia dentro de cinco años evaluando los servicios necesarios para poder cumplir las metas.. - La estrategia, infraestructura y costo de TI: Analizar los planes de tecnología durante los cinco años, determinar el costo total en infraestructura y evaluar si están alineados a los objetivos de negocio de la empresa.. - Evaluación de la tecnología de información: Analizar si la curva de tecnología se encuentra en un término pleno, que se haya establecido como estándar, ya que no es recomendable estar a la vanguardia porque la tecnología puede estar en fase de experimentación.. - Servicios de las empresas competidoras: Evaluar los servicios tecnológicos ofrecidos por sus competidores y medirlos con los de la empresa, con el objetivo de buscar mejoras para destacar.. - Inversiones en infraestructura de las empresas competidoras: Comparar gastos en infraestructura de Tecnologías de Información con los competidores, esto da una pauta si lo invertido está en los resultados financieros esperados..

(44) 19 1.1.6.2 Costo total de propiedad de los activos tecnológicos El modelo de costo total de la propiedad (TCO) se utiliza para analizar los costos directos e indirectos que se tiene en implementación tecnológica, ayudando a la empresa a determinar el costo real de los recursos tecnológicos. En la siguiente tabla se describen los componentes a considerar en un análisis:. Tabla 1.2 Componentes de costos del TCO. Fuente: Sistemas de Información Gerencial Elaborado por: Laudon K. y Laudon J.. Los costos por adquirir Hardware y Software representan sólo el 20 por ciento del TCO, por lo que también hay que enfocarse en los costos de administración, para conocer el costo total. Para reducir el TCO es necesario tener una infraestructura centralizada, estandarizar los modelos de hardware y versiones de software, y tener la administración desde una ubicación estratégica (Schuff, D., 2002)..

(45) 20 1.1.7. BASES DE DATOS Y ADMINISTRACIÓN DE LA INFORMACIÓN. 1.1.7.1 Organización de los datos La administración de datos es fundamental ya que la información oportuna permite tomar decisiones en el momento en que necesiten los gerentes y directores de TI. Los sistemas computacionales se organizan de manera jerárquica, empezando desde el bit, los bits se agrupan para formar bytes, y la agrupación de bytes forma los campos. Los campos relacionados forman registros, los cuales se agrupan para crear los archivos, y los archivos se organizan para crear la base de datos.. Un aspecto a considerar es la redundancia de datos, desperdiciando almacenamiento al presentar datos duplicados en los archivos. Otra deficiencia de un sistema de archivos es la falta de flexibilidad, en la cual los programadores pueden tardar bastante tiempo en reunir elementos de datos requeridos.. 1.1.7.2 Metodología para la administración de datos Las bases de datos es la agrupación de datos organizados que permiten dar servicio a varias aplicaciones, mientras que un Sistema de Administración de Bases de Datos DBMS es un software que centraliza los datos, los administra, modifica y extrae los datos almacenados. Un Sistema de administración de bases de datos tiene tres componentes:.

(46) 21 - Lenguaje de definición de datos, empleado para especificar la estructura y contenido de las bases de datos por los programadores.. - Lenguaje de manipulación de datos, que contiene comandos para extraer datos de la base de datos y poder desarrollar aplicaciones. El lenguaje más conocido es SQL, que constituye un lenguaje de consultas interactivo.. - Diccionario de datos, es un archivo que almacena definiciones de los elementos de datos y sus características. Los diccionarios pueden crear listas como agrupaciones, ubicaciones de programas, etc.. El modelo orientado a Base de Datos se encuentra diseñado para el uso de tipos datos como imágenes, audio, video, etc. La creación del modelo orientado a objetos es el uso de lenguajes de programación que permiten recuperar la información almacenada y realizar operaciones sobre estos datos como objetos. Uno de los inconvenientes que se mantiene es que al gestionar estos datos aumenta el tiempo de respuesta.. 1.1.7.3 DataWarehouse: Uso de Base de Datos Los Almacenes de Datos conocidos como DataWarehouse consisten en el almacenamiento de información del negocio considerando sus datos actuales e históricos. Existen varios tipos de herramientas en el mercado que permiten realizar análisis de información almacenada en.

