La versión digital de esta tesis está protegida por la Ley de Derechos de Autor del

Ecuador.

Los derechos de autor han sido entregados a la “ESCUELA POLITÉCNICA

NACIONAL” bajo el libre consentimiento del (los) autor(es).

Al consultar esta tesis deberá acatar con las disposiciones de la Ley y las

siguientes condiciones de uso:

· Cualquier uso que haga de estos documentos o imágenes deben ser sólo para

efectos de investigación o estudio académico, y usted no puede ponerlos a

disposición de otra persona.

· Usted deberá reconocer el derecho del autor a ser identificado y citado como el

autor de esta tesis.

· No se podrá obtener ningún beneficio comercial y las obras derivadas tienen

que estar bajo los mismos términos de licencia que el trabajo original.

El Libre Acceso a la información, promueve el reconocimiento de la originalidad

de las ideas de los demás, respetando las normas de presentación y de citación

de autores con el fin de no incurrir en actos ilegítimos de copiar y hacer pasar

como propias las creaciones de terceras personas.

Respeto hacia sí mismo y hacia los demás.

ESCUELA POLITÉCNICA NACIONAL

FACULTAD DE INGENIERÍA ELÉCTRICA Y

ELECTRÓNICA

ELABORACIÓN DE UN PLAN DE DISPONIBILIDAD DE

TECNOLOGÍAS DE INFORMACIÓN (TI) PARA LA FUNDACIÓN

PARA EL AVANCE Y REFORMAS DE OPORTUNIDADES GRUPO

FARO

PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN

ELECTRÓNICA Y REDES DE INFORMACIÓN

VELASCO TORO CÉSAR ALEJANDRO

alevelasldu@gmail.com

DIRECTOR: ING. WILLIAMS FERNANDO FLORES CIFUENTES

fflores@mailfie.epn.edu.ec

Quito, Enero 2013

i

DECLARACIÓN

Yo, César Alejandro Velasco Toro, declaro bajo juramento que el trabajo aquí

descrito es de mi autoría; que no ha sido previamente presentado para ningún

grado o calificación profesional; y, que he consultado las referencias bibliográficas

que se incluye en este documento.

A través de la presente declaración cedo mis derechos de propiedad intelectual

correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo

establecido por la Ley de Propiedad Intelectual, por su reglamento y por la

normatividad institucional vigente.

__________________________

César Alejandro Velasco Toro

ii

CERTIFICACIÓN

Certifico que el presente trabajo fue desarrollado por César Alejandro Velasco

Toro, bajo mi supervisión.

__________________________

Ing. Fernando Flores

DIRECTOR DE PROYECTO

iii

AGRADECIMIENTO

A Dios, por haberme dado salud para lograr mis objetivos, por fortalecer mi

corazón e iluminar mi mente.

A mi madre Miriam, por haberme apoyado en todo momento, por sus

consejos, sus valores, por creer en mí, pero más que nada, por su amor y apoyo

incondicional.

A mi padre César, por su apoyo moral y económico durante toda mi carrera

universitaria.

A mis hermanas Johana y Mishel, por las bromas, y los buenos deseos les

quiero mucho.

A mi Director del Proyecto, el Ingeniero Fernando Flores, por su valiosa

colaboración en la elaboración de este trabajo.

En fin, a todas aquellas personas que de una u otra forma, y de manera

desinteresada, me brindaron toda la ayuda necesaria con la finalidad de lograr

el desarrollo de un buen trabajo.

iv

DEDICATORIA

Este documento es un esfuerzo que involucra a muchas personas cercanas a mí.

Por ello dedico esta tesis a mi mamá, mi papá, mis hermanas que gracias a sus

consejos y palabras de aliento he crecido como persona, y principalmente a mi

hija que es el motor de mi vida, y que me obliga a ser cada día mejor.

A todos mis familiares y amigos, quienes me han brindado su apoyo en las caídas

y con los que hemos celebrado las victorias en todo el proceso de la realización

de este documento.

Cami, eres el amor de mi vida,

recuerda que siempre te voy a

amar y que cuentas conmigo.

v

CONTENIDO

CAPÍTULO I FUNDAMENTOS TEÓRICOS…….……………………………..………1

1.1 DETERMINACIÓN DE LOS REQUISITOS DE DISPONIBILIDAD ................ 2

1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) ..................................... 2

1.1.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .... 3

1.1.1.2 Evaluar el impacto Financiero – Operacional................................... 3

1.1.1.2.1 Evaluación del impacto financiero ................................................. 3

1.1.1.2.2 Evaluación del impacto estratégico ............................................... 3

1.1.1.3 Identificación de procesos críticos de la organización. ..................... 4

1.1.1.4 Identificación de sistemas y aplicaciones críticas de TI por proceso

del negocio ...................................................................................................... 4

1.1.1.5 Identificación de tiempos máximos de caída (MTD) ......................... 4

1.1.1.6 Identificación del tiempo objetivo de recuperación (RTO) ................. 5

1.1.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ........... 5

1.1.1.7.1 Evaluación de RTO y WRT ........................................................... 5

1.1.1.8 Análisis del daño a consecuencia de la interrupción de un servicio

de TI ………………………………………………………………………………6

1.1.2 REQUISITOS DE DISPONIBILIDAD ........................................................ 6

1.1.2.1 Resumen de disponibilidad de servicio TI ......................................... 6

1.2 DISEÑO PARA LA DISPONIBILIDAD .......................................................... 7

1.2.1 ELABORACIÓN DE LA INFRAESTRUCTURA TI .................................... 8

1.2.1.1 Elementos de la red .......................................................................... 9

1.2.1.2 Almacenamiento ............................................................................... 9

1.2.1.3 Impresión y Digitalización ................................................................. 9

1.2.1.4 Administración de TI ....................................................................... 10

1.2.1.5 Consideraciones para el entorno de la infraestructura de TI .......... 10

1.2.1.6 Consideraciones para el hardware y software. ............................... 11

1.2.1.6.1 Consideraciones de hardware ..................................................... 11

1.2.1.6.2 Consideraciones de software ...................................................... 11

1.2.2 ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES

(SPOF).............................................................................................................. 11

1.2.1.2 Análisis del impacto del fallo de un componente (CFIA) ................. 11

vi

1.2.1.3 Análisis por arboles de fallos (FTA) ................................................ 13

1.2.3 GESTIÓN Y ANÁLISIS DE RIESGO ...................................................... 15

1.2.3.1 Método de análisis y gestión de riesgos (CRAMM) ........................ 16

1.2.3.1.1 Identificación y valoración de activos .......................................... 16

1.2.3.1.2 Identificación y valoración de amenazas ..................................... 16

1.2.3.1.3 Identificación y valoración de vulnerabilidades............................ 17

1.2.3.1.4 Evaluación de niveles de riesgos ................................................ 18

1.2.3.1.5 Tratamiento de riesgo ................................................................. 18

1.3 DISEÑO DE LA RECUPERACIÓN .............................................................. 19

1.4 CONSIDERACIONES DE SEGURIDAD ...................................................... 21

1.4.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS ................... 21

1.4.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO ...................... 21

1.4.3 SEGURIDAD DE LA INFORMACIÓN ................................................................ 22

1.4.4 SEGURIDAD FÍSICA Y DEL ENTORNO ................................................ 22

1.4.5 GESTIÓN DE COMUNICACIONES Y OPERACIONES ......................... 23

1.4.6 GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS DE

CÓMPUTO. ...................................................................................................... 23

1.4.7 SEGURIDAD DE LA RED ...................................................................... 23

1.4.8 MONITORIZACIÓN ................................................................................ 23

1.5 MANTENIMIENTO DEL PLAN .................................................................... 24

CAPÍTULO 2 ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA

ORGANIZACIÓN…………………………………………………………….………….25

2.1 ANTECEDENTES ......................................................................................... 25

2.2 DESCRIPCIÓN DE LA ORGANIZACIÓN ..................................................... 26

2.2.1 CONSTITUCIÓN GRUPO FARO ..................................................................... 27

2.2.1.1 Miembros fundadores ..................................................................... 27

2.2.1.2 Consejo ejecutivo ............................................................................ 27

2.2.1.3 Consejo asesor ............................................................................... 27

2.2.1.4 Colaboradores ................................................................................ 29

2.2.2 DATOS GENERALES ............................................................................ 30

2.2.3 MISIÓN, VISIÓN, PERSPECTIVA.......................................................... 30

2.2.3.1 Misión ............................................................................................. 30

2.2.3.2 Visión .............................................................................................. 31

vii

2.2.3.3 Perspectiva ..................................................................................... 31

2.2.4 ESTRUCTURA ORGANIZACIONAL ...................................................... 32

2.3 PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE LA

ORGANIZACIÓN ............................................................................................... 36

2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN ........... 36

2.3.1.1 Estructura del departamento ti de la organización .......................... 37

2.3.1.2 Áreas relacionadas con el departamento de TI .............................. 38

2.3.1.3 Descripción de los Perfiles y Responsabilidades del Área de TI .... 38

2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI ...................................... 40

2.3.2.1 Servidores ....................................................................................... 40

2.3.2.2 Equipos ........................................................................................... 43

2.3.2.3 Otros dispositivos ............................................................................ 47

2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO ..................... 47

2.3.4 DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL

DEPARTAMENTO DE TI .................................................................................. 48

2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI ............. 50

2.4 NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO FARO ............. 52

CAPÍTULO 3 ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE

TI…………………………..………………………………………………………………54

3.1 MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL NEGOCIO 57

3.1.1 ACTIVIDADES DEL NEGOCIO .............................................................. 61

3.2 ELEMENTOS DE CONFIGURACIÓN (CI) .................................................. 64

3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDWARE ......................... 65

3.2.1.1 Desktops ......................................................................................... 65

3.2.1.2 Laptops ........................................................................................... 66

3.2.1.3 Impresoras ...................................................................................... 68

3.2.1.4 Switches ......................................................................................... 68

3.2.1.5 Servidores ....................................................................................... 69

3.2.1.6 Access Points ................................................................................. 69

3.2.1.7 Modem ............................................................................................ 69

3.2.1.8 Unidades de Almacenamiento ........................................................ 70

3.2.1.9 Sistema de Energía Ininterrumpida ................................................. 72

3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE ......................... 72

viii

3.2.2.1 Herramientas Ofimáticas ................................................................ 73

3.2.2.2 BPMS Aura Portal ........................................................................... 74

3.2.2.3 Sistemas Operativos ....................................................................... 74

3.3 DETERMINACIÓN DE REQUERIMIENTOS DE DISPONIBILIDAD ........... 75

3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO ........................................... 75

3.3.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .. 75

3.3.1.2 Evaluar el impacto Financiero – Operacional................................. 77

3.3.1.2.1 Evaluación del impacto financiero ............................................... 77

3.3.1.2.2 Evaluación del impacto estratégico ............................................. 80

3.3.1.3 Identificación de procesos fundamentales de la organización. ...... 83

3.3.1.4 Identificación de Servicios de TI, por procesos del negocio. .......... 87

3.3.1.5 Identificación de tiempos máximos de caída (MTD). ..................... 88

3.3.1.6 Identificación del Tiempo objetivo de recuperación RTO. ............... 91

3.3.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ......... 92

3.3.1.8 Análisis del daño a consecuencia de la interrupción de un servicio

de TI 101

3.3.2 REQUERIMIENTOS DE DISPONIBILIDAD ......................................... 103

3.4 DISEÑO DE LA DISPONIBILIDAD............................................................ 105

3.4.1 DESCRIPCIÓN DE LA INFRAESTRUCTURA ..................................... 105

3.4.1.1 Elementos de la red ...................................................................... 105

3.4.1.2 Administración de TI ..................................................................... 106

3.4.1.3 Respaldo y Almacenamiento ........................................................ 107

3.4.1.3.1 Respaldo ................................................................................... 107

3.4.1.3.2 Back-up ..................................................................................... 107

3.4.1.4 Impresión y Digitalización ............................................................. 107

3.4.1.5 Consideraciones para el Hardware y el Software ......................... 108

3.4.1.5.1 Requerimientos de Hardware .................................................... 108

3.4.1.5.2 Especificaciones de Software .................................................... 109

3.4.1.6 Consideraciones para la sala principal de equipos de Infraestructura

TI …………………………………………………………………………...109

3.4.1.6.1 Sala principal de equipos .......................................................... 110

3.4.1.7 Análisis de Puntos individuales de fallo de componentes ............. 112

3.4.1.7.1 Análisis por arboles de Fallos FTA. ........................................... 112

ix

3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA .............. 115

3.4.1.8 Análisis y gestión de riesgos. ........................................................ 122

3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM ................... 122

3.4.1.8.1.1 Valoración de activos ............................................................. 122

3.4.1.8.1.2 Identificación y valoración de amenazas ............................... 123

3.4.1.8.1.3 Valoración de las amenazas .................................................. 125

3.4.1.8.1.4 Identificación de las vulnerabilidades .................................... 126

3.4.1.8.1.5 Valoración de las vulnerabilidades ........................................ 128

3.4.1.8.1.6 Evaluación de niveles de riesgos ........................................... 131

3.4.1.8.1.7 Control y opciones de control de riesgos. ............................. 133

3.5 DISEÑO DE LA RECUPERACIÓN ............................................................ 136

3.5.1 MEDIDA DE RECUPERACIÓN DE INCIDENTE .................................. 137

3.5.2 MÉTRICAS DE RECUPERACIÓN ....................................................... 140

3.5.3 RESPALDO O BACK-UP ............................................................................ 141

3.5.3.1 Aspectos de las copias de seguridad. ........................................... 141

3.5.4 GESTIÓN DE SISTEMAS .................................................................... 142

3.5.5 RESTAURACIÓN DEL SERVICIO ....................................................... 143

3.6 CONSIDERACIONES DE SEGURIDAD ..................................................... 148

3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS

………………………………………………………………………………...148

3.6.1.1 Capacidades ................................................................................. 148

3.6.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO .................... 149

3.6.2.1 Seguridad de la información. ........................................................ 149

3.6.2.2 Gestión interna de soporte ............................................................ 149

3.6.3 PLAN DE CONTINGENCIAS INFORMÁTICAS ................................... 150

3.6.3.1 Estratégias Informáticas ............................................................... 150

3.6.4 SEGURIDAD FÍSICA Y DE ENTORNO ............................................................ 150

3.6.4.1 Identificadores de usuario y contraseñas ...................................... 151

3.6.5 QUEDA PROHIBIDO ........................................................................... 151

3.6.5.1 Software ........................................................................................ 151

3.6.5.2 Recursos de red ............................................................................ 151

3.6.5.3 Conectividad a internet ................................................................. 152

3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD .................... 152

x

3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD

INFORMÁTICA. .............................................................................................. 152

3.7 MANTENIMIENTO DEL PLAN ................................................................... 152

3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS ................................. 153

3.7.1.1 Periodicidad .................................................................................. 153

3.7.1.2 Responsabilidad ........................................................................... 153

3.7.1.3 Involucrados.................................................................................. 153

3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD............................................... 153

3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD ................................... 154

3.7.4 MÉTODOS Y TÉCNICAS ............................................................................ 155

CAPÍTULO 4 CONCLUSIONES Y RECOMENDACIONES………………………156

4.1 CONCLUSIONES ...................................................................................... 156

4.2 RECOMENDACIONES .............................................................................. 157

BIBLIOGRAFÍA……………………………………………………….……………….159

ANEXOS…………………………………………………………………………..……161

xi

ÍNDICE DE FIGURAS

Capítulo 1

Figura 1. 1 Relación entre niveles de disponibilidad y costos totales. .................. 8

Figura 1. 2 CFIA .................................................................................................. 12

Figura 1. 3 Análisis y Gestión de Riesgos ........................................................... 15

Capítulo 2

Figura 2. 1 Personal Grupo FARO 2011 ........................................................ 26

Figura 2. 2 Ubicación Grupo FARO ............................................................... 30

Figura 2. 3 Organigrama GRUPO FARO ...................................................... 32

Figura 2. 4 Áreas relacionadas al departamento de TI .................................. 38

Capítulo 3

Figura 3. 1 Actividades proactivas y reactivas .................................................. 56

Figura 3. 3 Análisis del Árbol de Fallos del Internet fuera de servicio. ........... 114

Figura 3. 4 Diagrama de Red de Grupo FARO con especificación de CIs. .... 116

xii

ÍNDICE DE TABLAS

Capítulo 2

Tabla 2. 1 Relaciones internas del Administrador de TI .................................. 39

Tabla 2. 2 Relaciones Externas del Administrador de TI. ................................ 39

Tabla 2. 3 Características hardware Servidor Grupo FARO ............................ 42

Tabla 2. 4 Lista de equipos administrados por el departamento de TI. ........... 46

Tabla 2. 5 Otros dispositivos administrados por el departamento de TI. ......... 47

Tabla 2. 6 Descripción de los servicios soportados por el departamento de TI 49

Tabla 2. 7 Listado de Procesos del Departamento de TI. ............................... 52

Capítulo 3

Tabla 3. 1 Servicios de TI administrados por el departamento de Tecnología. 61

Tabla 3. 2 Funciones y Procesos del negocio, y su relación con TI ................ 64

Tabla 3. 3 Equipos Desktop administrados por el departamento de TI ........... 66

Tabla 3. 4 Equipos Laptop administrados por el departamento de TI .............. 67

Tabla 3. 5 Impresoras Matriciales y de tinta administradas por el departamento

de TI ....................................................................................... .68

Tabla 3. 6 Impresoras en Red administradas por el departamento de TI ........ 68

Tabla 3. 7 Switches administrados por el departamento de TI ........................ 68

Tabla 3. 8 Servidores administrados por el departamento de TI ..................... 69

Tabla 3. 9 Access Point administrados por el departamento de TI .................. 69

Tabla 3. 10 Modem administrado por el departamento de TI ............................ 70

Tabla 3. 11 Unidades de almacenamiento administradas por el departamento de

TI ..................................................................................................... 72

Tabla 3. 12 UPS administrado por el departamento de TI ................................. 72

Tabla 3. 13 Herramientas ofimáticas administradas por el Departamento de TI 73

Tabla 3. 14 Frecuencia de uso de las herramientas ofimáticas administradas por

el departamento de TI ..................................................................... 74

Tabla 3. 15 Herramientas de BMP administradas por el departamento de TI ... 74

xiii

Tabla 3. 16 Sistemas Operativos administrados por el departamento de TI ..... 75

Tabla 3. 17 Funciones y procesos de la organización ....................................... 77

Tabla 3. 18 Ponderación Impacto Financiero .................................................... 78

Tabla 3. 19 Evaluación del Impacto Financiero ................................................. 80

Tabla 3. 20 Ponderación del Impacto estratégico .............................................. 80

Tabla 3. 21 Evaluación del impacto estratégico ................................................. 82

Tabla 3. 22 Impactos Financiero y Operación ................................................... 86

Tabla 3. 23 Procesos del negocio y servicios de TI utilizados ........................... 88

Tabla 3. 24 Escala MTD y equivalencia ............................................................. 88

Tabla 3. 25 Suma de Impactos y escala de equivalencia MTD ......................... 89

Tabla 3. 26 Definición de MTDs ......................................................................... 91

Tabla 3. 27 Escala de equivalencia RTO ........................................................... 92

Tabla 3. 28 RTO en actividades de recuperación de Servicios de TI ................ 92

Tabla 3. 29 RTO y WRT por proceso de Negocio ........................................... 101

Tabla 3. 30 Análisis causado por la interrupción de un Servicio TI. ................. 103

Tabla 3. 31 Requerimientos de Disponibilidad y recuperación de los servicios 104

Tabla 3. 32 Requerimientos mínimos para servidores ..................................... 108

Tabla 3. 33 Requerimientos mínimos para estación de trabajo Desktop ......... 108

Tabla 3. 34 Requerimientos mínimos para estación de trabajo Laptop ........... 109

Tabla 3. 35 Mejores condiciones físicas para Sala principal de Equipos ......... 110

Tabla 3. 36 Mejores condiciones físicas para el cuarto de servidores ............. 111

Tabla 3. 37 Mejores condiciones físicas para el entorno de oficina ................. 112

Tabla 3. 38 Matriz de la configuración del Análisis del Impacto de Fallo de un

componente de Grupo FARO ........................................................ 121

Tabla 3. 40 Valoración de activos de TI ........................................................... 123

Tabla 3. 41 Valoración de amenazas .............................................................. 126

Tabla 3. 42 Identificación de vulnerabilidades ................................................ 128

Tabla 3. 43 Valoración de las vulnerabilidades ................................................ 130

Tabla 3. 44 Evaluación de niveles de riesgos .................................................. 132

Tabla 3. 45 Control de riesgos ......................................................................... 134

Tabla 3. 46 Opciones de control de Riesgos ................................................... 136

Tabla 3. 47 Medidas de recuperación de incidentes ........................................ 138

Tabla 3. 48 Métricas de recuperación. ............................................................. 141

xiv

RESUMEN

En la actualidad, debido a la difusión de aplicaciones en Internet, se ha hecho

latente la necesidad de diseñar e implementar un plan de disponibilidad, y al no

contar con dichas especificaciones se limita la capacidad operativa de la

organización.

La información es lo más importante dentro de un establecimiento,

independientemente del tipo de actividad a la cual se dedique, por ello, la

necesidad de mantenerla la mayor cantidad de tiempo disponible, y con mayor

razón para esta institución, la cual la mayoría de sus aplicaciones se encuentran

en Internet, debido a que se utiliza la plataforma de Google Apps

@grupofaro.org, en la que se encuentran los servicios de correo electrónico

(Gmail), calendario en línea (Google Calendar), Google Docs, Google Sites, y

Google Chat para mensajería interna, los cuales son utilizados permanentemente

por los usuarios.

El proyecto se basa en la oficina central de Grupo FARO, en el departamento de

Tecnologías de Información, ya que aquí se encuentran los ejes de Dirección,

Subdirección, Administración, Ambiente y Sociedad, Investigación, Gobernanza

de lo público entre otras, y se manejan diferentes aplicaciones como Internet,

Correo electrónico, servidor de archivos, Impresiones, etc; por tal motivo es de

vital importancia contar con una red de datos disponible y segura.

La elaboración busca implementar las soluciones tecnológicas más adecuadas a

la institución, que en conjunto con las normas y procedimientos descritos en las

políticas de seguridad aseguren que los servicios TI estén disponibles y

funcionen correctamente siempre que los clientes y usuarios deseen hacer uso

de ellos.

xv

PRESENTACIÓN

En el primer capítulo se describirá los conocimientos teóricos pertinentes al

proyecto, los que se aplicarán en la Elaboración del Plan de Disponibilidad para

Grupo FARO, basados en el capítulo Gestión de Disponibilidad de la librería

Diseño del Servicio. ITIL V3.

En el segundo capítulo se realizará una descripción completa de la organización,

así como el mapeo de los servicios que soporta la empresa y los procesos del

departamento de TI, lo cual nos dará una visión de los factores que requiere

Grupo FARO, en la disponibilidad de TI

A continuación en el tercer capítulo se determinarán los requisitos de

disponibilidad identificando las actividades Vitales del Negocio y su relación con

las TI mediante encuestas al personal Administrativo, además de presentar una

lista de todos los dispositivos de hardware y software que forman parte de la

infraestructura de TI.

Posteriormente, se realizará el Análisis de Puntos individuales de fallo de

componentes aplicando los mejores métodos descritos en la librerías, además del

Análisis de Riesgo y en base a los resultados se especificarán criterios acerca de

la gestión de riesgo, recuperación de los servicios, métricas de recuperación y

consideraciones de seguridad.

Se realizarán pruebas con interrupciones específicas a un servicio crítico, y

gracias a los criterios presentados anteriormente, evaluar los resultados del Plan

de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta

al mismo.

Para finalizar en el cuarto capítulo se indicarán varias conclusiones obtenidas al

realizar el proyecto, y además recomendaciones de cómo aprovechar de la mejor

manera posible este Plan

1

CAPÍTULO 1

FUNDAMENTOS TEÓRICOS

Debido a que nuestras vidas, tanto personales como profesionales, dependen

cada vez más de la tecnología, la cual ha aumentado su velocidad y aplicaciones

de una manera vertiginosa, la gestión de Disponibilidad es responsable de

optimizar y monitorizar los servicios de TI, para que estos funcionen

ininterrumpidamente y de manera fiable y todo ello a un costo razonable.

En el presente capítulo, se describe el procedimiento, el cual está de acuerdo a la

Gestión de Disponibilidad de TI, descrito en la librería ITIL V3 y las actividades

que se recomiendan seguir para la elaboración del Plan de Disponibilidad de

Tecnologías de Información (TI).

Las actividades descritas en este capítulo para la elaboración del Plan de

Disponibilidad, son las siguientes.

· Determinación de los requisitos de disponibilidad.

o Análisis de Impacto en El Negocio (BIA)1.

o Requerimientos de Disponibilidad.

· Diseño para Disponibilidad.

o Elaboración de la infraestructura TI.

o Análisis de puntos individuales de fallo de componentes (SPOF).2

o Gestión y análisis de riesgo.

· Diseño de la Recuperación.

o Medida de recuperación de Incidente

o Métricas de recuperación.

o Respaldo o Back-up.

o Restauración del Servicio.

· Consideraciones de Seguridad.

o Lineamientos para la adquisición de bienes informáticos.

1 Business Impact Analysis (BIA)

2 Single Point Of Failure (SPOF)

2

o Gestión interna de instalación de equipos de cómputo.

o Seguridad de la información.

o Gestión interna de soporte.

o Plan de contingencias informáticas.

o Estrategias informáticas.

o Seguridad física y de entorno.

o Identificadores de usuario y contraseñas .

o Queda prohibido.

o Actualizaciones de la política de seguridad.

o Beneficios de implantar políticas de seguridad informática.

· Mantenimiento del Plan.

1.1 DETERMINACIÓN DE LOS REQUISITOS DE

DISPONIBILIDAD

Es de suma importancia cuantificar los requisitos de Disponibilidad debido a que

son la base para evaluar la capacidad operativa, que se posee en la

Infraestructura de TI y estimar el soporte que la organización de TI debe

proporcionar para satisfacer las necesidades de Disponibilidad del negocio.

Antes de establecer los Requisitos de Disponibilidad de TI del negocio se deben

desarrollar las siguientes actividades:

· Análisis de Impacto en El Negocio (BIA).

· Requerimientos de Disponibilidad.

1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA)

El Análisis de Impacto en el negocio define la relación entre la tecnología

existente, los servicios ofrecidos por el departamento de TI y los procesos de

negocio que los utilizan.

Entre los objetivos principales al realizar el Análisis se tienen:

· Identificar las Funciones y Procesos Críticos de la organización.

· Determinar prioridad de cada proceso.

3

· Evaluar el Impacto financiero y estratégico.

· Identificar los Sistemas y Aplicaciones Críticas de TI.

· Determinar los tiempos máximos tolerables de interrupción (MTD) 3 y

priorizar los procesos del negocio.

· Especificar los tiempos Objetivos de Recuperación (RTO)4.

· Identificar el Tiempo de recuperación del Trabajo (WRT)5.

· Apoyar el proceso de determinar estrategias adecuadas de recuperación.”6

1.1.1.1 Identificar las Funciones y Procesos Críticos de la Organización.

En esta sección se identifican todas las funciones y procesos críticos de la

organización.

Las funciones son las áreas contempladas en el plan de disponibilidad, a las

cuales se las asocia con los procesos los cuales son las actividades específicas

realizadas en cada área de negocio.

1.1.1.2 Evaluar el impacto Financiero – Operacional

1.1.1.2.1 Evaluación del impacto financiero

El impacto financiero será evaluado de forma cualitativa, puesto que por criterios

de seguridad financiera, las cifras reales no son publicables para la organización.

El objetivo es tener una idea de la magnitud del impacto de pérdida financiera, si

los procesos del negocio fuesen interrumpidos.

1.1.1.2.2 Evaluación del impacto estratégico

La evaluación del impacto estratégico u operacional, se realiza para evaluar el

nivel de daño que afectaría a la organización debido a un fallo en los servicios de

TI, pero en sentido de los factores mostrados a continuación.

3 MTD : Maximum Tolerable Downtime

4RTO: Recovery Time Objective 5 WRT: Work Recovery Time 6 Fuente: Tesis Elaboración del plan de disponibilidad de ti para la Empresa Reliance

4

Para la realización de la ponderación, se basará en el grado de magnitud de

impacto sobre: Falta de confiabilidad operacional, satisfacción a los usuarios,

eficacia del servicio.

1.1.1.3 Identificación de procesos críticos de la organización.

Los procesos críticos de la organización, se basan en una evaluación cuantitativa,

de los resultados anteriores, mediante la suma de los resultados de Impacto

Financiero e Impacto estratégico.

Un proceso será considerado como crítico, si:

· Retrasa las actividades del personal de la organización.

· Afecta a la correcta elaboración de las tareas del personal.

· Discontinua la marcha de las operaciones de la organización.

Y cuantitativamente según los siguientes valores

• En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3,

(impacto alto).

• Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto

medio), ó 4 (impacto alto).

1.1.1.4 Identificación de sistemas y aplicaciones críticas de TI por proceso del

negocio

En esta sección se identificará todo proceso de la empresa, que utilice servicios

de TI, los cuales pueden ser sistemas, aplicaciones y recursos, administrados por

el Departamento de TI.

1.1.1.5 Identificación de tiempos máximos de caída (MTD)

Uno de los objetivos fundamentales del BIA, es determinar el Maximum Tolerable

Downtime (MTD), el cual es el tiempo máximo sin servicio que una organización

puede soportar y seguir cumpliendo con sus objetivos de negocio.

Con este cálculo se intenta obtener valores cuantitativos con relación al impacto

financiero – operacional que un evento adverso pueda tener sobre la

organización.

5

La identificación de los MTD’s, se procede en función a la suma total de los

puntos de los impactos financiero y estratégico.

1.1.1.6 Identificación del tiempo objetivo de recuperación (RTO)

“El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en

otras palabras cuanto puede permanecer la Organización sin ejecutar una

actividad, el uso de una aplicación (hardware y/o software) o información

relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El

RTO se utiliza para decidir cada cuanto se deben realizar respaldos de

información o backups; también es útil para decidir que infraestructura es

requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de

similares especificaciones al existente en la Organización, o un call center

paralelo en una ubicación diferente a la que se utiliza de manera permanente.”7

1.1.1.7 Identificación del tiempo de recuperación de trabajo (WRT).

El WRT (Work Recovery Time) es el tiempo disponible para recuperar datos

perdidos una vez que los sistemas están reparados dentro del Tiempo Máximo de

Inactividad MTD.

1.1.1.7.1 Evaluación de RTO y WRT

Para la evaluación de los tiempos de RTO, se debe tener claro el tiempo que el

área de Tecnología de la organización se demora en la recuperación de los

sistemas y recursos críticos, esto se debe a que los servicios entregados y

administrados por esta área son de alta criticidad para las actividades del negocio.

La escala para el RTO se la valora en función del tiempo.

La suma de los tiempos del RTO y WRT serán iguales o menores que el MTD,

jamás pueden ser mayores.

7 Camelo, Leonardo. Análisis de Impacto de Negocios / Business Impact Analysis (BIA).

http://seguridadinformacioncolombia.blogspot.com/2010/05/analisis-de-impacto-de-negocios.html.

6

1.1.1.8 Análisis del daño a consecuencia de la interrupción de un servicio de TI

En este tema se especifican las consecuencias que se tendrían en la organización

a causa de un incidente que involucre a un servicio o recurso de TI.

1.1.2 REQUISITOS DE DISPONIBILIDAD

En esta sección del documento se especifica la base para determinar la

capacidad de la Infraestructura de TI, implementada actualmente y el soporte que

la organización de TI debe proporcionar para satisfacer las necesidades de

Disponibilidad del negocio.

Para plantear los requisitos del negocio de Disponibilidad de TI se considera lo

siguiente:

· Una definición de las actividades vitales para el negocio que dependan de

los servicios TI.

· Una definición del tiempo de caída del servicio TI, es decir, las condiciones

bajo las cuales el negocio considera que el servicio TI no está disponible.

· El impacto sobre el negocio ocasionado por la pérdida del servicio.

· Las horas de servicio necesarias, esto es, cuándo se va a proporcionar el

servicio.

· Las necesidades de seguridad específicas.

1.1.2.1 Resumen de disponibilidad de servicio TI

En este punto del documento se representa un resumen de los servicios TI con

los siguientes criterios:

· Tipo de servicio.

· Nombre del servicio.

· Disponibilidad.

· Tiempo de recuperación.

· Tipo de Soporte.

· Utilidad.

· Mantenimiento.

· Responsable.

7

1.2 DISEÑO PARA LA DISPONIBILIDAD

El Diseño para la disponibilidad es una actividad relacionada con la elaboración

técnica de la infraestructura de TI, orientada a evitar la pérdida de disponibilidad

de los servicios de TI, además de aportar criterios con la relación de proveedores

internos y externos necesarios para satisfacer las necesidades de Disponibilidad

de un servicio de TI.

Los principales beneficios al elaborar un buen Plan de Disponibilidad son:

· Reducción de costos asociados con cada nivel de disponibilidad.

· Notar una mejor calidad de Servicio por parte del usuario.

· Aumentar progresivamente los niveles de disponibilidad.

· Reducir número de incidentes.

Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio

en el desarrollo de los nuevos servicios TI de forma que estos cumplan los

estándares plasmados en el Plan de Disponibilidad.

Un diferente nivel de disponibilidad puede requerir cambios drásticos en los

recursos utilizados o en las actividades necesarias para suministrar un

determinado servicio TI.

Las actividades que deben realizarse para el diseño de la disponibilidad son:

· Elaboración de la Infraestructura TI.

· Análisis de Puntos Individuales de Fallo de Componentes (SPOF)8

· Análisis de Impacto de Fallo de Componentes (CFIA)9.

· Análisis por Árboles de Fallos (FTA)10.

· Gestión y Análisis de Riesgo.

8 SPOF: Single Point of Failure 9 CFIA: Component Failure Impact Analysis 10 FTA: Fault Tree Analysis

8

1.2.1 ELABORACIÓN DE LA INFRAESTRUCTURA TI

El objetivo la elaboración de la Infraestructura TI es realizar recomendaciones

para el mejoramiento de la misma, contando con un mapeo de los elementos ya

disponibles en la organización y con sugerencias en la adquisición de nuevos

elementos tanto de hardware, software y técnicas, que permitan tener una

elevada disponibilidad de servicios de TI.

La Infraestructura de TI la componen hardware, software y servicios

profesionales, necesarios para el correcto desempeño de las múltiples

aplicaciones de tecnología de información, y que permite a la organización la

automatización y apoyo de los procesos de negocio.

Para establecer una mayor disponibilidad de los servicios de TI, es necesario

también una gran inversión en cuanto a las soluciones existentes, como se

muestra a continuación.

Figura 1. 1 Relación entre niveles de disponibilidad y costos totales. 11

11 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.

Mejores Prácticas para la Provisión del Servicio. versión 3. 2007

9

1.2.1.1 Elementos de la red

Los elementos de la red, son todos los componentes mediante los cuales se tiene

la posibilidad de ingresar electrónicamente desde puntos locales y remotos a las

aplicaciones con las que se trabaja en la organización, plataformas de impresión,

bases de datos, recursos de la red, brindando al usuario un mayor soporte, control

y disponibilidad de los servicios de TI, de manera segura y confiable.

Los beneficios que ofrecen los recursos de la Red a los usuarios son los

siguientes:

· Ingreso a plataformas internas, desde puntos remotos.

· Acceso a la información mediante las tres propiedades indispensables de

la información: Confidencialidad, Integridad, Disponibilidad.

· Compartición de recursos dispersos a lo largo de la infraestructura.

1.2.1.2 Almacenamiento

Son las herramientas de preservación, respaldo y disponibilidad de la información,

las cuales ayudan a salvaguardar uno de los principales activos de la

organización, la información, y así, encaminar la continuidad del negocio.

Los beneficios que se obtienen con los componentes de almacenamiento son los

siguientes:

· Posibilidad de respaldos automáticos y en línea.

· Protección de la información del negocio.

· Disponibilidad de información en caso de contingencia.

1.2.1.3 Impresión y Digitalización

Es el conjunto de equipos y herramientas de captura, digitalización y

presentación de información impresa en papel.

Los beneficios que se obtiene con los componentes de impresión y digitalización

son los siguientes:

10

· Organización en el almacenamiento de la información.

· Disponibilidad de contratos, solicitudes, oficios, informes, que permiten una

manipulación más directa con el usuario.

· Disponer de una mejor manera el espacio físico utilizado anteriormente

para el almacenamiento de la información.

· Posibilidad de tener una copia digitalizada de los documentos físicos

de alta importancia, y así también ahorrar papel y colaborar con el medio

ambiente.

1.2.1.4 Administración de TI

Son todas aquellas herramientas tecnológicas que permiten controlar diversos

aspectos como: inventarios, activos, prevención de riegos, ancho de banda,

monitoreo, prevención de riesgos y fallas, etc.

Los beneficios que se obtienen con los elementos de administración de TI son los

siguientes:

· Gestión de activos.

· Mejor control y administración de recursos de TI, para evitar las fallas en

los sistemas.

· Ahorro de tiempo al distribuir software de manera centralizada.

· Administración de plataformas de hardware y software.

· Productividad al verificar que el software cargado en los clientes

corresponda a su función.

1.2.1.5 Consideraciones para el entorno de la infraestructura de TI

En esta sección se especificarán las mejores condiciones necesarias para la sala

principal de Equipos de Tecnologías de Información como: acceso, ubicación,

visibilidad, piso interno, etc.

11

1.2.1.6 Consideraciones para el hardware y software.

1.2.1.6.1 Consideraciones de hardware

En este punto se especificarán las características mínimas necesarias que

deberán tener los dispositivos informáticos a nivel de hardware, para mantener la

disponibilidad de los servicios de TI.

1.2.1.6.2 Consideraciones de software

En este punto se especificarán las características mínimas necesarias que

deberán tener los aplicativos y herramientas de ofimática, para mantener la

disponibilidad de los servicios TI.

1.2.2 ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES

(SPOF)

“Un Punto Único de Fallo es un riesgo potencial planteado por una falla en el

diseño, la ejecución o la configuración de cualquier componente de la

infraestructura de TI, o sistema en el que un fallo o mal funcionamiento hace que

todo el sistema deje de funcionar, y se tenga así un impacto negativo sobre el

negocio y los usuarios.”12

Cada vez que un sistema se expande (añadiendo una estación de trabajo a una

red, o añadiendo nuevas aplicaciones a una red de computadores) el número de

lugares donde un Punto Único de Fallo puede ocurrir, también se expandirá.

1.2.1.2 Análisis del impacto del fallo de un componente (CFIA)

Component Failure Impact Analysis (Análisis del Impacto de Fallo de

Componentes). Esta técnica consiste en identificar el impacto que tiene en la

disponibilidad de los servicios TI el fallo de cada elemento de configuración

involucrado.

12 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios

TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007

12

Figura 1. 2 CFIA

El desarrollo del CFIA nos proporciona:

1. Identificar los Elementos de Configuración (CI) que pueden causar un

incidente o falla.

2. Buscar elementos de configuración que no tienen back-up.

3. Evaluar el riesgo de las fallas en cada Elemento de configuración.

4. Justificar inversiones futuras

5. Tiempos de recuperación de los componentes.

13

Para la realización del CFIA se procede a seleccionar un Servicio de TI, y obtener

la lista de Elementos de Configuración de los elementos de la infraestructura

detallada anteriormente.

13 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.

Mejores Prácticas para la Provisión del Servicio. versión 3. 2007

13

Si no hay ninguna Base de Datos de Gestión de Configuración CMDB14, entonces

pedir a documentación, diagramas, y conocimiento en general de las tecnologías

de información a quien corresponda.

A continuación, se lista en una columna, los elementos de configuración CI los

Servicio de TI en la fila superior.

A continuación se realiza el siguiente procedimiento para cada Elemento de

Configuración debajo de cada servicio.

· Marcar una "X" en la columna en caso de que el fallo en dicho CI provoque

un incidente e inoperatividad del servicio.

· Marcar una "A" cuando el CI tiene un respaldo alternativo inmediato que

pueda proporcionar el servicio.

· Marcar una "B" cuando el CI tiene un respaldo alternativo, no tan inmediato

para proporcionar el servicio.

Ahora disponemos de una matriz básica de la CFIA. Cada "X" y "B" es una

responsabilidad potencial.