(47) 22 base de datos, con conexión directa hacia ellas sin necesidad de realizar un volcado total de información, sino más bien la simplificación de la misma; ya que es de uso a nivel gerencial en un ambiente gráfico amigable, útil para la toma de decisiones.. Análisis de datos multidimensional: Se refiere a la obtención de información mediante aplicaciones en las cuales se definen ciertas variables por dimensiones, dicha data es obtenida desde un almacén de datos para el análisis de información. Este proceso permite realizar comparaciones de data resultante. El manejo de varias dimensiones a manera de matriz permite relacionar los datos obtenidos generando vistas de acuerdo a lo necesitado (Laudon K. y Laudon J., 2012).. Minería de Datos: Se define como la extracción no trivial de información implícita, previamente desconocida y potencialmente útil. Las herramientas permiten extraer tendencias y regularidades para poder comprender y describir de mejor manera los datos y predecir comportamientos futuros. Es principalmente utilizada para decisiones gerenciales futuras a raíz de este análisis (Pérez, C., 2007).. 1.1.8 TELECOMUNICACIONES E INTERNET 1.1.8.1 Telecomunicaciones y Redes En el pasado se tenía para la comunicación redes telefónicas para la voz y redes de computadora para los datos, pero gracias a la continua.

(48) 23 innovación tecnológica todo está convergiendo a una red digital basado en Internet, cuyos componentes pueden estar conectados a un medio de conexión físico como cable telefónico, cable coaxial, fibra óptica o inalámbrica como una red celular o una red Wifi.. En la interconexión de equipos dentro una red se necesita un switch, y para poder interconectarse con otras redes se necesita un enrutador que es un procesador de comunicaciones para la dirección de los paquetes a través de distintas redes. A continuación se ilustra una red de computadoras con los elementos indicados:. Figura 1.3 Componentes de costos del TCO. Fuente: Sistemas de Información Gerencial Elaborado por: Laudon K. y Laudon J.. En la siguiente figura se ilustra la infraestructura de una red corporativa integrada, la misma que está compuesta de servidores y dispositivos de usuarios que pueden acceder desde cualquier punto:.

(49) 24 Figura 1.4 Infraestructura de una Red Corporativa. Fuente: Sistemas de Información Gerencial Elaborado por: Laudon K. y Laudon J.. 1.1.8.2 Redes de Comunicaciones Las redes permiten la interconexión de varios dispositivos y se pueden clasificar por su alcance geográfico, entre los cuales se tiene:. - Red de Área Local LAN: diseñada para la conexión en un rango de 500 metros, por lo general utilizadas en oficinas y edificios, en el cual Ethernet es el estándar a nivel de la red física.. - Red de Área Amplia WAN: incluyen también las redes de área metropolitana MAN que abarcan ciudades, mientras que la red WAN cubre regiones, continentes o el mundo, en la cual Internet es la WAN universal. Los medios de conexión pueden ser sistemas telefónicos, fibra óptica o satélites..

(50) 25 Medios de Transmisión Físicos Permite conectar equipos que varían en el rango de velocidad, entre los más conocidos tenemos:. - Cable Trenzado: Consiste en hilos de cobre trenzado en pares y es un antiguo medio de transmisión pero a su vez el más utilizado en redes LAN con velocidades que llegan a 1Gbps.. - Cable Coaxial: Similar al utilizado para la televisión por cable, que es un cable de cobre con aislamiento que ofrece velocidad de 1Gbps.. - Fibra Óptica: Consiste en tiras unidas de fibra de vidrio, por los cuales se transportan pulsos de luz enviados por dispositivos láser que permiten velocidades de altas tasas de transmisión.. - Medios Inalámbricos: Son señales de radio enviadas en varias frecuencias, como microondas, celular y Wifi.. Los sistemas celulares utilizan ondas de radio para comunicarse con antenas de radio colocadas dentro de áreas geográficas adyacentes, conocidas como celdas. La transmisión de un teléfono celular a una celda local pasa de una antena a otra (de celda en celda) hasta que llegan a su destino final. La siguiente evolución se enfoca en la red celular de cuarta generación, capaz de alcanzar transmisiones de 100 Mbps hasta 1 Gbps en condiciones óptimas..