Para finalizar se debe realizar una matriz que representa a los Elementos de

Configuración, el efecto que produce en las diferentes áreas del negocio, y el total

de usuarios que son afectados por la pérdida de servicios de TI.

1.2.1.3 Análisis por arboles de fallos (FTA)

El Análisis del Árbol de Fallos consiste en analizar cómo se propagan los fallos a

través de la infraestructura y así tener claro su impacto en la disponibilidad del

servicio.

“Las ventajas fundamentales del FTA son:

· Permite realizar cálculos de la Disponibilidad.

· Permite realizar las operaciones sobre el árbol de fallos resultante.

· Permite elegir el nivel deseado de detalle del análisis.

14 CMDB: Central Management Data Base.

14

Para el desarrollo del FTA, se distingue los siguientes sucesos:

· Sucesos Básicos: Puntos terminales del árbol de fallo, como la pérdida

de suministro eléctrico o un error del operador. Los sucesos básicos

no se investigan con más profundidad. Si los sucesos básicos se

investigan con más profundidad, automáticamente se convierten en

sucesos resultantes.

· Sucesos Resultantes: Nodos intermedios del árbol de fallos que resultan

de una combinación de sucesos. Habitualmente, el punto superior del

árbol de fallos es el fallo del servicio TI.

· Sucesos Condicionados: Sucesos que solo ocurren bajo ciertas

condiciones, como por ejemplo, el fallo del equipo de aire

acondicionado solo afectara al servicio TI si la temperatura de los

equipos supera los valores de servicio.

· Sucesos Desencadenantes: Sucesos que lanzan otros sucesos, por

ejemplo, el equipo de detección de la pérdida del suministro

eléctrico puede lanzar el cierre automático de servicios TI.

Estos sucesos se combinan mediante operadores lógicos, como:

· AND: El evento resultante solo sucede cuando todos los sucesos entrantes

ocurren simultáneamente.

· OR: El evento resultante ocurre cuando suceden uno o más de los eventos

entrantes.

· OR exclusivo: El evento resultante solamente ocurre cuando se satisface la

condición de entrada.

· Inhibidor: El evento resultante solamente ocurre cuando no se satisface la

condición de entrada”.15

15 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.

Mejores Prácticas para la Provisión del Servicio. versión 3. 2007

15

1.2.3 GESTIÓN Y ANÁLISIS DE RIESGO

“Análisis del Riesgo: Identifica y determina el nivel de (medida) los riesgos

calculados a partir de los valores estimados de los activos y los valores estimados

de las amenazas y las vulnerabilidades de tales activos.

Gestión del Riesgo: Cubre la identificación, selección y adopción de

contramedidas justificadas por los riesgos identificados para los activos en

términos de su impacto potencial sobre los servicios si ocurriera un fallo, y

la reducción de tales riesgos a un nivel aceptable.”

En esta sección se realizará la búsqueda de cada una de las vulnerabilidades que

posee la organización a los fallos de la configuración y la capacidad de la

organización TI enfocados en el análisis a las configuraciones de cada uno de los

activos tecnológicos de la organización.

Análisis y Gestión de Riesgos es una técnica que se puede utilizar para identificar

y cuantificar los riesgos además de medidas justificadas que se pueden

implementar para proteger la disponibilidad de los sistemas informáticos.

Para este análisis se utiliza el método CRAMM16 (Método de Análisis y Gestión de

Riesgos), la cual es una técnica que consiste en identificar los riesgos y

vulnerabilidades de la infraestructura para implementar contramedidas que los

reduzca.

17

16 CRAMM: Central Computer and Telecommunications Agency

Risk Analysis and Management Method 17 Estructura de la figura tomada de: Office of Government Commerce (OGC). ITIL la Llave para la

Figura 1. 3 Análisis y Gestión de Riesgos

16

1.2.3.1 Método de análisis y gestión de riesgos (CRAMM)

CRAMM proporciona un armazón para calcular el riesgo del recurso, valor y

vulnerabilidades, llamado el Análisis de Riesgo. El armazón también le ayuda a

evitar, reducir, o escoger aceptar estos riesgos, llamado la Gestión de Riesgo.

La idea es que analizando recursos, uno puede comprender el daño potencial

causado por una falla en la Confidencialidad, Integridad o Disponibilidad. CRAMM

puede mitigar el riesgo a un costo efectivo con un análisis estructurado de costos.

Los pasos para realizar un correcto análisis de riesgos, son las siguientes.

1.2.3.1.1 Identificación y valoración de activos

En primer lugar, se define el alcance de la revisión (datos, activos, software, etc).

Aquí se puede utilizar la Base de datos de gestión de configuración CMDB, pero

si no la tenemos se debe preguntar acerca de los datos importantes, software o

activos físicos.

1.2.3.1.2 Identificación y valoración de amenazas

En esta sección se procede a identificar, clasificar y valorar las amenazas las

cuales son agentes capaces de explotar los fallos de seguridad que denominamos

puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los

activos de una empresa.18

Para ello nos basaremos en la siguiente tabla:

Tabla 1. 1 Probabilidad de ocurrencia de un evento determinado

Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 18 http://inf-tek.blogia.com/2009/060203-8.3-amenazas-y-vulnerabilidades.php

Nivel Definición

Alta La amenaza está altamente promovida, y es suficientemente capaz

de llevarse a cabo

Media La amenaza es posible

Baja La amenaza no posee suficiente motivación y capacidad

17

1.2.3.1.3 Identificación y valoración de vulnerabilidades.

En esta sección se procede a identificar, clasificar y valorar las vulnerabilidades

(puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad,

disponibilidad e integridad de la información de un individuo o empresa) 19

Para la identificación de las vulnerabilidades sobre la plataforma de tecnología

nos basamos en los siguientes campos:

Amenaza Humana:

· Robo.

· Hackers.

· Artefactos explosivos.

· Fugas de gas o agua.

· Incendios.

Amenaza Natural

· Inundaciones.

· Sismos.

· Lluvias torrenciales.

· Incendios.

· Terremotos.

Amenaza Tecnológica

· Sabotaje computacional.

· Acceso al centro de cómputo.

· Escasez de energía.

· Fallas en la red.

· Acceso a la red por parte de personas ajenas a la entidad.

· Falla en los dispositivos de almacenamiento del Servidor.

18

· Falla en los dispositivos de almacenamiento de las computadoras.

· Fallo en el hardware de los equipos.

· Configuración incorrecta de aplicaciones.

· Sobredimensionamiento de clientes inalámbricos en la red.

· Virus.

· Falla de capacitación de TI.

1.2.3.1.4 Evaluación de niveles de riesgos

“Un riesgo es la probabilidad de que suceda un evento, impacto o consecuencia

adversos. Se entiende también como la medida de la posibilidad y magnitud de

los impactos adversos, siendo la consecuencia del peligro, y está en relación con

la frecuencia con que se presente el evento.”20

EL proceso de evaluación del riesgo permite a una organización alcanzar los

requerimientos estándar sobre su plataforma tecnológica, con el fin de generar un

plan de implementación de controles que aseguren un ambiente informático

seguro.

El objetivo de la evaluación es identificar y evaluar los riesgos. Los riesgos son

calculados por una combinación de valores de las amenazas, el valor de los

activos y las vulnerabilidades.

1.2.3.1.5 Tratamiento de riesgo

El tratamiento de riesgo se define, como el conjunto de decisiones tomadas con

cada activo de información.

Para el manejo del riesgo se pueden tener en cuenta algunas de las siguientes

opciones, las cuales pueden considerarse cada una de ellas independientemente,

interrelacionadas o en conjunto.

20 Villalva, Juan. Riesgos. http://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtml, 20-07-

2010

19

Aceptar el riesgo: Se basa en aceptar el riesgo, y no tomar medidas para

anularlo, reducirlo o transferirlo.

Anular el riesgo: Reside en eliminar completamente el riesgo mediante cambios

y mejoras sustanciales en los procesos operacionales.

Reducir el riesgo: Se trata de reducir la probabilidad de un riesgo al nivel más

bajo nivel posible. Los métodos generalmente son los más sencillos, económicos

y aplicables.

Transferir el riesgo: Reside en repartir la responsabilidad con otra área o servicio

externo, de igual manera, al transferir el riesgo, éste es minimizado.

1.3 DISEÑO DE LA RECUPERACIÓN

Uno de las características principales de la disponibilidad de la información es la

recuperación de la información, debido a que debe asegurarse un diseño efectivo

para garantizar el retorno a las operaciones normales del negocio cuando fallen

los servicios, tan pronto como sea posible.

Actividades:

Medida de recuperación de incidente

La gestión de la Disponibilidad tiene relación con la Gestión del Incidente,

para determinar parámetros de conocimiento acerca de los fallos y asegurarse la

no repetición de los mismos.

Para determinar de una manera clara la medida de recuperación de incidente es

recomendable:

· Definir procedimientos claros para la medida de recuperación de cada

servicio.

· Definir los roles y responsabilidades claros de los encargados de la

recuperación.

20

Métricas de Recuperación.

En este punto se elaborará una especificación de ciertos parámetros, los cuales

se evaluarán en función del tiempo lo que proporcionará una estimación oportuna

de los procesos para los cuales la recuperación tomará mayor cantidad de tiempo,

y la priorización de los mismos.

Respaldo o Back-Up.

En esta sección, se procede a especificar los parámetros de recuperación,

periodicidad, medio, de los componentes de hardware, software y datos en los

que se basan los servicios de Tecnologías de la Información.

Gestión de Sistemas

Para aumentar los niveles de disponibilidad de la información, se debe proveer al

departamento de TI de herramientas de gestión de sistemas. El correcto uso de

estas herramientas ayuda con la detección y diagnóstico de los fallos permitiendo

una recuperación más eficiente.

Restauración del servicio.

En esta sección se especificarán las acciones a realizar para la recuperación de

un servicio de TI de la organización.

Además se elaborará un ejemplo de interrupción del servicio, y los procedimientos

a realizarse para su restauración.

21

1.4 CONSIDERACIONES DE SEGURIDAD

Los sistemas de información son esenciales para las organizaciones y deben ser

protegidos.

La seguridad de TI consiste en garantizar que los recursos de software y

hardware de una organización se usen responsablemente ya sea por el Área de

Tecnologías de Información como todas las áreas de la organización.

La seguridad informática se resume, por lo general, en tres objetivos principales:

· Integridad: certificar que los datos no han sido modificados por personas no

autorizadas.

· Confidencialidad: garantizar el acceso a la información únicamente por los

individuos autorizados.

· Disponibilidad: asegurar el acceso a la información por personal autorizado

en el momento que lo requieran.

1.4.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES

INFORMÁTICOS

Es muy importante para el departamento de Tecnologías de Información de la

organización, tener claramente definido la persona responsable de la adquisición

de los bienes informáticos, así como las características tanto de hardware como

de software de los equipos a ser adquiridos.

Además de los elementos de software permitido a ser instalados en los equipos.

1.4.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO

En esta sección se determinarán los lineamientos a los que la instalación,

ubicación y disposición de un equipo de cómputo nuevo o reasignado se debe

acoger tales como: área, diagramas de ubicación, suministro eléctrico e

infraestructura de cableado.

22

El objetivo es impedir daños, pérdidas, interrupción de actividades tanto del Área

de Tecnologías de Información, como de las otras Áreas Transversales mediante

la protección del equipamiento de las amenazas indicadas anteriormente.

1.4.3 SEGURIDAD DE LA INFORMACIÓN

La Seguridad de la Información se basa en cuidar y proteger la información, en el

interior de la organización mediante la aplicación de medidas preventivas y

reactivas coordinadas por el personal de Tecnologías de la información.

“La seguridad de la información comprende diversos aspectos entre ellos la

disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la

integridad, confidencialidad, recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a una cierta

información es el objeto de la seguridad de la información y la seguridad

informática. Más concretamente, la seguridad de la información tiene como

objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no

autorizada de información.” 21

1.4.4 SEGURIDAD FÍSICA Y DEL ENTORNO

El objetivo principal es impedir el acceso físico no autorizado, daños e

interferencia en las instalaciones e información de la organización, así como

impedir pérdidas, exposiciones al riesgo de los activos mediante la protección de

la información crítica.

Para la protección contra amenazas externas y del ambiente, se recomienda que

se diseñe y aplique medios de protección contra daños potenciales causados por

fuego, inundación, terremoto, y otras formas del hombre en áreas protegidas.

21 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

23

1.4.5 GESTIÓN DE COMUNICACIONES Y OPERACIONES

El objetivo es asegurar la operación correcta y segura de los recursos de

tratamiento de información.

Se recomienda establecer responsabilidades y procedimientos para la gestión y

operación de todos los recursos para el tratamiento de la información.

1.4.6 GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS

DE CÓMPUTO.

El objetivo es mantener la integridad y la disponibilidad de los servicios,

aplicaciones y medios externos de la información.

Se recomienda establecer procedimientos rutinarios de respaldo para realizar

copias de seguridad y probar su puntual recuperación, basándose en una

evaluación de riesgos para determinar los activos de información más relevantes.

1.4.7 SEGURIDAD DE LA RED

El objetivo es asegurar la protección de la información en redes y la protección de

la infraestructura de soporte.

1.4.8 MONITORIZACIÓN

El objetivo es detectar las actividades de manipulación de información no

autorizadas.

Se recomienda monitorear los sistemas y los eventos de la seguridad de

información registrados. El registro de los operadores y los registros de fallos

deberían ser usados para garantizar la identificación de los problemas del sistema

de información.

El monitoreo del sistema debería ser utilizado para verificar la efectividad de los

controles adoptados.

24

1.5 MANTENIMIENTO DEL PLAN

Es de vital importancia para una organización, proyectar el mantenimiento del

Plan de Disponibilidad, el cual debe ser elaborado con proyección a futuro, y con

opciones de mejora continua.

Uno de los resultados principales del proceso de Gestión de la Disponibilidad es

la creación de un Plan de Disponibilidad, el cual debe ser a largo plazo para la

mejora proactiva de la disponibilidad considerando las limitaciones de costo

impuesto.

25

CAPÍTULO 2

ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA

ORGANIZACIÓN.

En el presente capítulo se realiza una descripción general de la

organización GRUPO FARO, en la cual se aplicara el desarrollo del Plan de

Disponibilidad de Tecnologías de la Información (TI), mediante el uso de las

buenas prácticas de la librería ITIL.

2.1 ANTECEDENTES

“El 17 de diciembre 2004, doce ciudadanos crearon Grupo FARO debido a la

necesidad de contar con un espacio independiente (a partidista) que apoye las

capacidades institucionales del Estado, la sociedad civil y el sector privado para

generar políticas públicas más cercanas a los y las ciudadanas.

En poco tiempo, Grupo FARO atrajo gente emprendedora que tenía en mente

aportar al bien público desde diferentes visiones políticas, conocimiento y

experiencia.

Cuando Grupo FARO nació, la inestabilidad política era tal que era casi imposible

promover políticas públicas a largo plazo. Por ello, desarrolló gran flexibilidad para

adaptarse a instituciones inestables y promover un espacio de dialogo plural e

informado en un país fragmentado política e ideológicamente.

Ahora, ha llegado el tiempo de construir sobre lo avanzado y, sin dejar de ser

flexibles, innovadores y creativos, comenzar a pensar y actuar de forma

estratégica. Grupo FARO tiene hoy el desafío de comenzar a creer en la

posibilidad de ver el futuro como la historia que quiere escribir. Se siente

orgulloso de lo avanzado y humilde frente a los desafíos que le quedan por

delante. A pesar de ello, Grupo FARO crece firme y convencido de que la visión

se cumplirá con el aporte de ciudadanos y ciudadanas unidos a favor del bien

público.”22

22 http://www.grupofaro.org/node/172

26

2.2 DESCRIPCIÓN DE LA ORGANIZACIÓN

“Grupo FARO surgió de la necesidad de contar con un espacio independiente y

apartidista que apoye las capacidades institucionales del Estado ecuatoriano, a la

sociedad civil y al sector privado pues los tres sectores deben tener una

equitativa y activa participación en la creación de políticas públicas más cercanas

a los ciudadanos.

Figura 2. 1 Personal Grupo FARO 2011 ”23

“Grupo FARO (Fundación para el Avance para las Reformas y las Oportunidades)

tomó su nombre de la torre vigía localizada en las costas y usada para guiar a las

embarcaciones

Grupo FARO orienta sus esfuerzos al fortalecimiento de la “esfera pública”,

entendida como el espacio donde se encuentra el Estado, la sociedad civil y el

sector privado para la deliberación de los desafíos comunes, la generación de

soluciones innovadoras y la acción colectiva para implementarlas.

En suma, el nombre Grupo FARO, es símbolo de colaboración, de generación de

conocimiento.”24

23

Quiénes somos http://www.grupofaro.org/node/518 24 Qué significa Grupo FARO - http://www.grupofaro.org/node/517

27

2.2.1 CONSTITUCIÓN GRUPO FARO

2.2.1.1 Miembros fundadores

¨Los miembros fundadores de Grupo FARO en el año 2004 fueron:

Orazio Bellettini.

Elizabeth Linn Coombs.

Brunella Bellettini.

María José Gil Llorenti.

Jorge Alberto Ramírez.

Fernando Straface.

Álvaro Vivanco.

Diego Grijalva.

Vinicio KarAtamaint.

Camilo Páez Quevedo.

María Paula Romo.

Carolina Vizcaíno¨.25

2.2.1.2 Consejo ejecutivo

“El Consejo Ejecutivo está compuesto por los (as) directores (as) de las diferentes

áreas y ejes de trabajo de la organización. Entre sus funciones se encuentran

definir los lineamientos estratégicos y operativos de la organización durante la

ejecución de sus actividades a lo largo del año, así como ejercer un liderazgo que

inspire a los y las integrantes de la organización a innovarse permanentemente

para contribuir con soluciones a los principales desafíos de Ecuador y América

Latina.”26

2.2.1.3 Consejo asesor

“El Consejo Asesor está conformado por un grupo de profesionales, ecuatorianos

y extranjeros, que se han destacado en sus respectivas áreas de conocimiento.

Apoyan los fines y gestión de Grupo FARO.

25 Miembros Fundadores - http://www.grupofaro.org/node/178 26 Consejo ejecutivo - http://www.grupofaro.org/node/576

28

Se trata de un cuerpo asesor y consultivo cuya función es participar activamente

en los procesos que apoyen el cumplimiento de su misión, visión y teoría de

cambio. Asimismo, participan en la planificación y actualización de la agenda de

investigación de Grupo FARO.

Sus integrantes son los siguientes:

Manuel Alcántara, Director del Centro de Estudios Latinoamericanos del Instituto

Ortega y Gasset de la Universidad Autónoma de Madrid.

Paúl Carrillo, Economista graduado en la Universidad Católica del Ecuador,

Master y PhD en Economía en la Universidad de Virginia. Se desempeñó como

Investigador del Banco Central del Ecuador y actualmente es Profesor Asociado

de Microeconomía y Economía Regional de la George Washington University.

Merilee Grindle, Profesora la Cátedra Edward Mason de Desarrollo Internacional

en la Escuela Kennedy de Gobierno en la Universidad de Harvard y Directora del

Centro David Rockfeller de Estudios para América Latina.

Ricardo Hausmann, Director del Centro de Estudios Internacionales de la

Universidad de Harvard y Profesor de Desarrollo Internacional de la Escuela

Kennedy de Gobierno de la Universidad de Harvard.

Grace Jaramillo, Máster en políticas públicas y relaciones internacionales de la

Universidad de Pittsburgh - EEUU. Investigadora, articulista de diario EL

COMERCIO y actual coordinadora del programa de relaciones internacionales de

la Facultad Latinoamericana de Ciencias Sociales (FLACSO).

Yolanda Kakabadse, Su vínculo con la conservación ambiental comenzó

oficialmente en 1979, cuando fue nombrada Directora Ejecutiva de Fundación

Natura en Quito. Fue Presidente de la Unión Mundial para la Conservación

(UICN) desde 1996 hasta 2004 y Miembro del Directorio del Instituto de Recursos

Mundiales (WRI), durante el mismo período. Fue co-Presidente del Grupo de

Trabajo sobre Sustentabilidad Ambiental del Proyecto del Milenio, 2002 – 2005.

29

Robert Klitgaard, Profesor de la Cátedra Ford de Desarrollo y Seguridad

Internacional y Presidente de la Universidad de Claremont.

Andrés Mejía, Ph.D. en Ciencias Políticas de la Universidad de Norte Dame,

2004 e investigador en el Instituto de Ciencias del Desarrollo, Universidad Sussex,

UK.

David Robalino, Máster en Economía en la Universidad de Sorbona, Francia y un

PhD en Análisis de Políticas Públicas en la Pardee Rand GraduateSchool.

Actualmente se desempeña como Investigador Principal del Banco Mundial en

temas de reformas a los sistemas de seguridad social.

Andrés Velasco, Profesor Titular de la Cátedra Sumitomo de Economía

Internacional en la Escuela de Gobierno John F. Kennedy School de la

Universidad de Harvard y fundador de la Corporación Expansiva.”27

.

2.2.1.4 Colaboradores

Los faristas son personas que tienen todas las competencias (conocimientos,

destrezas, y actitudes) necesarias para cumplir la misión, la visión, y los objetivos

de Grupo FARO, con el fin de hacer que la organización continúe formándose y

desarrollándose.

Estas competencias están divididas en tres áreas centrales: investigación,

desarrollo de capacidades, y comunicación e incidencia política y; en cuatro

ejes de intervención: ambiente y sociedad, equidad y oportunidades sociales,

gobernanza de lo público y sociedad de la información.

27 Consejo Asesor - http://www.grupofaro.org/node/179

30

2.2.2 DATOS GENERALES

Grupo FARO - Centro de Investigación de Políticas Públicas

Dirección: Gregorio Bobadilla N38-88 y Granda Centeno

Teléfono: (593 2) 2 456 367 ext. 11

Fax: (593 2) 2 264 719

Casilla postal: 17-16-135

Mail: info@grupofaro.org

Figura 2. 2 Ubicación Grupo FARO28

2.2.3 MISIÓN, VISIÓN, PERSPECTIVA

La misión, visión, objetivos estratégicos y valores de la empresa que se indican a

continuación, han sido tomados del Documento “La Empresa GRUPO FARO S.A”.

2.2.3.1 Misión

¨Incidir en políticas públicas para construir una sociedad más democrática,

innovadora, sustentable e incluyente a través de la investigación, el diálogo

informado y la acción colectiva.

28 http://www.grupofaro.org/node/726

31

2.2.3.2 Visión

Grupo FARO será reconocido globalmente como un centro de políticas públicas

que promueve en Ecuador y América Latina el desarrollo sostenible basado en el

conocimiento.¨29

2.2.3.3 Perspectiva

Desde la perspectiva de Grupo FARO, los cambios en Ecuador se han producido

por la imposición de un grupo económico, político, ideológico, regional o étnico

sobre el resto de la sociedad. Desde nuestra visión, esto es causado por tres de

los que consideramos los principales problemas de nuestro país:

Fragmentación: el Ecuador se caracteriza por una alta fragmentación política,

social, económica, geográfica, que ha determinado la dificultad de llegar a

consensos.

Nuestra visión es que cambios impuestos, producto de la fragmentación y la

dificultad de actuar por el bien común, no contribuyen al progreso de la sociedad

ni son sostenibles en el tiempo. Creemos que cambios duraderos ocurren cuando

diferentes grupos de la sociedad (públicos y privados) coinciden en la definición

de un problema y, sobre todo, asumen responsabilidades compartidas para

resolverlo.

29Misión y Visión Grupo FARO. En internet: http://www.grupofaro.org/node/173

32

2.2.4 ESTRUCTURA ORGANIZACIONAL

En la Figura 2.3 se muestra el organigrama de la organización GRUPO FARO.

Figura 2. 3 Organigrama GRUPO FARO30

A continuación se describe a cada una de las áreas de GRUPO FARO:

Consejo directivo

“El Consejo Directivo es el máximo órgano de gobierno de Grupo FARO y está

conformado por un cuerpo colegiado y plural. Sus miembros son personas de

diversa formación e identidad profesional, ideológica, política, religiosa y cultural;

cuya participación agrega valor al trabajo de la organización.

Dirección Ejecutiva

Representa legal y oficialmente a Grupo FARO. Propone estrategias y coordina la

gestión de fuentes de financiamiento; genera espacios de concertación, alianzas y

acuerdos para garantizar el desarrollo óptimo de las actividades de la

organización. Lidera la gestión institucional mediante el direccionamiento

estratégico. 30http://grupofaro.org/sites/default/files/recursos/archivos/2011/2011-10-27/Diapositiva1.jpg

33

Guía y apoya el establecimiento de políticas y normas que fortalezcan la

institucionalidad y coadyuda al cumplimiento de la misión, vela por el desarrollo de

programas y el cumplimiento de los requisitos establecidos en los convenios.” 31

Subdirección

Se encarga de coordinar la elaboración de los Planes estratégico, operativo

anual de Grupo FARO mediante el seguimiento, monitoreo y evaluación de su

avance.

Informa periódicamente acerca del avance de los planes institucionales y

ejecuciones presupuestarias.

Adicionalmente, se encarga de coordinar la solución de problemas administrativos

y de recursos humanos que dificultan el desarrollo de los proyectos

Área Administrativa Financiera

Administra los recursos financieros y materiales de la Organización; gestiona el

presupuesto, y la contabilidad; y, presta servicios administrativos en el marco de

las leyes y normativas vigentes.

Programar, formular, ejecutar y liquidar el presupuesto de la Organización en el

marco de las disposiciones legales y políticas del organismo, además de conocer

y aprobar los presupuestos de los proyectos

Asesora al Director Ejecutivo y unidades administrativas en materia

presupuestaria, contable y financiera.

Área de Investigación

Esta área es la encargada de impulsar, apoyar y monitorear la realización de las

investigaciones de los diferentes ejes de intervención, con el acompañamiento

continuo en las investigaciones que se están creando que, además de generar los

conocimientos necesarios, sean una fuente de evidencia para la concepción de

políticas públicas. Está compuesta por su Directora y una investigadora del área,

a medida que transcurra el tiempo la dirección va a tener la posibilidad de crecer y

tener más investigadores que consoliden el trabajo que se realiza.

31

http://www.grupofaro.org/node/338

34

Además apoya en el proceso de investigación para que sea relevante dentro de la

esfera pública de Ecuador, no sólo que trasciendan el campo específico de cada

uno de los ejes de intervención sino que con su fundamento sea fuente de

evidencia para incidir en políticas públicas.

Área de Desarrollo de Capacidades

Se encarga de normar y coordinar acciones para desarrollar capacidades tanto

para el personal de la Organización como para los actores sociales que

participan en la ejecución de programas y proyectos, de tal forma que se

fortalezcan sus habilidades individuales y de grupo para realizar tareas, resolver

problemas, establecer y alcanzar objetivos de forma sustentable.

Área de Comunicación e Incidencia Política

El área de Comunicación e incidencia política difunde las ideas, las propuestas

y/o resultados de sus investigaciones entre los actores internos (personal de GF)

y externos (grupos de interés). Propone e implementa estrategias, procesos y

políticas comunicacionales para promocionar y fortalecer la imagen institucional.

Es una de las áreas transversales que desde este enfoque único apoya a las

áreas transversales y temáticas para cumplir la misión y visión organizacional.

Propicia alianzas con los distintos niveles de gobierno, sector privado y sociedad

civil a través de diálogos informados y publicaciones que recogen la investigación

y aporte de Grupo FARO.

La gestión técnica de los investigadores de GF se sostiene con el apoyo de las

estrategias de comunicación porque solo así tienen la capacidad de apoyar la

toma de decisiones de diversos actores públicos, privados y de la sociedad civil.

Por ello, se llevan a cabo diálogos informados, alianzas estratégicas con medios

de comunicación y acercamiento directo con grupos de interés. 32

32http://www.grupofaro.org/node/335

35

Eje de Ambiente y Sociedad

El eje de Ambiente y Sociedad busca entender y analizar la relación entre el

cambio ambiental y el cambio social. ¿Qué impulsa y provoca estos cambios a

nivel local, nacional, regional o global? ¿Cuál es el impacto que tienen estos

cambios en la sociedad, la economía y la institucionalidad? El propósito de este

eje es incidir efectivamente en las políticas públicas que el país se plantea para

alcanzar el desarrollo sustentable, desde las modalidades de intervención

de Grupo FARO: generación de evidencia (investigación), desarrollo de

capacidades y comunicación.

Eje de Equidad y Oportunidades Sociales

El Eje de Equidad y Oportunidades Sociales propone políticas y prácticas que

permiten acortar las brechas que existen en la población para acceder a los

servicios sociales, en especial en aquellas etapas de mayor vulnerabilidad del ser

humano (infancia, enfermedad y desarraigo). El objetivo es que todas las

personas alcancen su potencial en libertad y solidaridad.

Durante los últimos años, las políticas sociales han adquirido gran relevancia, lo

que se puede evidenciar con la alta inversión que ha recibido el sector.

También realiza monitoreo de las políticas públicas sociales tanto en sus aspectos

técnicos como políticos para promover un diálogo informado que permita lograr

propuestas creativas para resolver estos problemas.

Eje de Gobernanza de lo Público

Investiga el rol del Estado y su relación con los miembros de la sociedad civil,

la empresa privada y el sector público. Promueve la transparencia y el acceso a la

información pública de forma oportuna, actualizada y ciudadana como el primer

paso para un mayor involucramiento de la ciudadanía en las decisiones de su

gobierno. Su estrategia de intervención, a través de éste y otros ejes temáticos

de Grupo FARO, es la transparencia.33

33http://www.grupofaro.org/node/58

36

Eje de Sociedad de la Información

Es un eje cuyo objetivo es buscar, generar una cultura de información y

conocimiento para generar en la sociedad participación proactiva en los

procedimientos y procesos democráticos. Promueve el acceso igualitario a la

información para la generación del conocimiento y la participación proactiva y

democrática de los actores sociales. Un país capaz de generar conocimiento

podrá potenciarlo como motor de desarrollo social, económico y político.34

Personal de apoyo operativo (recepción)

Se encarga del área de recepción, así como de la logística de los eventos internos

de Grupo FARO. Además de colaborar con Administración Financiera mediante la

entrega y verificación de firmado de cheques y comprobantes de retención.

2.3 PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE

LA ORGANIZACIÓN

2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN

El departamento de TI es dirigido por el Administrador de Red, el cual está

encargado de brindar asesoría y soporte a todas las áreas administrativas y

transversales de GRUPO FARO.

Entre las tareas del área de tecnologías de información, están las siguientes

· Crear y administrar una política de seguridad, acerca de accesos y uso del

sistema y aplicaciones, permisos y seguridad física.

· Administración de usuarios: Creación y mantenimiento de cuentas,

actualización de permisos de acceso a bases de datos y aplicaciones.

· El mantenimiento de sistema operativo: Revisar actualizaciones y asegurar

el normal funcionamiento del sistema, programar las actividades de

mantenimiento.

· Administrar periféricos: Asegurar accesos y el normal funcionamiento de

estaciones de trabajo e impresoras.

34

http://www.grupofaro.org/node/57

37

· Administrar licencias del software de servidor y periféricos.

· Gestionar oportunamente la recuperación y puesta en marcha del sistema

en caso de fallas de hardware, energía o comunicaciones.

· Monitor de rendimiento del sistema.

· Crear y mantener el sistema de archivos del servidor central.

· Instalar el software nuevo y sus actualizaciones.

· Crear y ejecutar la política de copias de seguridad y recuperación.

· Administrar la red de comunicaciones: accesos, configuración y normal

operación.

2.3.1.1 Estructura del departamento ti de la organización

Cuenta con una persona que se encarga de administrar la Infraestructura de la

Red, de realizar Backups, mantenimiento de Hardware y Software,

adquisición de insumos y equipos informáticos, soporte a usuarios, creación de

cuentas de usuario e implementación de proyectos tecnológicos.

El departamento Ti se encarga del Área tecnológico y de dar soporte a los

usuarios. El área de TI es la responsable de dar apoyo a los usuarios en las

aplicaciones tanto en soporte en software como office, correo electrónico a

aplicaciones internas de FARO además de proporcionar la infraestructura

tecnológica.

En GRUPO FARO, existen aproximadamente 50 equipos de computación, donde

alrededor de 25 son computadores portátiles (laptops), 15 son computadores de

escritorio (desktops) y 9 computadores Mac.

El departamento de TI es dirigido bajo políticas de control y seguridad que le

permiten operar dentro de los formatos apropiados en relación a la administración

de la información.

38

2.3.1.2 Áreas relacionadas con el departamento de TI

Los principales departamentos relacionados con el departamento de Tecnologías

de Información son el departamento Administrativo- financiero, dirección y

subdirección, comunicación e incidencia política, investigación. Están altamente

conectados y obtienen los mayores recursos TI.

En menor grado pero no menos importantes los ejes de: Ambiente y Sociedad,

Gobernanza de lo público, Equidad y oportunidades sociales, Sociedad de la

Información.

2.3.1.3 Descripción de los Perfiles y Responsabilidades del Área de TI

Administrador de Tecnologías de Información

Misión del Cargo: Administrar y controlar proyectos y recursos tecnológicos

siguiendo las políticas y estándares de la corporación para asegurar y mejorar la

operación del negocio.

Departamento

de TI

Administración Dirección

Subdirección

Comunicación e

Incidencia

Política

InvestigaciónEjes de

proyectos

Ambiente y

Sociedad

Gobernanza de

lo público

Equidad y

oportunidades

Sociedad de la

Información

Figura 2. 4 Áreas relacionadas al departamento de TI

39

Relaciones de Trabajo:

Relaciones Internas

Área N B I C

Administración x

Dirección X

Comunicación X

Investigación X

Ejes Proyectos X

N: Ninguna B: Básica I: Importante C:Crítica

Tabla 2. 1 Relaciones internas del Administrador de TI

Relaciones Externas

Entes N B I C

Proveedores x

Clientes X

Proyectos Externos x

N: Ninguna B: Básica I:Importante C:Crítica

Tabla 2. 2 Relaciones Externas del Administrador de TI.

Responsabilidad y Funciones:

• Programar planes de mantenimiento de infraestructura (RED, Servidores,

Comunicaciones) y aplicaciones para mantener funcionamiento de los

mismos.

• Programar implementaciones tecnológicas definidas por la corporación

para mejorar y mantener la operación.

• Supervisar el apropiado desenvolvimiento de las operaciones dentro del

área, con la finalidad de garantizar el fiel cumplimiento de los controles

internos &Sistema Contable.

• Supervisión de servicios tercerizados para garantizar la normal operación

del negocio.

• Supervisar las actividades de desarrollo e infraestructura para lograr

eficiencia en los procesos.

40

• Programar los planes de contingencia sobre servidores y acceso a red con

la finalidad de mantener operativo el negocio.

• Programar nuevo requerimiento de usuario o necesidades internas de

información para mejorar la gestión y la toma decisión.

• Reportar, investigar y manejar de manera puntual actos y condiciones

deficientes e identificar aspectos y riesgos.

Educación: Ingeniero en Sistemas y/o Analista de Sistemas

Conocimiento: CCNA Cisco; Servidores Windows Server 2008; Plataforma

Microsoft Office 2007; Instalación y Recuperación de Hardware y Software;

mantenimiento correctivo y preventivo de hardware.

Experiencia: Mínima 2 años en cargos similares.

Habilidades: Trabajo bajo presión, Habilidad numérica, Habilidad analítica,

Trabajo en equipo, Trabajo Individual, Responsabilidad, Interacción y

Comunicación Social y Orientación a los resultados.

2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI

El Área de TI de la GRUPO FARO detalla el inventario de los equipos que posee

a cargo.

2.3.2.1 Servidores

Nombre PC SRV-AP

Nombre Usuario Administrador

Sistema Operativo

Nombre SO Microsoft® Windows Server® 2008

Standard

Versión SO 6.0.6001

Memoria Física Libre 2274 MB

41

Memoria Paginación Libre 6418 MB

Memoria Virtual Libre 8502 MB

Processor MainBoard

Procesador

Nombre CPU Intel(R) Xeon(R) CPU E5620 @

2.40GHz

Frecuencia de reloj 2399Mhz

Max. Frecuencia de reloj 2399Mhz

Reloj Externo 133Mhz

Nº Serie BFEBFBFF000206C2

CPU ID Intel64 Family 6 Model 44 Stepping 2

MemoryDevice

Memoria Total 6132 MB

Memoria Usada 3859 MB

Memoria Libre 2273 MB

Memoria Usada Porcentaje 62%

Memoria Física

Descripción PhysicalMemory 2

Disp. Localizado PROC 1 DIMM 3

Velocidad 1333Mhz

Unidad de disco

Nombre HP LOGICAL VOLUME SCSI Disk

Device

Capacidad 500GB

Tipo Bus SCSI

Particiones 2

Unidad de CD-ROM

Nombre hp DVDROM DH20N ATA Device

42

Letra E:

Estado OK

Network

Conexión de área local

Nombre del Producto Gigabit Ethernet Broadcom NetXtreme

Dirección MAC 1C:C1:DE:E8:07:38

Conexión de área local 2

Nombre del Producto Gigabit Ethernet Broadcom NetXtreme

Fichero Driver b57nd60a

Manufactura Broadcom

Dirección MAC 1C:C1:DE:E8:07:39

Tabla 2. 3 Características hardware Servidor Grupo FARO

43

RE

SP

ON

SA

BL

EM

AR

CA

PR

OC

ES

AD

OR

ME

MO

RIA

RA

MD

ISC

O

DU

RO

SIS

TE

MA

OP

ER

AT

IVO

Fra

nci

sco S

an

che

zA

sus

K5

3S

VA

S1

Inte

l co

re i5

- 2

41

0M

2.3

Gh

z3

GB

64

0 G

bW

ind

ow

s 7

Ho

me

Pre

miu

m (

64

bit)

Ale

jan

dra

Va

ldiv

ieso

TO

SH

IBA

Sa

télit

e L

30

5-5

59

24

Inte

l Pe

ntiu

m 4

2

,2 G

Hz

2G

B1

60

GB

Win

do

ws

Xp

Pro

fess

ion

al S

P3

Jazz

min

Arm

as

Ge

né

rico

Inte

l Core

2 D

uo

3.6

Gh

z4

GB

50

0´G

BW

ind

ow

s 7

ho

me

Pre

miu

m

Lo

red

an

na

Me

din

aH

P a

64

30

1a

In

tel C

ore

2 d

uo

2.6

6 G

Hz

3G

B5

00

GB

Win

do

ws

Vis

ta H

om

e e

dic

ión

Ma

yra C

ab

eza

sH

P a

64

30

1a

In

tel C

ore

2 d

uo

2.6

6 G

Hz

3G

B5

00

GB

Win

do

ws

Vis

ta H

om

e e

dic

ión

Est

efa

nia

de

la C

ruz

Ge

né

rico

Pro

cesa

do

r In

tel C

ore

i7 2

60

0 -

- 3

,4G

HZ

4G

B1

00

0G

BW

ind

ow

s 7

Ulti

ma

te 6

4 b

its

Ma

ritza

Agu

irre

Asu

s K

53

SV

AS

1In

tel C

ore

i5-2

41

0M

(2

.3 G

Hz

6G

B o

f D

DR

36

40

GB

W

ind

ow

s 7

Ho

me

Pre

miu

m (

64

bit)

Sig

rid V

ásc

on

ez

Ma

c I

nte

l C

ore

2 d

uo

1 G

B1

20

GB

MA

C O

S X

10

.5

Dan

iel B

ravo

Po

rta

til H

PC

OR

E i5

2 G

B5

00

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

Mire

ya V

illaci

sT

OS

HIB

A S

até

lite

L6

55

-

sp4

13

51

Inte

l Core

i33

GB

32

0 G

BW

ind

ow

s 7

Ho

me

Pre

miu

n

Est

efa

nía

Ch

arv

et

Ace

r A

spire

48

30

T2

.53

GH

z In

tel C

ore

i3-3

80

M d

ua

l-co

re p

roce

sso

r4

GB

50

0 G

BW

ind

ow

s 7

Ho

me

Pre

miu

m

2.3.

2.2

Eq

uip

os

En

la T

ab

la 2

.4 s

e p

rese

nta

la u

na

list

a d

e eq

uip

os

adm

inis

trad

os

po

r e

l de

part

ame

nto

de

TI

de G

RU

PO

FA

RO

.