(51) 26 1.1.8.3. Internet Global Internet es el sistema de comunicación público más extenso a nivel mundial, siendo una herramienta de negocios y personal indispensable. Esta red global abarca millones de redes, donde la mayoría de empresas y hogares se conectan mediante la suscripción a un proveedor de servicios ISP. En Ecuador los proveedores más destacados son Telconet, CNT, Claro, Level 3.. Para la conexión a Internet, cada equipo tiene una dirección de Protocolo Internet IP única, que es un número de 32 bits representado por cuatro series de números que varían del 0 a 255 y están separadas por puntos. Debido al crecimiento exponencial de la población de Internet, se desarrolló el Protocolo de Internet versión 6 (IPv6) que contiene direcciones de 128 bits, por lo que se puede obtener más de mil billones de direcciones.. Para el acceso de páginas Web, se ingresa el nombre de dominio en el navegador Web, este nombre está asociado a una dirección IP, y para que suceda esto debe ser configurado en un servidor de dominio DNS, en el cual destaca el dominio raíz, dominios de nivel superior, dominios de segundo nivel. Entre los dominios más destacados tenemos: .com Organizaciones/empresas comerciales .edu Instituciones educativas .gov Agencias gubernamentales de USA .net Computadoras de red.

(52) 27 .org Organizaciones y fundaciones sin fines de lucro. Entre los servicios más destacados que tienen los clientes al momento de conectarse a Internet tenemos los siguientes que se detallan a continuación:. - Correo electrónico para mensajería. - Mensajería instantánea y redes sociales, entre las que destacan Facebook, Myspace y LinkedIn. - World Wide Web para mostrar información mediante vínculos de hipertexto.. 1.1.9 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN 1.1.9.1 Vulnerabilidad y Abuso de los Sistemas La seguridad de información incluye las políticas, procedimientos y acciones técnicas para evitar accesos no autorizados, alteración, robo o daño de los activos del sistema de información. Los controles que se realizan deben ser de manera periódica y deben garantizar la disponibilidad y confiabilidad de los sistemas.. Las vulnerabilidades pueden suceder en cualquier punto de la red debido a las amenazas que se pueden presentar. A continuación se presenta un diagrama de red con las vulnerabilidades que se pueden presentar:.

(53) 28. Figura 1.5 Vulnerabilidades de Seguridad de una Red Corporativa. Fuente: Sistemas de Información Gerencial Elaborado por: Laudon K. y Laudon J.. Una de las fuentes vulnerables es el Internet, por lo que se recomienda que las redes corporativas sean redes internas aisladas por dispositivos de seguridad de frontera como Firewalls. Existen programas de software malicioso conocidos como malware, y están en lista una variedad de amenazas como:. - Virus: Es un programa malintencionado que se une a otros programas para poder ejecutarse, sin el conocimiento del usuario y se esparcen mediante envíos de correo electrónico o copiar archivos infectados.. - Gusanos: Programas independientes que se copian entre los equipos de toda una red, sin necesidad de intervención humana, por lo que se ejecutan con mayor rapidez y destruyen datos y programas..

(54) 29 - Caballo de Troya: es un programa de software “benigno” ya que no es considerado un virus, pero es un medio para que los virus ingresen a un sistema computacional.. La mayor amenaza de malware son los ataques de inyección de SQL, ya que se aprovecha de software de aplicación Web mal codificada para introducir código malicioso y obtener datos introducidos por un usuario.. En la actualidad son varios los delitos computacionales que un hacker puede realizar con intenciones criminales, pudiendo interrumpir o destruir un sitio Web o sistema de información corporativo. Entre las actividades realizadas por crackers más conocidas tenemos:. - Spoofing: El hacker redirige un vínculo Web a una dirección falsa, haciéndose pasar por el destino, con la finalidad de recolectar información confidencial.. - Sniffing: Es un programa espía que monitorea la información, el cual con fines criminales puede robar información como archivos y correos electrónicos.. - Ataques de negación de servicio DOS: Los hackers inundan de muchas solicitudes a los equipos de una red o sitio Web, para que se saturen y no se pueda realizar solicitudes legítimas..

(55) 30 - Phising: Es una forma de spoofing, que se trata de enviar links de sitios Web falsos o correos electrónicos para pedir datos confidenciales a los usuarios mediante engaño con fines criminales.. - Pharming: Redirige a los usuarios a páginas Web falsas, ya que los perpetradores obtienen acceso a los servidores de las compañías ISP para cambiar las direcciones.. - Ingeniería Social: Esta amenaza se produce por las malas prácticas en los procedimientos de seguridad de los trabajadores de la empresa, ya que pueden revelar información confidencial como contraseñas a intrusos.. 1.1.9.2 Valor de Negocios de la Seguridad y el Control La protección de los sistemas de información es un factor imprescindible en la operación de una empresa, ya que la falta de protección de los activos de información podría involucrar a la empresa en litigios costosos por exposición o robo de datos (Laudon K. y Laudon J., 2012).. El análisis forense de sistemas se convierte en un proceso imprescindible para recolectar, examinar, autenticar, preservar y analizar científicamente los datos recuperados y que puedan ser utilizados como evidencia (Laudon K. y Laudon J., 2012)..

(56) 31 1.1.9.3 Marco de Trabajo para Seguridad y Control Las políticas y las herramientas de seguridad deben mantener resguardada toda la infraestructura y los datos, por tal razón deben existir controles para crear un entorno de buen manejo de los activos:. - Controles de software, para monitoreo sobre uso de software y acceso no autorizado.. - Controles de hardware, para verificar que el hardware sea físicamente seguro.. - Controles de operaciones de computadora, para supervisión de correcto almacenamiento y procesamiento de los datos.. - Controles de seguridad de datos, para asegurar que la información este bien resguardada en discos o cintas.. - Controles de implementación de procesos de sistemas, para auditar que el proceso de desarrollo de sistemas sea adecuado.. - Controles administrativos, para formalizar reglas y procedimientos para asegurar que los controles se ejecuten de manera idónea.. Es muy importante conocer el grado de vulnerabilidad de los activos, mediante una evaluación de riesgo, para conocer la.

(57) 32 probabilidad de falla en un periodo de tiempo. Luego de haber realizado la evaluación, los controles deben minimizar las fallas, aplicando políticas de seguridad y asignando responsables en el acceso a los activos de información.. La planificación del plan de continuidad de negocios se enfoca en la forma de restaurar las operaciones de negocios ante una eventualidad de desastre con el menor impacto posible manteniendo los sistemas en funcionamiento.. Los gerentes y especialistas de TI deben determinar los sistemas más críticos en el negocio, el tiempo máximo que puede mantenerse un sistema inactivo y los activos que deben ser restaurados de manera inmediata.. La función de la auditoría permite conocer si las políticas, controles y planes de contingencia son efectivos y si el personal se encuentra capacitado para asumir los roles ante un evento de desastre. La auditoría identifica las debilidades de control y la probabilidad de ocurrencia mediante la simulación de eventos para evaluar la respuesta de tecnología y del personal. A partir de los resultados evalúa el impacto financiero y organizacional para que sea conocida por la gerencia y se tomen las acciones correctivas..

(58) 33 1.1.9.4 Tecnologías y Herramientas para proteger recursos de Información La infraestructura de TI debe tener herramientas para autenticar usuarios, proteger identidades y controlar el acceso a los recursos. Entre métodos de autenticación se tiene:. - Contraseñas, palabras conocidas solo por usuarios autorizados para el acceso a sistemas.. - Tokens, dispositivo físico que muestran códigos que cambian con frecuencia para que sean ingresados en el sistema.. - Tarjeta inteligente, contiene un chip con permiso de acceso que debe ser colocado en un dispositivo lector.. - Autenticación biométrica, interpretan rasgos humanos como huellas digitales, iris de ojos, voces para autorizar el acceso.. En lo que se refiere a la seguridad de la red se destacan: - Firewall, es un dispositivo que se encuentra entre la red privada y la red pública configurada para bloquear el acceso no autorizado. El administrador crea una lista de reglas detalladas para identificar las direcciones, puertos que se permiten o se rechazan. También realiza funciones de traducción de red NAT ocultando las direcciones IP internas y evitar que agentes externos puedan penetrar en los sistemas..

(59) 34. - Sistema de detección de intrusos, contienen herramientas de monitoreo colocados en punto críticos generando alarmas para detectar y evadir los intrusos, el software busca patrones de ataques o errores y se puede desconectar en caso de recibir tráfico no autorizado.. - Antivirus, diseñado para revisar sistemas computacionales en busca de virus. Los principales distribuidores son McAfee, Symantec Kaspersky.. 1.2 GOBIERNO DE TECNOLOGÍA DE INFORMACIÓN En la actualidad existen normas y estándares para mejores prácticas en lo que se refiere al control y administración de la tecnología de información, los cuales son obligatorios para el cumplimiento regulatorio por parte de los organismos reguladores. El Gobierno de Tecnología de Información (TI) cobra gran valor debido a la necesidad que tienen los negocios en temas de: - Alinear TI con el negocio. - Lograr buena relación valor/costo. - Mantener la operación de TI y seguridad de información. - Cumplir con requerimientos regulatorios. Por tal razón el Gobierno de TI se considera un conjunto de procedimientos, y estructuras para gestionar la dirección y control de la organización..