44

RE

SP

ON

SA

BL

E

MA

RC

A

PR

OC

ES

AD

OR

M

EM

OR

IA

RA

M

DIS

CO

DU

RO

SIS

TE

MA

OP

ER

AT

IVO

Ma

ria

Dolo

res

Liz

arz

ab

uru

Po

rta

til H

PIn

tel c

ore

2 D

uo

2 G

B3

20

GB

Win

do

ws

7 H

om

e P

rem

ium

Dan

iela

de

la T

orr

eM

AC

Inte

l Core

2 d

uo

2 G

B2

50

GB

MA

C O

S X

10

.5

Ga

brie

la E

razo

To

shib

a S

ate

llite

L5

05

D-

SP

60

13

RIn

tel C

ore

2 d

uo

3 G

B3

20

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

Dan

iel A

lme

ida

Ga

tew

ay

nte

l ®

Co

re ™

2

1 G

B1

20

GB

Win

do

ws

Xp

Pro

fess

ion

al S

P3

Lis

eth

Est

eve

zIM

AC

Core

i3 3

,06

Gh

z,4

GB

50

0 G

BM

AC

OS

X 1

0.6

Fra

nci

sco D

elg

ad

oC

OM

PA

QIn

tel C

ore

2 D

uo

2 G

B3

20

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

Ale

jan

dro

Mo

yaA

sus

In

tel c

ore

du

o d

e 1

,6 G

hz

4 G

B3

20

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

Pa

san

te 1

Ge

né

rico

AM

D S

ep

rón

4 G

B3

20

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

An

dre

a Z

um

árr

aga

Ge

né

rico

Inte

l co

re 2

du

o2

GB

50

0 G

BW

ind

ow

s X

p P

rofe

ssio

na

l SP

3

Dia

na

Bo

lañ

os

Ge

né

rico

Inte

l Pe

ntiu

m I

II X

eo

n2

GB

32

0 G

BW

ind

ow

s X

p P

rofe

ssio

na

l SP

3

Mó

nic

a O

rozc

oC

OM

PA

QIn

tel C

ore

2 D

uo

2 G

B3

20

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

45

RE

SP

ON

SA

BL

E

MA

RC

A

PR

OC

ES

AD

OR

M

EM

OR

IA

RA

M

DIS

CO

DU

RO

SIS

TE

MA

OP

ER

AT

IVO

Da

vid

Avi

lés

Ge

né

rico

Inte

l Pe

ntiu

m I

II X

eo

n2

GB

32

0 G

BW

ind

ow

s X

p P

rofe

ssio

na

l SP

3

Jua

n J

ose

He

rre

raG

en

éric

oC

en

trin

o P

en

tium

4

1,7

GH

z5

12

MB

80

GB

Win

do

ws

Xp

Pro

fess

ion

al S

P3

Ma

be

l An

dra

de

MA

CP

roce

sad

or

Inte

l Co

re i5

2.3

Gh

z4

GB

32

0 G

BM

AC

OS

X 1

0.6

Julio

Ló

pe

zT

OS

HIB

AIn

tel c

ore

2 d

uo

2 G

B3

20

GB

Win

do

ws

Xp

Pro

fess

ion

al S

P3

Ma

. C

arm

en

Pa

nto

jaA

sus

Inte

l co

re d

uo

de

1,6

Gh

z4

GB

32

0 G

BW

IND

OW

S 7

PR

OF

ES

SIO

NA

L

Est

eb

an

Tin

oco

AS

PIR

E O

NE

53

2H

-22

38

N

AV

50

Inte

l AT

OM

N4

50

2

GB

25

0 G

BW

ind

ow

s X

p P

rofe

ssio

na

l SP

3

Ma

ría

Pa

z Je

rvis

CO

MP

AQ

Inte

l Co

re 2

Du

o2

GB

32

0 G

BW

IND

OW

S 7

PR

OF

ES

SIO

NA

L

An

dre

a O

rdo

ñe

zA

sus

In

tel c

ore

du

o d

e 1

,6 G

hz

4 G

B3

20

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

Ad

rian

a V

iteri

Asu

s

Inte

l co

re d

uo

de

1,6

Gh

z4

GB

32

0 G

BW

IND

OW

S 7

PR

OF

ES

SIO

NA

L

Julio

Ech

eve

rría

MA

CP

roce

sad

or

Inte

l Co

re i5

2.3

Gh

z4

GB

32

0 G

BM

AC

OS

X 1

0.6

Alic

ia A

rias

MA

CP

roce

sad

or

Inte

l Co

re i5

2.3

Gh

z4

GB

32

0 G

BM

AC

OS

X 1

0.6

Josu

e L

op

ez

To

shib

aIn

tel C

ore

i33

GB

32

0 G

BW

IND

OW

S 7

PR

OF

ES

SIO

NA

L

Pa

ul M

ed

ina

To

shib

aP

roce

sad

or

Co

re i7

4 G

B6

00

GB

WIN

DO

WS

7 P

RO

FE

SS

ION

AL

46

Jorg

e A

ga

ma

AS

PIR

E O

NE

53

2H

-22

38

N

AV

50

Inte

l AT

OM

N4

50

2

GB

25

0 G

BW

ind

ow

s X

p P

rofe

ssio

na

l SP

3

Ora

zio

Be

llett

ini

MA

C I

nte

l Co

re i5

2.3

Gh

z4

GB

32

0 G

BM

AC

OS

X 1

0.6

Ale

xan

dra

Riv

ad

en

eira

AC

ER

I

nte

l Co

re i5

2.3

Gh

z4

GB

64

0 G

BW

ind

ow

s 7

Ho

me

Pre

miu

m

Gu

ille

rmo

Jim

bo

SO

NY

Inte

l Co

re i5

48

0M

- 2

,66

Gh

z4

GB

64

0 G

BW

ind

ow

s 7

Ulti

ma

te

Ivá

n B

orja

MA

C I

nte

l Co

re 2

du

o2

GB

25

0 G

BM

AC

OS

X 1

0.6

Pa

ul S

ala

zar

HP

Pa

vilo

n D

V4

In

tel C

ore

2 d

uo

3 G

B3

20

GB

Win

do

ws

Vis

ta h

om

e e

dito

n

Fra

nci

sco

En

ríqu

ez

AC

ER

In

tel C

ore

2 d

uo

4 G

B5

00

GB

Win

do

ws

Vis

ta h

om

e e

dito

n

Ma

ría

Ga

brie

la F

lore

sT

OS

HIB

AIn

tel C

ore

i34

GB

50

0 G

BW

ind

ow

s 7

Ulti

ma

te

An

ab

el C

ast

illo

Asu

s

Inte

l co

re d

uo

de

1,6

Gh

z4

GB

32

0 G

BW

ind

ow

s 7

Ho

me

Pre

miu

m

DE

LL

De

ll X

PS

m1

40

Pro

cesa

do

r P

en

tium

1,7

Gh

z,5

12

MB

60

GB

Win

do

ws

Xp

Pro

fess

ion

al S

P3

LIB

RE

MA

CIn

tel d

ua

l co

re5

12

MB

40

G

BM

AC

OS

X 1

0.4

LIB

RE

--

Ma

be

l An

dra

de

MA

CIn

tel d

ua

l co

re5

12

MB

40

G

BM

AC

OS

X 1

0.4

AU

DIT

OR

IAG

en

érico

Inte

l co

re 2

du

o1

GB

80

GB

Win

do

ws

Xp

Pro

fess

ion

al S

P3

RE

SP

ON

SA

BL

E

MA

RC

A

PR

OC

ES

AD

OR

M

EM

OR

IA

RA

M

DIS

CO

DU

RO

SIS

TE

MA

OP

ER

AT

IVO

Tab

la 2

. 4

L

ista

de

eq

uip

os

adm

inis

trad

os

po

r e

l dep

art

am

ento

de

TI.

47

2.3.2.3 Otros dispositivos

En la Tabla 2.5 se muestra el inventario de otros dispositivos administrados por el

departamento de TI de la empresa GRUPO FARO.

CANTIDAD DISPOSITIVO

2 Proyectores

2 Impresora matricial

2 Impresora a tinta

1 Impresora multifuncional

1 Modem

3 Switch

1 UPS

2 Routers Inalámbricos

1 Disco Duro Externo

1 Central Telefónica

Tabla 2. 5 Otros dispositivos administrados por el departamento de TI.

2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO

Internet: El servicio de internet es proporcionado por SATNET, y es

distribuido a la organización sin restricción de ancho de banda.

Red: La topología de la red de la Infraestructura tecnológica de GRUPO FARO es

de tipo estrella por ser la de mayor uso en redes por la confiabilidad y estabilidad

que ofrece.

El cableado estructurado de la red es conformado por cable UTP Categoría 5e,

para la comunicación entre el modem y el proveedor, se usa cable coaxial.

No se cuenta con un firewall, y tampoco con un antivirus corporativo.

Correo electrónico es proporcionado por Google Apps, aprovechando los

beneficios que se obtienen como organización no gubernamental.

48

2.3.4 DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL

DEPARTAMENTO DE TI

En la Tabla 2.6 se describe los servicios que soporta el departamento de TI de la

empresa RELIANCE.

SERVICIO DE TI DESCRIPCIÓN

Microsoft Office Word Herramienta ofimática – procesamiento de texto

Microsoft Office Excel Herramienta ofimática – hoja de cálculo

Microsoft Office PowerPoint Herramienta ofimática – elaboración de

presentaciones.

Correo Electrónico Aplicación de correo electrónico, usado para

envío y recepción de e-mails, tanto a nivel

interno como externo de la empresa, servicio

proporcionado por Google Apps.

Internet Red pública usada para la comunicación,

búsqueda y transferencia de información, la cual

permite la interconexión con otras redes,

provista por TVCABLE.

Google Docs. Servicio de biblioteca de documentos usado

para crear, guardar y compartir documentos, a

los usuarios del dominio interno @grupofaro.org

Mensajería interna Chat de comunicación interna de la organización

Servidor de Archivos Partición disponible para almacenar información

importante, de la cual se obtiene respaldos de

forma periódica.

Scanner Captura y digitalización de imágenes,

documentos de texto, y transferencia de los

mismos a una carpeta en red para su acceso.

Impresoras Impresión de documentos.

Copiadoras Copiado de documentos.

Fax Servicio de envío y recepción de documentos

vía telefónica.

49

SERVICIO DE TI DESCRIPCIÓN

Conferencia Conferencia mediante central POLYCOM.

UPS Sistema de alimentación de energía

ininterrumpida, que permite proporcionar

energía a un dispositivo en el caso de

interrupción eléctrica.

DBSYS (Sistema contable ) Sistema contable que permite la elaboración de

contabilidad y presupuestos.

AURAPORTAL (BPMS) Suite de administración de procesos internos de

la organización.

Antivirus Aplicación informática que permite prevenir,

detectar y eliminar virus informáticos.

Adobe Reader Software utilizado para apertura, lectura e

impresión de documentos electrónicos con la

extensión “ .pdf ”.

Skype Software utilizado para la realización de

videoconferencias a través de la red pública

Internet.

Enlaces de cableado Comunicación con servidores mediante

cableado UTP cat. 5e.

Enlace Mireles Comunicación con servidores mediante red

inalámbrica con seguridad respectiva, SSID

grupo Faro.

Central telefónica Servicio de telefonía fija.

VNC Aplicación de asistencia remota a usuarios de la

organización.

Equipos de computación y

componentes

Material necesario para administración de

infraestructura de TI.

Tabla 2. 6 Descripción de los servicios soportados por el departamento de

TI

50

2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI

En la Tabla 2.7 se muestra la lista de procesos del departamento de TI de la

empresa GRUPO FARO.

PROCESO DE TI DESCRIPCIÓN PERIODICIDAD

Soporte a usuarios

Proceso encargado de

ayudar a satisfacer las

necesidades de los

usuarios con respecto a la

correcta utilización de los

equipos de TI tanto a nivel

de hardware y software.

Cada vez que un

usuario de la

organización lo

requiere.

Adquisición de

Software

Proceso encargado del

asesoramiento y

adquisición de nuevos

paquetes de software.

Cada vez que un área

de la organización lo

requiere.

Mantenimiento y soporte

del sistema DBSYS

Proceso encargado de

asegurar que la

información administrada

por el sistema DBSYS sea

precisa, consistente y esté

disponible a los usuarios

cuando estos lo necesiten y

en la forma requerida,

especialmente para el área

Administrativa Financiera

de GRUPO FARO.

Diario.

51

PROCESO DE TI DESCRIPCIÓN PERIODICIDAD

Adquisición de equipos

Proceso encargado del

asesoramiento y

adquisición de hardware,

mediante la elaboración de

cotizaciones y la elección

de la mejor opción.

Cada vez que un área

de la organización lo

requiere.

Mantenimiento de

software

Proceso encargado de la

revisión del software

utilizado en la organización,

para mantener en estado

óptimo el funcionamiento

de los equipos de

computación.

Cada vez que se

solicite un

requerimiento por los

usuarios.

Creación de usuarios

Proceso encargado de

registrar a los ejecutivos en

Active Directory.

Cada vez que ingresa

un usuario a la

organización.

Obtención de

Backups

El proceso de back-ups

consiste en sacar un

respaldo de las unidades

de Red, y de los servidores

que tienen aplicaciones

locales como Aura Portal,

Dbsys, etc.

Semanalmente.

Mantenimiento de red

cableada

Proceso encargado de la

revisión de los equipos

activos red cableada de

GRUPO FARO.

Diario.

52

PROCESO DE TI DESCRIPCIÓN PERIODICIDAD

Mantenimiento de red

inalámbrica

Actividades encargadas de

la revisión de los equipos

activos la red inalámbrica

de GRUPO FARO, para

mantener en estado óptimo

el funcionamiento de los

equipos de computación.

Quincenal.

Soporte a usuarios

Proceso encargado de

ayudar a satisfacer las

necesidades de los

usuarios con respecto a la

correcta utilización de los

equipos de TI tanto a nivel

de hardware y software.

Diario.

Capacitación de

Usuarios

Capacitación realizada a

nivel de software usado

dentro de GRUPO FARO.

Depende del ingreso

de nuevo personal,

así como del uso de

nuevas aplicaciones

de software.

Tabla 2. 7 Listado de Procesos del Departamento de TI. 35

2.4 NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO

FARO

Se elaborará un plan de Disponibilidad de Tecnologías de Información, debido a

que no existe ninguna clase de procedimiento a seguir en caso de fallos en la red

de comunicaciones, ni energía eléctrica, y menos una política acerca del manejo

de fallas de disponibilidad con los servicios externos contratados.

35 Autor: Alejandro Velasco GRUPO FARO

53

El principal servicio crítico para la organización es el Internet, debido a que se

utiliza la plataforma de Google Apps @grupofaro.org, en la que se encuentran los

servicios de correo electrónico (Gmail), calendario en línea (Google Calendar),

Google Docs., Google Setes, y Google Chat para mensajería interna, los cuales

son utilizados permanentemente por los usuarios.

Además del Sistema contable Dbsys, el cual se encuentra en el Servidor Físico,

mediante el cual se realizan todas las actividades pertinentes al Área

Administrativa financiera tales como : Elaboración del rol de pagos, cheques,

impuestos, etc.

Otro servicio crítico que se dispone implementar es un BPMS Aura Portal,

mediante el cual se planea modelizar los procesos operativos de la organización y

ponerlos en ejecución automática, al cual ingresarán todos los usuarios de la

organización, mediante la red interna.

· A continuación se indican los principales factores que requiere GRUPO

FARO en la disponibilidad de TI:

• Reducir costos de operación y de adquisición de TI.

• Monitorizar los servicios de TI.

• Incrementar la calidad y satisfacción de los usuarios.

• Incrementar la agilidad de TI para adaptarse a los cambios y

requerimientos constantes del negocio.

• Mejorar la infraestructura y servicios TI con el objetivo de aumentar los

niveles de disponibilidad.

54

CAPÍTULO 3

ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE

TI.

En este capítulo se determinarán los requisitos de disponibilidad identificando las

actividades Vitales del Negocio y su relación con las TI mediante encuestas al

personal administrativo, mapeando las actividades realizadas con los servicios,

prestados por el departamento de TI.

Posteriormente se realizará el levantamiento de información en lo que se refiere a

hardware y software activo y pasivo de la organización.

Entonces, se realizará el Análisis de Puntos individuales de Fallo de componentes

aplicando los mejores métodos descritos en la librerías, además del Análisis de

Riesgo y en base a los resultados se especificarán criterios acerca de la gestión

de riesgo, recuperación de los servicios, métricas de recuperación y

consideraciones de seguridad.

Este plan permitirá tener una visión de las actividades a ser realizadas para

mejorar la disponibilidad de los servicios TI, además de la infraestructura

tecnológica actual de la organización.

Se realizarán pruebas con interrupciones específicas a un servicio crítico, y

gracias a los criterios presentados anteriormente, evaluar los resultados del Plan

de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta

al mismo.

Después se determinarán los requisitos de disponibilidad, mediante los cuales se

pueden determinar las necesidades respecto a la Disponibilidad de las

Tecnologías de Información.

Gracias a la determinación de los requisitos de disponibilidad, se podrá evaluar si

la infraestructura de TI de la organización, puede proporcionar los niveles

necesarios de disponibilidad.

55

A continuación se realizará la actividad de diseño.

Las actividades de diseño son:

· El Diseño de la Disponibilidad.

· El Diseño de la Recuperación.

· Consideraciones sobre Seguridad.

· Mantenimiento del Plan de Disponibilidad.

La gestión de disponibilidad debe garantizar que los niveles de disponibilidad

cumplan lo acordado en los servicios que se entreguen de manera eficiente

mediante una relación costo-beneficio.

Para conseguirlo la Gestión de Disponibilidad puede realizar actividades reactivas

y proactivas.

Actividades reactivas

Las actividades reactivas de la Gestión de Disponibilidad consisten en monitorear,

medir, analizar, reportar y revisar todos los aspectos de la disponibilidad de

componentes y servicios.

En cualquier lugar donde sean detectadas las brechas de disponibilidad, estos

son investigados, y se ejecutan acciones correctivas. Estas operaciones son

incluidas generalmente en los roles operativos.

Actividades proactivas

Para ser eficaz, la gestión de disponibilidad debería tener actividades proactivas,

las cuales se centran en una planificación y en una implicación en la mejora de la

disponibilidad.

Las actividades proactivas de la Gestión de Disponibilidad implican:

· Análisis y Gestión de Riesgo.

· Programas de pruebas de disponibilidad.

56

· Análisis de Impacto de Fallo de Componentes (CFIA).

· Análisis de Punto Individuales de Fallo (SPOF).

· Análisis por Árboles de Fallos (FTA).

En la Figura 3.1 se presentan las actividades Reactivas y Proactivas, y como

estas se interrelacionan entre sí.

Figura 3. 1 Actividades proactivas y reactivas 36

36 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.

Mejores Prácticas para la Provisión del Servicio. versión 3. 2007

57

3.1 MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL

NEGOCIO

En la Tabla 3.1 podemos se muestran los Servicios de TI administrados por el

departamento de Tecnología y las Áreas que utilizan dichos servicios.

Las encuestas se realizaron mediante la herramienta Survey Monkey37, con la

cual se pueden realizar encuestas en línea gratuitamente.

El formato y los resultados de las encuestas, se los puede encontrar en:

Anexo 1: GF- Formato Encuesta ON-LINE.

Anexo 8 - GF-Tabulación encuestas ON-LINE.

ÁREA SERVICIO DE TI

Dirección ejecutiva Word

Excel

Power Point

Correo electrónico

Chat Google

Google Docs

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Copiadora Ricoh Aficio MP 171

Fax Ricoh Aficio MP171

Antivirus

Internet Inalámbrico

Central telefónica Polycom

Central telefónica

Área Administrativa

Financiera

Word

Excel

Power Point

Correo electrónico

Chat Google

Google Docs

Msm Messenger

Documentos Compartidos

37 http://es.surveymonkey.com/

58

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Copiadora Ricoh Aficio MP 171

Impresora Epson Planta Baja

Impresora EPSON LX-300

Impresora Matricial Epson Administración

Sistema Contable DBSYS

Software Impuestos

Antivirus

Acceso Remoto

Internet Cableado

Servidor de archivos (carpetas compartidas)

Área de Investigación Word

Excel

Power Point

Access

Correo electrónico

Chat Google

Google Docs

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Fax Ricoh Aficio MP171

Antivirus

Adobe Acrobat

Central telefónica Polycom

Skype

Otros

Paquetes estadísticos

Área de Desarrollo de

Capacidades

Word

Power Point

Correo electrónico

Google Docs

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Copiadora Ricoh Aficio MP 171

Antivirus

Adobe Acrobat

Acceso Remoto

Internet Inalámbrico

59

Central telefónica

Skype

Área de Comunicación e

Incidencia Política

Word

Excel

Power Point

Correo electrónico

Chat Google

Google Docs

Impresora Ricoh Aficio MP171

Copiadora Ricoh Aficio MP 171

Impresora EPSON LX-300

Adobe Acrobat

Internet Inalámbrico

Skype

Redes sociales, Adobe para diseño gráfico, google analytics,

Eje de Ambiente y Sociedad Word

Excel

Power Point

Correo electrónico

Chat Google

Google Docs

Impresora Ricoh Aficio MP171

Antivirus

Adobe Acrobat

Internet Inalámbrico

Central telefónica

Skype

Eje de Gobernanza de lo

Público

Word

Excel

Power Point

Correo electrónico

Chat Google

Google Docs

Msm Messenger

Documentos Compartidos

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Copiadora Ricoh Aficio MP 171

60

Antivirus

Adobe Acrobat

Internet Inalámbrico

Internet Cableado

Servidor de archivos (carpetas compartidas)

Skype

Eje de Equidad y

Oportunidades Sociales

Word

Excel

Power Point

Correo electrónico

Chat Google

Google Docs

Documentos Compartidos

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Copiadora Ricoh Aficio MP 171

Antivirus

Adobe Acrobat

Internet Inalámbrico

Central telefónica

Skype

SPSS

Eje de Sociedad de la

Información

Word

Excel

Power Point

Correo electrónico

Chat Google

Google Docs

Msm Messenger

Documentos Compartidos

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Copiadora Ricoh Aficio MP 171

Fax Ricoh Aficio MP171

Impresora Epson Planta Baja

Impresora EPSON LX-300

Antivirus

Adobe Acrobat

Acceso Remoto

61

Internet Inalámbrico

Central telefónica Polycom

Internet Cableado

Central telefónica

Servidor de archivos (carpetas compartidas)

Skype

Personal de apoyo operativo

(recepción)

Word

Excel

Power Point

Access

Correo electrónico

Chat Google

Google Docs

Impresora Ricoh Aficio MP171

Escáner Ricoh Aficio MP 171

Copiadora Ricoh Aficio MP 171

Fax Ricoh Aficio MP171

Impresora Epson Planta Baja

Impresora EPSON LX-300

Impresora Matricial Epson Administración

Adobe Acrobat

Internet Inalámbrico

Central telefónica Polycom

Central telefónica

Servidor de archivos (carpetas compartidas)

Tabla 3. 1 Servicios de TI administrados por el departamento de

Tecnología.

3.1.1 ACTIVIDADES DEL NEGOCIO

En la Tabla 3.2 se describen las actividades del negocio que se presentan en

cada Área, además de si se relacionan con las Tecnologías de Información, y el

principal servicio de estas. El formato de la encuesta se encuentra en: Anexo 2:

GF-Formato encuesta Funciones e Impactos financiero y operacional.

La tabulación de los datos se encuentra en:

Anexo 7: GF-Tabulación encuestas Grupo FARO.

62

ÁREA DEL NEGOCIO PROCESO DEL NEGOCIO RELACIONADA CON

TI

SI NO

Dirección ejecutiva Colaboración en el proceso de selección de

personal

1

Levantamiento de fondos 1

Generación de actas de reuniones 1

Auxiliar Contable Revisión de cuentas 1

Revisión, orden y clasificación de archivos 1

Conciliaciones Bancarias 1

Cuadrar Proyectos 1

Secuencia de retenciones 1

Asistente Financiera -

Contable

Registro de Facturas 1

Emisión de cheques 1

Carga de transferencias 1

Registro de reembolso de gastos 1

Depósitos, Débitos e ingresos 1

Asistente Contable Revisión de cuentas 1

Revisión de documentación física 1

Realización de conciliaciones bancarias 1

Revisión del centro de costos 1

Preparación de carpetas para auditorias 1

Analista de Reportes Control Presupuestario 1

Cronograma de Informes Financieros 1

Informes al donante 1

Revisión de documentación - respaldo 1

Revisión y preparación de presupuestos

1

63

ÁREA DEL NEGOCIO PROCESO DEL NEGOCIO RELACIONADA CON

TI

SI NO

Coordinadora

Financiera -Contable

Supervisar y Coordinar la ejecución de

procesos contables

1

Obtener y revisar informes financieros 1

Declaración de Impuestos y similares 1

Revisión, ejecución mensual del

presupuesto institucional

1

Revisión de informes de donantes 1

Área de Investigación Revisión de documentos académicos para

investigaciones internas

1

Organización de temas relacionados con

eventos

1

colaboración con tareas administrativas del

Área de Investigación

1

Área de Comunicación

e Incidencia Política

Supervisar editorial y publicaciones de

GRUPO FARO

1

Supervisar estándares de calidad de los

eventos de GRUPO FARO

1

Desarrollo de reuniones estratégicas para el

área de Comunicación

1

Monitoreo de medios 1

Relación con públicos externos de

comunicación

1

Revisión y actualización de inventario de

Área de Comunicación

1

elaboración y actualización de Bases de

Datos de contactos

1

Personal de apoyo

operativo (recepción y

mensajería)

Verificar estado tributario de las facturas 1

Recibir y entregar facturas a sus

responsables

1

Elaborar solicitudes de pago

correspondientes al presupuesto

institucional

1

Elaborar adquisiciones de bienes y/o

contrataciones de servicios

1

64

Mantener actualizado el inventario de

suministros

1

Entregar y retirar documentación 1

Realizar el mantenimiento y apoyar con la

limpieza de oficinas

1

Efectuar cobros y pagos 1

Realizar trámites en instituciones financieras 1

Administración de TI Administración de usuarios 1

Mantenimiento preventivo y correctivo de

Servidores.

1

Administración de periféricos 1

Administración de licencias del software del

servidor y periféricos

1

Soporte técnico in situm y remoto. 1

Monitorear el rendimiento del sistema. 1

Mantenimiento del sistema de archivos del

servidor central.

1

Instalación de software y sus

actualizaciones.

1

Creación y ejecución de copias de seguridad

y recuperación.

1

Tabla 3. 2 Funciones y Procesos del negocio, y su relación con TI

3.2 ELEMENTOS DE CONFIGURACIÓN (CI)

¨Los elementos de configuración son todos, tanto los componentes pertenecientes

a la infraestructura tecnológica de la organización, como los servicios de TI. Los

cuales pueden ser:

Elementos de configuración de hardware: PCs, impresoras, routers, etc. así como

sus componentes: tarjetas de red, teclados, lectores de CDs.

Elementos de configuración de Software: Sistemas Operativos, aplicaciones.

Elementos de configuración de Documentación: manuales, acuerdos de

niveles de servicio.

65

En resumen, todos los componentes que han de ser gestionados por la

organización TI.¨38

3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDWARE

En esta sección se expondrá una lista de los dispositivos de hardware que se

encuentran instalados en la infraestructura tecnológica de Grupo Faro.

Como elementos de configuración, se considerarán los siguientes:

· Desktops.

· Laptops.

· Impresoras.

· Switches.

· Servidores.

· Access Points.

· Routers.

· Interfaces de Red.

· Alimentador de Energía.

3.2.1.1 Desktops

En la Tabla 3. 3, se muestran los ordenadores, administrados por el departamento

de TI de Grupo FARO, con sus respectivas características.

Las Desktops se representan mediante el identificador ¨ DSK ¨.

ID USUARIO PROCESADOR MEMORIA RAM DISCO

DURO

DSK1 Jazmín Armas Intel Core 2 Duo 3.6Ghz 4GB 500 GB

DSK2 Belén Abata Intel Core 2 duo 2.66 GHz 3GB 500GB

DSK3 Alexandra Luje Intel Core 2 duo 2.66 GHz 3GB 500GB

38

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_configuraciones/introduccion_objetivos_g

estion_de_configuraciones/definiciones_gestion_de_configuraciones.php

66

DSK4 Andrea

Zumárraga

Core i3 3,06Ghz, 4 GB 500 GB

DSK5 Tics Intel Pentium III Xeon 2 GB 320 GB

DSK6 Tics Intel Pentium III Xeon 2 GB 320 GB

DSK7 Pasantía Intel Core i3 3 GB 320 GB

Tabla 3. 3 Equipos Desktop administrados por el departamento de TI

3.2.1.2 Laptops

La Tabla 3. 4contiene una lista de todas las computadoras portátiles que se

encuentran en Grupo Faro.

Las Laptops se representan mediante el identificador ¨ LAP ¨.

ID USUARIO PROCESADOR MEMORIA

RAM

DISCO

DURO

LAP1 Hernan Abril Intel core i5- 2410M 2.3Ghz 3GB 640 Gb

LAP2 Stephanie de la

Cruz

Intel Pentium 4 2,2 GHz 2GB 160 GB

LAP3 Elizabeth Tello Intel Core 2 duo 2.66 GHz 3GB 500GB

LAP4 Maria Tobar Intel Core 2 duo 2.66 GHz 3GB 500GB

LAP5 Ana Lucia Tenelema Procesador Intel Core i7 2600 --

3,4GHZ

4GB 1000GB

LAP6 Yolanda Telpiz Intel Core i5-2410M (2.3 GHz 6GB 640GB

LAP7 Sigrid Vásconez Intel Core 2 duo 1 GB 120 GB

LAP8 Daniel Bravo CORE i5 2 GB 500 GB

LAP9 Mireya Villacis Intel Core i3 3 GB 320 GB

LAP10 Estefanía Charvet 2.53 GHz Intel Core i3-380M dual-

core processor

4 GB 500 GB

LAP11 Maria Dolores

Lizarzaburu

Intel core 2 Duo 2 GB 320 GB

LAP12 Daniela de la Torre Intel Core 2 duo 2 GB 250 GB

LAP13 Gabriela Erazo Intel Core 2 duo 3 GB 320 GB

LAP14 Daniel Almeida Intel ® Core ™ 2 1 GB 120 GB

LAP15 Alejandro Moya Intel core duo de 1,6 GHz 4 GB 320 GB

67

ID USUARIO PROCESADOR MEMORIA

RAM

DISCO

DURO

LAP16 Andrea Zumárraga Intel core 2 duo 2 GB 500 GB

LAP17 Mónica Orozco Intel Core 2 Duo 2 GB 320 GB

LAP18 Juan José Herrera Centrino Pentium 4 1,7 GHz 512 MB 80 GB

LAP19 Mabel Andrade Procesador Intel Core i5 2.3Ghz 4 GB 320 GB

LAP20 Julio López Intel core 2 duo 2 GB 320 GB

LAP21 Ma. Carmen Pantoja Intel core duo de 1,6 Ghz 4 GB 320 GB

LAP22 Esteban Tinoco Intel ATOM N450 2 GB 250 GB

LAP23 María Paz Jervis Intel Core 2 Duo 2 GB 320 GB

LAP24 Andrea Ordoñez Intel core duo de 1,6 Ghz 4 GB 320 GB

LAP25 Marcela Morales Intel core duo de 1,6 Ghz 4 GB 320 GB

LAP26 Julio Echeverría Procesador Intel Core i5 2.3Ghz 4 GB 320 GB

LAP27 Alicia Arias Procesador Intel Core i5 2.3Ghz 4 GB 320 GB

LAP28 Josué López Intel Core i3 3 GB 320 GB

LAP29 Paul Medina Procesador Core i7 4 GB 600 GB

LAP30 Jorge Agama Intel ATOM N450 2 GB 250 GB

LAP31 Orazio Bellettini Intel Core i5 2.3Ghz 4 GB 320 GB

LAP32 Alexandra Rivad Intel Core i5 2.3Ghz 4 GB 640 GB

LAP33 Iván Borja Intel Core 2 duo 2 GB 250 GB

LAP34 Paul Salazar Intel Core 2 duo 3 GB 320 GB

LAP35 Francisco Enríquez Intel Core 2 duo 4 GB 500 GB

LAP36 Gabriela Flores Intel Core i3 4 GB 500 GB

LAP37 Anabel Castillo Intel core duo de 1,6 Ghz 4 GB 320 GB

LAP38 DELL Procesador Pentium 1,7 Ghz, 512 MB 60 GB

LAP39 Mabel Andrade 512 MB 40 GB

LAP40 AUDITORIA Intel core 2 duo 1 GB 80 GB

LAP41 AUDITORIA Intel core 2 duo 1 GB 80 GB

LAP42 LIBRE Intel core 2 duo 1 GB 80 GB

Tabla 3. 4 Equipos Laptop administrados por el departamento de TI

68

3.2.1.3 Impresoras

En la Tabla 3. 5 se presentan las impresoras compartidas en red y conectadas

directamente a ciertos equipos de Grupo FARO, además de los usuarios que

tienen acceso a impresión.

ID Modelo Tipo

I1 EPSON LX300 - II Matricial

I2 EPSON L200 Tinta

Tabla 3. 5 Impresoras Matriciales y de tinta administradas por el

departamento de TI

En la se presentan las características de la impresora de red instalada en Grupo

Faro, la cual se comparte mediante TCP/IP para todas las áreas de la

organización.

Las impresoras se representan mediante el identificador ¨ I ¨.

ID Modelo Dirección

I3 Ricoh Aficio MP 171 – B/N 192.168.10.143

I4 Ricoh Aficio MPC 400 – Color 192.168.10.146

Tabla 3. 6 Impresoras en Red administradas por el departamento de TI

3.2.1.4 Switches

En la tabla 3.7 se indican los switches administrados por el departamento de TI de

Grupo FARO.

Los switches se representan mediante el identificados ¨ SWI ¨.

ID Modelo Número de puertos

SWI1 Dlink – DES 1008 A 8

SWI2 Dlink – DES 1008 A 8

SWI3 Cisco SF200 24

Tabla 3. 7 Switches administrados por el departamento de TI

69

3.2.1.5 Servidores

En la Tabla 3.8 se presentan las características de los equipos servidores

administrados por el departamento de TI de Grupo FARO.

Los servidores se representan mediante el identificados ¨ SRV ¨.

ID Tipo Aplicación Procesador RAM Disco

Duro

RAID

SRV1 Físico WEB Server IIS Intel64 Family 6

Model 44 Stepping 2

6 GB 500 GB RAID 1

SRV2 Virtual Active Directory - 2 GB 20 GB -

SRV3 Virtual SQL - 2 GB 20 GB -

SRV4 Físico Servidor archivos Intel Core 2 DUO E

4600 2,4 Ghz

4 GB 500 GB

Tabla 3. 8 Servidores administrados por el departamento de TI

3.2.1.6 Access Points

En la Tabla 3.9 se presentan las características de Access-points administrados

por el departamento de TI de Grupo FARO.

Los Access Points se representan mediante el identificados ¨ AP ¨.

ID Marca Modelo Puertos

LAN

Puertos

WAN

AP1 Trendnet Trendnet 639 GR 4 1

AP2 CISCO WRT 310 N 4 1

Tabla 3. 9 Access Point administrados por el departamento de TI

3.2.1.7 Modem

En la Tabla 3.10 se presentan las características del Modem administrados por el

departamento de TI de Grupo FARO.

70

El Modem se representa mediante el identificados ¨ M ¨.

ID Marca Modelo Puertos

LAN

Puertos

teléfono

M1 Arris TM602G / 115 1 2

Tabla 3. 10 Modem administrado por el departamento de TI

3.2.1.8 Unidades de Almacenamiento

En la tabla 3.11 se presenta una lista de equipos de unidades de almacenamiento

tales como discos duros que se encuentran en las máquinas y que son

administrados por el departamento de TI.

Los dispositivos de disco duro, se representan mediante el identificador ¨ HD ¨.

ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD

HD1 Unidad de disco Hernan Abril 640 Gb

HD2 Unidad de disco Stephanie de la Cruz 160 GB

HD3 Unidad de disco Elizabeth Tello 500 GB

HD4 Unidad de disco Alexandra Luje 500GB

HD5 Unidad de disco Ana Lucia Tenelema 500GB

HD6 Unidad de disco Yolanda Telpiz 1000GB

HD7 Unidad de disco Sigrid Vásconez 120 GB

HD8 Unidad de disco Daniel Bravo 500 GB

HD9 Unidad de disco Mireya Villacis 320 GB

HD10 Unidad de disco Estefanía Charvet 500 GB

HD11 Unidad de disco Maria Dolores Lizarzaburu 320 GB

HD12 Unidad de disco Daniela de la Torre 250 GB

HD13 Unidad de disco Gabriela Erazo 320 GB

ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD

HD14 Unidad de disco Daniel Almeida 120 GB

71

HD15 Unidad de disco Liseth Estevez 500 GB

HD16 Unidad de disco Francisco Delgado 320 GB

HD17 Unidad de disco Alejandro Moya 320 GB

HD18 Unidad de disco Pasante 1 320 GB

HD19 Unidad de disco Andrea Zumárraga 500 GB

HD20 Unidad de disco Diana Bolaños 320 GB

HD21 Unidad de disco Mónica Orozco 320 GB

HD22 Unidad de disco David Avilés 320 GB

HD23 Unidad de disco Juan José Herrera 80 GB

HD24 Unidad de disco Mabel Andrade 320 GB

HD25 Unidad de disco Julio López 320 GB

HD26 Unidad de disco Ma. Carmen Pantoja 320 GB

HD27 Unidad de disco Esteban Tinoco 250 GB

HD28 Unidad de disco María Paz Jervis 320 GB

HD29 Unidad de disco Andrea Ordoñez 320 GB

HD30 Unidad de disco Marcela Morales 320 GB

HD31 Unidad de disco Julio Echeverría 320 GB

HD32 Unidad de disco Alicia Arias 320 GB

HD33 Unidad de disco Josué López 320 GB

HD34 Unidad de disco Paul Medina 600 GB

HD35 Unidad de disco Jorge Agama 250 GB

HD36 Unidad de disco Orazio Bellettini 320 GB

HD37 Unidad de disco Alexandra Rivadeneira 640 GB

HD38 Unidad de disco Guillermo Jimbo 640 GB

HD39 Unidad de disco Iván Borja 250 GB

HD40 Unidad de disco Paul Salazar 320 GB

ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD

HD41 Unidad de disco Francisco Enríquez 500 GB

HD42 Unidad de disco María Gabriela Flores 500 GB

72

HD43 Unidad de disco Anabel Castillo 320 GB

HD44 Unidad de disco DELL 60 GB

HD45 Unidad de disco LIBRE 40 GB

HD46 Unidad de disco LIBRE -- Mabel Andrade 40 GB

HD47 Unidad de disco AUDITORIA 80 GB

HD48 Unidad de disco AUDITORIA 80 GB

HD49 Unidad de disco LIBRE 80 GB

Tabla 3. 11 Unidades de almacenamiento administradas por el

departamento de TI

3.2.1.9 Sistema de Energía Ininterrumpida

En la Tabla 3.12 se presenta un Dispositivo de Energía Ininterrumpida, que se

encuentran en las máquinas y que son administrados por el departamento de TI.

El Dispositivo de Energía Ininterrumpida UPS, se representa mediante el

identificador ¨ UPS ¨.

ID Marca Modelo

UPS1 APC Smart UPS RT 1500

Tabla 3. 12 UPS administrado por el departamento de TI

3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE

En esta sección se expondrá una lista de los dispositivos de software que se

encuentran instalados en la infraestructura tecnológica de Grupo FARO.

Como elementos de configuración, se considerarán los siguientes:

· Herramientas ofimáticas.

· Sistemas Operativos.

· Sistema BPMS Aura Portal.

73

3.2.2.1 Herramientas Ofimáticas

En la Tabla 3.13 se presenta una lista de las herramientas ofimáticas que son

administradas por el departamento de TI.

Las herramientas operativas, se representan mediante el identificador ¨ SW ¨.

ID SOFTWARE NOMBRE SOFTWARE

SW1 Winrar

SW2 Adobe Acrobat Reader

SW3 Microsoft office 2010

SW4 Mozilla Firefox

SW5 Internet Explorer

SW6 Chrome

SW7 Nero

SW8 Adobe Creative Suite

SW9 Antivirus

SW10 Google Apps

SW11 VNC – Virtual Network computing

SW12 Sistema Contable Dbsys

Tabla 3. 13 Herramientas ofimáticas administradas por el Departamento de

TI.

En la Tabla 3.14, se presentan un extracto de las herramientas ofimáticas

especificadas anteriormente y su frecuencia de uso. Las especificaciones para

cada usuario y el formato de la encuesta, se lo puede encontrar en el Anexo 1:

GF-Formato Encuesta ON-LINE.

La tabulación se encuentra en: Anexo 8: GF-Tabulación encuestas ON-LINE.

74

Usuario ID Software Uso

Jazmín

Armas

SW1 Winrar Rara vez

SW2 Microsoft Office 2010 Frecuente

SW3 Mozilla Firefox Ocasional

SW4 Internet Explorer Ocasional

SW5 Chrome Frecuente

SW8 Antivirus Rara vez

SW9 Gmail Frecuente

Tabla 3. 14 Frecuencia de uso de las herramientas ofimáticas administradas

por el departamento de TI.

3.2.2.2 BPMS Aura Portal

¨Aura Portal es un software empresarial diseñado de origen 100% Internet y

constituido por una ‘suite’ (BPMS) o conjunto que contiene 6 productos.¨39

En la Tabla 3.15 se presentan un resumen de las características de la Suite de

Gestión de Procesos Administrativos que se desea implementar en Grupo FARO.

Bussiness Process Management Suit, se representa mediante el identificador

¨BPMS ¨.

ID NOMBRE SOFTWARE

BPMS1 Aura Portal BPM Suite

Tabla 3. 15 Herramientas de BMP administradas por el departamento de TI

3.2.2.3 Sistemas Operativos

La lista de sistemas Operativos administrados por el departamento de TI se

presenta en la Tabla 3.16.

39 http://www.auraportal.com/ES/ES0-PRODUCTS-BPM-CRM.aspx

75

El Sistema Operativo se representa mediante el identificador ¨SO ¨.

ID NOMBRE SOFTWARE

SO1 Windows XP Professional SP3

SO2 Windows 7 Professional edition

SO3 Windows Server 2008 R2

SO4 Ubuntu versión 10.4

Tabla 3. 16 Sistemas Operativos administrados por el departamento de TI

3.3 DETERMINACIÓN DE REQUERIMIENTOS DE

DISPONIBILIDAD

3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO

Se trata de identificar los diversos eventos que pudieran afectar la continuidad de

sistemas críticos de la información, para ello se realizaron encuestas y entrevistas

al diferente personal que trabaja en Grupo FARO.

El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta

Funciones e Impactos financiero y operacional.

3.3.1.1 Identificar las Funciones y Procesos Críticos de la Organización.

En la Tabla 3.17, se representan las Funciones del negocio40 y Procesos del

negocio41, de las Áreas administrativas de Grupo FARO.

40Un equipo o grupo de personas y las herramientas que usan para llevar a cabo uno o más Procesos o Actividades ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)

41Un Proceso que le pertenece y que lo conduce el Negocio. Un Proceso de Negocio contribuye a la entrega de un producto o Servicio para un Cliente del Negocio. ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)

76

FUNCIÓN DEL NEGOCIO PROCESO DEL NEGOCIO

Dirección ejecutiva Colaboración en el proceso de selección de personal

Levantamiento de fondos

Generación de actas de reuniones

Auxiliar Contable Revisión de cuentas

Revisión, orden y clasificación de archivos

Conciliaciones Bancarias

Cuadrar Proyectos

Secuencia de retenciones

Asistente Financiera - Contable Registro de Facturas

Emisión de cheques

Carga de transferencias

Registro de rembolso de gastos

Asistente Contable Revisión de cuentas

Revisión de documentación física

Realización de conciliaciones bancarias

Revisión del centro de costos

Preparación de carpetas para auditorias

Analista de Reportes Control Presupuestario

Cronograma de Informes Financieros

Informes al donante

Revisión de documentación - respaldo

Revisión y preparación de presupuestos

Coordinadora Financiera -

Contable

Supervisar y Coordinar la ejecución de procesos contables

Obtener y revisar informes financieros

Declaración de Impuestos y similares

Revisión, ejecución mensual del presupuesto institucional

Revisión de informes de donantes

Área de Investigación Revisión de documentos académicos para investigaciones

internas

Organización de temas relacionados con eventos

colaboración con tareas administrativas del Área de

Investigación

77

FUNCIÓN DEL NEGOCIO PROCESO DEL NEGOCIO

Área de Comunicación e

Incidencia Política

Supervisar editorial y publicaciones de GRUPO FARO

Supervisar estándares de calidad de los eventos de GRUPO

FARO

Desarrollo de reuniones estratégicas para el área de

Comunicación

Monitoreo de medios

Relación con públicos externos de comunicación

Revisión y actualización de inventario de Área de

Comunicación

elaboración y actualización de Bases de Datos de contactos

Personal de apoyo operativo

(recepción y mensajería)

Verificar estado tributario de las facturas

Recibir y entregar facturas a sus responsables

Elaborar solicitudes de pago correspondientes al presupuesto

institucional

Elaborar adquisiciones de bienes y/o contrataciones de

servicios

Mantener actualizado el inventario de suministros

Entregar y retirar documentación

Realizar el mantenimiento y apoyar con la limpieza de oficinas

Efectuar cobros y pagos

Realizar trámites en instituciones financieras

Tabla 3. 17 Funciones y procesos de la organización

3.3.1.2 Evaluar el impacto Financiero – Operacional

3.3.1.2.1 Evaluación del impacto financiero

Como se mencionó en el capítulo anterior, el impacto financiero se evaluará

cuantitativamente considerando los siguientes valores:

78

Impacto Ponderación

No produce impacto 1

Bajo impacto 2

Impacto medio 3

Alto Impacto 4

Tabla 3. 18 Ponderación Impacto Financiero

En la Tabla 3.19 se muestra la información del impacto financiero de todas las

áreas del negocio.

El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta

Funciones e Impactos financiero y operacional.

FUNCIÓN

PROCESO

IMPACTO

FINANCIERO

Dirección ejecutiva Colaboración en el proceso de selección de personal 3

Levantamiento de fondos 4

Generación de actas de reuniones 1

Auxiliar Contable Revisión de cuentas 4

Revisión, orden y clasificación de archivos 4

Conciliaciones Bancarias 4

Cuadrar Proyectos 4

Secuencia de retenciones 4

Asistente

Financiera -

Contable

Registro de Facturas 4

Emisión de cheques 4

Carga de transferencias 3

Registro de rembolso de gastos 4

Depósitos, Débitos e ingresos 4

Asistente Contable Revisión de cuentas 4

Revisión de documentación física 4

Realización de conciliaciones bancarias 4

Revisión del centro de costos 4

Preparación de carpetas para auditorias 4

Analista de

Reportes

Control Presupuestario 4

Cronograma de Informes Financieros 3

Informes al donante 4

Revisión de documentación - respaldo 2

Revisión y preparación de presupuestos 4

79

FUNCIÓN

PROCESO

IMPACTO

FINANCIERO

Coordinadora

Financiera -

Contable

Supervisar y Coordinar la ejecución de procesos

contables

4

Obtener y revisar informes financieros 4

Declaración de Impuestos y similares 4

Revisión, ejecución mensual del presupuesto

institucional

3

Revisión de informes de donantes 3

Área de

Investigación

Revisión de documentos académicos para

investigaciones internas

3

Organización de temas relacionados con eventos 3

colaboración con tareas administrativas del Área de

Investigación

2

Área de

Comunicación e

Incidencia Política

Supervisar editorial y publicaciones de GRUPO FARO 3

Supervisar estándares de calidad de los eventos de

GRUPO FARO

4

Desarrollo de reuniones estratégicas para el área de

Comunicación

4

Monitoreo de medios 4

Relación con públicos externos de comunicación 3

Revisión y actualización de inventario de Área de

Comunicación

1

elaboración y actualización de Bases de Datos de

contactos

1

Personal de apoyo

operativo

(recepción y

mensajería)

Verificar estado tributario de las facturas 3

Recibir y entregar facturas a sus responsables 3

Elaborar solicitudes de pago correspondientes al

presupuesto institucional

2

Elaborar adquisiciones de bienes y/o contrataciones

de servicios

3

Mantener actualizado el inventario de suministros 1

Entregar y retirar documentación 4

Realizar el mantenimiento y apoyar con la limpieza de

oficinas

1

Efectuar cobros y pagos 3

Realizar trámites en instituciones financieras

3

80

FUNCIÓN

PROCESO

IMPACTO

FINANCIERO

Administración de

TI

Administración de usuarios 1

Mantenimiento preventivo y correctivo de Servidores. 3

Administración de periféricos 1

Administración de licencias del software del servidor y

periféricos

2

Soporte técnico in situm y remoto. 1

Monitorear el rendimiento del sistema. 1

Mantenimiento del sistema de archivos del servidor

central.

1

Instalación de software y sus actualizaciones. 2

Creación y ejecución de copias de seguridad y

recuperación.

1

Tabla 3. 19 Evaluación del Impacto Financiero

3.3.1.2.2 Evaluación del impacto estratégico

Para la evaluación del impacto estratégico se tomarán en cuenta los siguientes

factores.

· Falta de confiabilidad operacional.

· Satisfacción al usuario.

· Eficacia en el servicio.

En la siguiente tabla, se muestran los valores a ser tomados para dicha

evaluación.

Impacto Ponderación

No produce impacto Ninguno – 1

Bajo impacto Bajo – 2

Impacto medio Medio – 3

Alto Impacto Alto - 4

Tabla 3. 20 Ponderación del Impacto estratégico

En la Tabla 3.21 Se muestra el impacto estratégico de cada proceso en Grupo

FARO.

El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta

Funciones e Impactos financiero y operacional.

81

FUNCIÓN

PROCESO Clasificación del impacto estratégico

Falta de

confiabilida

d

operacional

Satisfacció

n a los

usuarios

Eficaci

a del

servici

o

Dirección

ejecutiva

Colaboración en el proceso de selección de

personal

3 4 4

Levantamiento de fondos 4 4 4

Generación de actas de reuniones 2 2 2

Auxiliar

Contable

Revisión de cuentas 4 4 4

Revisión, orden y clasificación de archivos 4 3 4

Conciliaciones Bancarias 3 4 4

Cuadrar Proyectos 3 3 4

Secuencia de retenciones 3 3 4

Asistente

Financiera -

Contable

Registro de Facturas 4 4 4

Emisión de cheques 4 4 4

Carga de transferencias 2 2 3

Registro de rembolso de gastos 4 4 4

Depósitos, Débitos e ingresos 4 4 4

Asistente

Contable

Revisión de cuentas 4 4 4

Revisión de documentación física 4 3 4

Realización de conciliaciones bancarias 4 4 4

Revisión del centro de costos 4 4 4

Preparación de carpetas para auditorias 4 4 4

Analista de

Reportes

Control Presupuestario 4 4 4

Cronograma de Informes Financieros 3 3 4

Informes al donante 4 4 4

Revisión de documentación - respaldo 4 4 4

Revisión y preparación de presupuestos 4 4 4

Coordinadora

Financiera -

Contable

Supervisar y Coordinar la ejecución de

procesos contables

4 4 4

Obtener y revisar informes financieros 4 3 3

Declaración de Impuestos y similares 4 4 4

Revisión, ejecución mensual del presupuesto

institucional

3 3 3

Revisión de informes de donantes 3 3 3

Área de

Investigación

Revisión de documentos académicos para

investigaciones internas

4 4 4

Organización de temas relacionados con

eventos

4 4 4

Colaboración con Área de Investigación 4 4 4

82

FUNCIÓN

PROCESO Clasificación del impacto estratégico

Falta de

confiabilida

d

operacional

Satisfacció

n a los

usuarios

Eficaci

a del

servici

o

Supervisar estándares de calidad de los

eventos de GRUPO FARO

4 4 4

Desarrollo de reuniones estratégicas para el

área de Comunicación

3 3 3

Monitoreo de medios 3 4 4

Relación con públicos externos de

comunicación

3 3 3

Revisión y actualización de inventario de Área

de Comunicación

3 4 4

Elaboración y actualización de Bases de Datos 3 4 4

Personal de

apoyo

operativo

(recepción y

mensajería)

Verificar estado tributario de las facturas 2 3 3

Recibir y entregar facturas a sus responsables 2 3 3

Elaborar solicitudes de pago correspondientes

al presupuesto institucional

2 3 3

Elaborar adquisiciones de bienes 2 3 3

Mantener actualizado el inventario de

suministros

1 2 2

Entregar y retirar documentación 3 3 3

Realizar el mantenimiento y apoyar con la

limpieza de oficinas

2 2 2

Efectuar cobros y pagos 2 3 3

Realizar trámites en instituciones financieras 2 3 3

Administració

n de TI

Administración de usuarios 2 2 3

Mantenimiento preventivo y correctivo de

Servidores.

4 3 4

Administración de periféricos 2 2 3

Administración de licencias del software del

servidor y periféricos

4 4 4

Soporte técnico in situm y remoto. 3 3 4

Monitorear el rendimiento del sistema. 2 2 2

Mantenimiento del sistema de archivos del

servidor central.

2 3 2

Instalación de software y sus actualizaciones. 2 2 3

Creación y ejecución de copias de seguridad y

recuperación.

2 2 3

Tabla 3. 21 Evaluación del impacto estratégico

83

3.3.1.3 Identificación de procesos fundamentales de la organización.

Los resultados mostrados en la Tabla 3.19 y la Tabla 3.21 obtenidos del Impacto

Financiero y el Impacto estratégico, permiten identificar los procesos críticos para

la organización.

En la Tabla 3.22 se muestra la suma de los resultados de Impacto Financiero e

Impacto estratégico, para obtener un criterio de los procesos fundamentales los

cuales deberán cumplir los siguientes criterios:

• En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3,

(impacto alto).

• Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto

medio), ó 4 (impacto alto).

84

.FU

NC

IÓN

PR

OC

ES

O

IMP

AC

TO

FIN

AN

CIE

RO

IMP

AC

TO

ES

TR

AT

ÉG

ICO

SU

MA

F

alta

de

con

fiab

ilid

ad

op

erac

ion

al

Sat

isfa

cció

n a

los

usu

ario

s

Efi

caci

a

del

serv

icio

Dir

ecci

ón

eje

cuti

va

Cola

bo

raci

ón

en

el p

roce

so d

e se

lecc

ión

de

pe

rso

nal

3

3

4

4

1

4

Le

van

tam

ien

to d

e f

ond

os

4

4

4

4

16

Ge

ne

raci

ón

de

act

as d

e r

eun

ion

es

1

2

2

2

7

Au

xilia

r C

on

tab

le

Revi

sió

n d

e c

uen

tas

4

4

4

4

16

Revi

sió

n, o

rde

n y

cla

sific

aci

ón

de

arc

hiv

os

4

4

3

4

15

Con

cilia

cion

es

Ba

nca

rias

4

3

4

4

15

Cua

dra

r P

roye

ctos

4

3

3

4

1

4

Se

cuen

cia

de

rete

nci

on

es

4

3

3

4

14

Asi

sten

te

Fin

anci

era

-

Co

nta

ble

Reg

istr

o d

e F

actu

ras

4

4

4

4

16

Em

isió

n d

e c

he

ques

4

4

4

4

1

6

Carg

a d

e tr

ans

fere

nci

as

3

2

2

3

10

Reg

istr

o d

e re

mb

ols

o d

e g

ast

os

4

4

4

4

16

Dep

ósi

tos,

Débi

tos

e in

gre

sos

4

4

4

4

16

Asi

sten

te C

on

tab

le

Revi

sió

n d

e c

uen

tas

4

4

4

4

16

Revi

sió

n d

e d

ocu

men

taci

ón f

ísic

a

4

4

3

4

15

Rea

liza

ció

n d

e c

onc

iliac

ione

s b

an

cari

as

4

4

4

4

16

Revi

sió

n d

el c

entr

o d

e c

ost

os

4

4

4

4

16

Pre

pa

raci

ón d

e c

arp

eta

s pa

ra a

ud

itori

as

4

4

4

4

16

An

alis

ta

de

Rep

ort

es

Con

tro

l Pre

sup

ues

tario

4

4

4

4

1

6

Cro

no

gra

ma

de

Inf

orm

es

Fin

anci

ero

s 3

3

3

4

1

3

Info

rme

s a

l do

nan

te

4

4

4

4

16

Revi

sió

n d

e d

ocu

men

taci

ón -

re

spal

do

2

4

4

4

14

85

Revi

sió

n y

pre

pa

raci

ón

de

pre

sup

uest

os

4

4

4

4

16

.FU

NC

IÓN

PR

OC

ES

O

IMP

AC

TO

FIN

AN

CIE

RO

IMP

AC

TO

ES

TR

AT

ÉG

ICO

S

UM

A

F

alta

de

con

fiab

ilid

ad

op

erac

ion

al

Sat

isfa

cció

n a

los

usu

ario

s

Efi

caci

a

del

serv

icio

Ob

ten

er

y re

visa

r in

form

es

fina

nci

ero

s 4

4

3

3

1

4

Decl

ara

ció

n d

e Im

pu

esto

s y

sim

ilare

s 4

4

4

4

1

6

Revi

sió

n, e

jecu

ción

me

nsu

al d

el p

resu

pues

to in

stitu

cion

al

3

3

3

3

12

Revi

sió

n d

e in

form

es d

e d

ona

nte

s 3

3

3

3

1

2

Áre

a d

e

Inve

stig

ació

n

Revi

sió

n d

e d

ocum

en

tos

aca

dém

icos

p

ara

in

vest

igac

ione

s

inte

rna

s

3

4

4

4

15

Org

an

iza

ció

n d

e t

emas

rel

aci

ona

dos

co

n e

vent

os

3

4

4

4

15

cola

bo

raci

ón c

on

tare

as a

dmin

istr

ativ

as

de

l Áre

a d

e I

nve

stig

ació

n

2

4

4

4

14

Áre

a d

e

Co

mu

nic

ació

n

e

Inci

den

cia

Po

lític

a

Su

pe

rvis

ar

edi

toria

l y p

ublic

acio

ne

s d

e G

RU

PO

FA

RO

3

4

4

4

1

5

Su

pe

rvis

ar

está

nda

res

de

ca

lida

d

de

lo

s e

ven

tos

de

GR

UP

O

FA

RO

4

4

4

4

16

Desa

rrol

lo

de

re

un

ion

es

est

raté

gic

as

pa

ra

el

áre

a

de

Com

uni

caci

ón

4

3

3

3

13

Mo

nito

reo

de

me

dios

4

3

4

4

1

5

Rela

ció

n c

on

pú

blic

os

ext

ern

os

de

com

uni

caci

ón

3

3

3

3

12

Revi

sió

n y

act

ualiz

ació

n d

e in

ven

tario

de

Áre

a d

e C

omu

nica

ció

n

1

3

4

4

12

ela

bo

raci

ón

y a

ctua

liza

ció

n d

e B

ase

s d

e D

ato

s d

e co

nta

cto

s

1

3

4

4

12

86

.FU

NC

IÓN

PR

OC

ES

O

IMP

AC

TO

FIN

AN

CIE

RO

IM

PA

CT

O E

ST

RA

TÉ

GIC

O

F

alta

de

con

fiab

ilid

ad

op

erac

ion

al

Sat

isfa

cció

n a

los

usu

ario

s

Efi

caci

a

del

serv

icio

SU

MA

Reci

bir

y e

ntr

ega

r fa

ctu

ras

a s

us

resp

onsa

ble

s 3

2

3

3

1

1

Ela

bo

rar

solic

itud

es

de

p

ago

co

rre

spo

ndie

nte

s al

p

resu

pu

est

o

inst

ituci

ona

l

2

2

3

3

10

Ela

bo

rar

adq

uis

icio

nes

de

bie

ne

s y/

o c

ont

rata

cion

es d

e s

erv

icio

s 3

2

3

3

1

1

Ma

nte

ne

r a

ctu

aliz

ado

el i

nve

nta

rio

de

su

min

istr

os

1

1

2

2

6

En

tre

ga

r y

retir

ar

doc

um

en

taci

ón

4

3

3

3

1

3

Rea

liza

r el

ma

nte

nim

ient

o y

ap

oya

r co

n la

lim

pie

za d

e o

ficin

as

1

2

2

2

7

Efe

ctua

r co

bro

s y

pa

gos

3

2

3

3

11

Rea

liza

r tr

ám

ites

en

inst

ituci

one

s fin

anc

iera

s 3

2

3

3

1

1

Ad

min

istr

ació

n

de

TI

Ad

min

istr

aci

ón

de

usu

ario

s 1

2

2

3

8

Ma

nte

nim

ien

to p

reve

ntiv

o y

cor

rect

ivo

de

Se

rvid

ore

s.

3

4

3

4

14

Ad

min

istr

aci

ón

de

pe

rifé

rico

s 1

2

2

3

8

Ad

min

istr

aci

ón

de

lice

nci

as

del

so

ftwa

re d

el s

erv

ido

r y

pe

rifé

ricos

2

4

4

4

1

4

So

po

rte

técn

ico

in s

itum

y r

em

oto

. 1

3

3

4

1

1

Mo

nito

rea

r e

l re

ndi

mie

nto

del

sis

tem

a.

1

2

2

2

7

Ma

nte

nim

ien

to d

el s

iste

ma

de

arc

hiv

os d

el s

erv

ido

r ce

ntra

l. 1

2

3

2

8

Inst

alac

ión

de

so

ftw

are

y s

us a

ctua

liza

cio

nes.

2

2

2

3

9

Cre

aci

ón

y e

jecu

ción

de

cop

ias

de

se

guri

dad

y r

ecu

pe

raci

ón.

1

2

2

3

8

Tab

la 3

. 22

Im

pact

os

Fin

an

ciero

y E

stra

tég

ico.

87

Con los valores obtenidos en la Tabla 3.22, tenemos un criterio más claro de los

procesos críticos y no críticos para el negocio. Por ejemplo el proceso de

Recepción de Facturas posee un valor de 10, el cual en el Área de Recepción se

coloca en el lugar más alto, consecuentemente se lo considera el proceso más

crítico de esta Área, todo lo contrario con el proceso de Recepción de

correspondencia el cual posee un valor de 6 y es el proceso menos crítico.

3.3.1.4 Identificación de Servicios de TI, por procesos del negocio.

En la Tabla 3.23 se especifican las aplicaciones que requieren de tecnología y los

recursos de TI utilizados por las mismas.

FUNCIONES PROCESOS SERVICIOS DE TI

Dirección

ejecutiva

Colaboración en el proceso de selección

de personal

Word

Excel

Correo Electrónico y

mensajería

Impresora

Levantamiento de fondos Excel

Aplicación WEB Give and

Gain

Generación de actas de reuniones Word

Impresora

Auxiliar

Contable

Revisión de cuentas Excel

Correo Electrónico y

mensajería

Impresora

Sistema Contable Dbsys

Revisión, orden y clasificación de archivos Excel

Impresora

Copiadora

Sistema Contable Dbsys

Conciliaciones Bancarias Excel

Carpetas Compartidas Red

FARO

Excel

Correo Electrónico y

88

mensajería

Google Apps (Gdocs,

Gcalendar)

Impresora

Copiadora

Fax - Escáner

Sistema Contable Dbsys

Internet Inalámbrico

Software SRI

Adobe Acrobat Reader

Tabla 3. 23 Procesos del negocio y servicios de TI utilizados

3.3.1.5 Identificación de tiempos máximos de caída (MTD).

Una vez identificados los procesos críticos, procederemos a realizar la

identificación de lo MTDs, el cual es el tiempo máximo sin servicio que una

organización puede soportar y seguir cumpliendo con sus objetivos de negocio.

La Tabla 3.25, representa una estimación de los MTDs, en función de la suma

total de puntos de los impactos financiero y operacional.

Destacando que, entre mayor sea la suma de los puntos del Impacto financiero y

Operacional, el MTD, debe ser menor, debido a que se trata de un proceso crítico

y Tiempo Máximo de Caída debe ser corto.

MTD Escala de

equivalencia

De 1 a 4 horas A

De 5 a 8 horas B

De 9 a 12 horas C

De 13 a 24 horas D

De 25 a 48 horas (Dos días) E

De Dos a Tres días F

De Tres días a 7 días G

Tabla 3. 24 Escala MTD y equivalencia

89

Suma impacto financiero más impacto

estratégico

Escala de equivalencia

16 A

15 A

14 A

13 B

12 B

11 B

10 C

9 D

8 E

7 F

6 G

Tabla 3. 25 Suma de Impactos y escala de equivalencia MTD

En la Tabla 3.26 representaremos los tiempos máximos de caída por cada

proceso de la organización.

FUNCIÓN PROCESO SUMA MTD

Dirección

ejecutiva

Colaboración en el proceso de selección de personal 14 A

Levantamiento de fondos 16 A

Generación de actas de reuniones 7 F

Auxiliar

Contable

Revisión de cuentas 16 A

Revisión, orden y clasificación de archivos 15 A

Conciliaciones Bancarias 15 A

Cuadrar Proyectos 14 A

Secuencia de retenciones 14 A

Asistente

Financiera -

Contable

Registro de Facturas 16 A

Emisión de cheques 16 A

Carga de transferencias 10 C

Registro de rembolso de gastos 16 A

Depósitos, débitos e ingresos 16 A

Asistente

Contable

Revisión de cuentas 16 A

Revisión de documentación física 15 A

Realización de conciliaciones bancarias 16 A

Revisión del centro de costos 16 A

Preparación de carpetas para auditorias 16 A

90

FUNCIÓN PROCESO SUMA MTD

Analista de

Reportes

Control Presupuestario 16 A

Cronograma de Informes Financieros 13 B

Informes al donante 16 A

Revisión de documentación - respaldo 14 A

Revisión y preparación de presupuestos 16 A

Coordinadora

Financiera -

Contable

Supervisar y Coordinar la ejecución de procesos

contables

16 A

Obtener y revisar informes financieros 14 A

Declaración de Impuestos y similares 16 A

Revisión, ejecución mensual del presupuesto institucional 12 B

Revisión de informes de donantes 12 B

Área de

Investigación

Revisión de documentos académicos para

investigaciones internas

15 A

Organización de temas relacionados con eventos 15 A

Colaboración con tareas administrativas del Área de

Investigación

14 B

Área de

Comunicación

e Incidencia

Política

Supervisar editorial y publicaciones de GRUPO FARO 15 A

Supervisar estándares de calidad de los eventos de

GRUPO FARO

16 A

Desarrollo de reuniones estratégicas para el área de

Comunicación

13 B

Monitoreo de medios 12 B

Relación con públicos externos de comunicación 15 A

Revisión y actualización de inventario de Área de

Comunicación

12 B

Elaboración y actualización de Bases de Datos 12 B

Personal de

apoyo

operativo

(recepción y

mensajería)

Verificar estado tributario de las facturas 11 B

Recibir y entregar facturas a sus responsables 11 B

Elaborar solicitudes de pago correspondientes al

presupuesto institucional

10 C

Elaborar adquisiciones de bienes 11 B

Mantener actualizado el inventario de suministros 6 G

Entregar y retirar documentación 13 B

Realizar el mantenimiento y apoyar con la limpieza de

oficinas

7 F

Efectuar cobros y pagos 11 B

Realizar trámites en instituciones financieras 11 B

91

FUNCIÓN PROCESO SUMA MTD

Administració

n de TI

Administración de usuarios 8 E

Mantenimiento preventivo y correctivo de Servidores. 14 A

Administración de periféricos 8 E

Administración de licencias del software del servidor y

periféricos

14 A

Soporte técnico in situm y remoto. 11 B

Monitorear el rendimiento del sistema. 7 F

Mantenimiento del sistema de archivos del servidor

central.

8 E

Instalación de software y sus actualizaciones. 9 D

Creación y ejecución de copias de seguridad y

recuperación.

8 E

Tabla 3. 26 Definición de MTDs

El proceso de Recepción de Facturas se ha definido un MTD de A, lo cual quiere

decir que el proceso no puede sobrepasar su inactividad más de 3 horas, ya que

esto representaría para la organización la pérdida de trabajo y acumulación de

tareas para sus empleados.

El proceso de Recepción de correspondencia, se ha definido un MTD de E, lo

cual quiere decir que el proceso requiere atención por lo menos en 72 horas.

3.3.1.6 Identificación del Tiempo objetivo de recuperación RTO.

A continuación se realizará la determinación del RTO (tiempo máximo permitido

para la recuperación de un Servicio de TI tras una interrupción)42.

En base al RTO, se pueden tener criterios de periodicidad de back-ups, además

de infraestructura requerida para la re-inicialización de las operaciones.

La Tabla 3.27, representa la escala de tiempos determinados para la recuperación

de un Servicio de TI que ha quedado fuera de operación.

42

ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)

92

RTO Escala de equivalencia

De 1 a 3 horas A

De 3 a 8 horas B

De 8 a 24 horas C

De 24 a 48 horas (Dos días) D

De 48 a 72 horas (Tres días) E

Tabla 3. 27 Escala de equivalencia RTO

El RTO, se realizará en primer lugar en los servicios que tienen prioridad, como la

recuperación de actividades en infraestructura de TI.

En la Tabla 3.28 se presenta el RTO en actividades de recuperación de Servicios

de TI.

SERVICIO DE TI RTO

Recuperación servicio Active Directory 6 horas

Recuperación servicio Internet 2 horas

Recuperación correos electrónicos 1 hora

Recuperación BPMs Aura Portal Externamente 3 horas

Antivirus 1 hora

Recuperación servicio Software Contable DBSYS 2 horas

Recuperación de red interna 2 horas

Recuperación Servidor de Archivos 3 horas

Tabla 3. 28 RTO en actividades de recuperación de Servicios de TI

3.3.1.7 Identificación del tiempo de recuperación de trabajo (WRT).

El WRT (Work Recovery Time) es el tiempo que transcurre desde que se recobra

el servicio, hasta que se han recuperado todos los archivos que han sido

perdidos, por lo que, éste será aplicado solamente a las aplicaciones que

almacenen datos.

Es muy importante que la suma de los tiempos del RTO y WRT serán iguales o

menores que el MTD, jamás pueden ser mayores.

93

En la Tabla 3.29, se muestran los tres tiempos MTD, RTO y WRT para las

aplicaciones críticas de TI.

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Dirección

ejecutiva

Colaboració

n en el

proceso de

selección de

personal

1-4 horas Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Levantamie

nto de

fondos

1-4 horas Excel 1 hora 30 minutos

Aplicación WEB Give

and Gain

1 hora -

Generación

de actas de

reuniones

2-3 días Word 1 hora 30 minutos

Impresora 30 minutos -

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Auxiliar

Contable

Revisión de

cuentas

1-4 horas Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Revisión,

orden y

clasificación

de archivos

1-4 horas Excel 1 hora 0

Impresora 30 minutos 0

Copiadora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 0

Conciliacion

es

Bancarias

1-4 horas Excel 1 hora 0

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Google Apps (Gdocs,

Gcalendar)

1 hora -

Impresora 30 minutos -

Copiadora 30 minutos -

Fax - Escáner 30 minutos 0

Sistema Contable Dbsys 1 hora y 30 1 hora

Internet Inalámbrico 1 hora y 30 -

Software SRI 1 hora 0

94

Adobe Acrobat Reader 30 minutos 0

Cuadrar

Proyectos

1-4 horas Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Secuencia

de

retenciones

1-4 horas Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Software SRI 1 hora 1 hora

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Asistente

Financiera -

Contable

Registro de

Facturas

1-4 horas Carpetas Compartidas

Red FARO

30 minutos -

Google Apps (Gdocs,

Gcalendar)

1 hora -

Impresora 30 minutos -

Copiadora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Emisión de

cheques

De 1 a 4

horas

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Carga de

transferenci

as

De 1 a 4

horas

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Google Apps (Gdocs,

Gcalendar)

1 hora -

Impresora 30 minutos -

Copiadora 30 minutos -

Registro de

reembolso

de gastos

De 1 a 4

horas

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Google Apps (Gdocs,

Gcalendar)

1 hora -

95

Impresora 30 minutos -

Copiadora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Depósitos,

Débitos e

ingresos

De 1 a 4

horas

Correo Electrónico y

mensajería

1 hora 30 minutos

Google Apps (Gdocs,

Gcalendar)

1 hora -

Impresora 30 minutos -

Copiadora 30 minutos -

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Asistente

Contable

Revisión de

cuentas

De 1 a 4

horas

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Sistema Contable Dbsys 1 hora y 30 1 hora

Revisión de

documentac

ión física

De 1 a 4

horas

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Copiadora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Realización

de

conciliacion

es

bancarias

De 1 a 4

horas

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Copiadora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Revisión del

centro de

costos

De 1 a 4

horas

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Copiadora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

96

Preparación

de carpetas

para

auditorias

De 1 a 4

horas

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Copiadora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Analista de

Reportes

Control

Presupuesta

rio

De 1 a 4

horas

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Internet Inalámbrico 1 hora y 30 -

Cronograma

de Informes

Financieros

De 5 a 8

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Sistema Contable Dbsys 1 hora y 30 1 hora

Internet Inalámbrico 1 hora y 30 -

Informes al

donante

De 1 a 4

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Copiadora 30 minutos -

Fax - Escáner 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Internet Inalámbrico 1 hora y 30 -

Adobe Acrobat Reader 30 minutos -

Revisión de

documentac

ión -

respaldo

De 1 a 4

horas

Copiadora 30 minutos -

Fax - Escáner 30 minutos -

Revisión y

preparación

de

De 1 a 4

horas

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

97

presupuesto

s

Impresora 30 minutos -

Copiadora 30 minutos -

Fax - Escáner 30 minutos -

Internet Inalámbrico 1 hora y 30 -

Adobe Acrobat Reader 30 minutos -

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Coordinador

a Financiera -

Contable

Supervisar y

Coordinar la

ejecución

de procesos

contables

De 1 a 4

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Google Apps (Gdocs,

Gcalendar)

1 hora -

Impresora 30 minutos -

Copiadora 30 minutos -

Fax - Escáner 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Internet Inalámbrico 1 hora y 30 -

Software SRI 1 hora 1 hora

Adobe Acrobat Reader 30 minutos -

Obtener y

revisar

informes

financieros

De 1 a 4

horas

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Declaración

de

Impuestos y

similares

De 1 a 4

horas

Excel 1 hora 30 minutos

Impresora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Software SRI 1 hora 1 hora

Anexo Transaccional 30 minutos 30 minutos

Revisión,

ejecución

mensual del

presupuesto

institucional

De 5 a 8

horas

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Sistema Contable Dbsys 1 hora y 30 1 hora

Revisión de

informes de

De 5 a 8

horas

Excel 1 hora 30 minutos

Correo Electrónico y 1 hora 30 minutos

98

donantes mensajería

Google Apps (Gdocs,

Gcalendar)

1 hora -

Impresora 30 minutos -

Sistema Contable Dbsys 1 hora y 30 1 hora

Internet Inalámbrico 1 hora y 30 -

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Área de

Investigación

Revisión de

documentos

académicos

para

investigacio

nes internas

De 1 a 4

horas

Word 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Internet Inalámbrico 1 hora y 30 -

Adobe Acrobat Reader 30 minutos -

Organizació

n de temas

relacionado

s con

eventos

De 1 a 4

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Copiadora 30 minutos -

Fax - Escáner 30 minutos -

Internet Inalámbrico 1 hora y 30 -

Colaboració

n con tareas

administrati

vas del Área

de

Investigació

n

De 5 a 8

horas

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Copiadora 30 minutos -

Fax - Escáner 30 minutos -

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Área de

Comunicació

n e

Incidencia

Política

Supervisar

editorial y

publicacion

es de

GRUPO

FARO

De 1 a 4

horas

Word 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Adobe CS5 2 horas 1 hora

Supervisar

estándares

de calidad

de los

De 1 a 4

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Power Point 1 hora 30 minutos

Correo Electrónico y 1 hora 30 minutos

99

eventos de

GRUPO

FARO

mensajería

Impresora 30 minutos -

Copiadora 30 minutos -

Fax - Escáner 30 minutos -

Adobe CS5 2 horas 1 hora

Desarrollo

de

reuniones

estratégicas

para el área

de

Comunicaci

ón

De 5 a 8

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Power Point 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Revisión y

actualizació

n de

inventario

de Área de

Comunicaci

ón

De 5 a 8

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Google Apps (Gdocs,

Gcalendar)

1 hora -

Elaboración

y

actualizació

n de Bases

de Datos de

contactos

De 5 a 8

horas

Word 1 hora 30 minutos

Excel 1 hora 30 minutos

Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Personal de

apoyo

operativo

(recepción y

mensajería)

Verificar

estado

tributario de

las facturas

De 5 a 8

horas

Internet Inalámbrico 1 hora y 30 -

Software SRI 1 hora 1 hora

Recibir y

entregar

facturas a

sus

responsable

s

De 5 a 8

horas

Word 1 hora 30 minutos

Elaborar De 5 a 8 Word 1 hora 30 minutos

100

adquisicion

es de bienes

y/o

contratacion

es de

servicios

horas Correo Electrónico y

mensajería

1 hora 30 minutos

Impresora 30 minutos -

Internet Inalámbrico 1 hora y 30 -

Mantener

actualizado

el inventario

de

suministros

De 3 a 7

días

Excel 1 hora 30 minutos

Impresora 30 minutos -

Entregar y

retirar

documentac

ión

De 5 a 8

horas

Impresora 30 minutos -

Copiadora 30 minutos -

Realizar

trámites en

institucione

s

financieras

De 5 a 8

horas

Copiadora 30 minutos -

FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT

Administraci

ón de TI

Administrac

ión de

usuarios

De 5 a 8

horas

Word 1 hora 30 minutos

Aura Portal 2 horas 1 hora

Mantenimie

nto

preventivo y

correctivo

de

Servidores.

De 1 a 4

horas

Excel 1 hora 30 minutos

Impresora 30 minutos -

Internet Inalámbrico 1 hora y 30 -

Administrac

ión de

periféricos

De 9 a 12

horas

Excel 1 hora 30 minutos

Internet Inalámbrico 1 hora y 30 -

Administrac

ión de

licencias del

software del

servidor y

periféricos

De 1 a 4

horas

Internet Inalámbrico 1 hora y 30 -

Correo Electrónico y

mensajería

1 hora 30 minutos

101

Soporte

técnico in

situm y

remoto.

De 5 a 8

horas

Internet Inalámbrico 1 hora y 30 -

Servidores 2 horas 1 hora

Monitorear

el

rendimiento

del sistema.

De Dos a

Tres días

Internet Inalámbrico 1 hora y 30 -

Servidores 2 horas 1 hora

Mantenimie

nto del

sistema de

archivos del

servidor

central.

De 25 a

48 horas

Carpetas Compartidas

Red FARO

30 minutos -

Correo Electrónico y

mensajería

1 hora 30 minutos

Instalación

de software

y sus

actualizacio

nes.

De 13 a

24 horas

Correo Electrónico y

mensajería

1 hora 30 minutos

Internet Inalámbrico 1 hora y 30 -

Creación y

ejecución

de copias

de

seguridad y

recuperació

n.

De 9 a 12

horas

Internet Inalámbrico 1 hora y 30 -

Servidores 2 horas 1 hora

Tabla 3. 29 MTD, RTO y WRT por proceso de Negocio

3.3.1.8 Análisis del daño a consecuencia de la interrupción de un servicio de TI

En este tema se especifican las consecuencias que se darían a causa de la

interrupción de un servicio o recurso de TI.

En la Tabla 3.30, se muestra el análisis causado por la interrupción de un servicio

de TI.

102

Funciones Proceso Consecuencia

Hardware Impresora No se pueden obtener impresiones de documentos

importantes como oficios y autorizaciones

Scanner La interrupción de este servicio impide la

digitalización de documentos e imágenes

importantes, especialmente para el departamento

administrativo, debido a ello, se retrasan procesos

de envío de información.

Fax La interrupción de este servicio impide la transmisión

telefónica de material escaneado a otro número

telefónico, usado por todas las áreas de Grupo Faro,

para el envío de documentos específicos que solo se

deben enviar mediante este dispositivo.

Copiadora La interrupción de este servicio, impide el

fotocopiado de documentos importantes realizados

en el transcurso del día, así como publicaciones,

papers, etc.

Cableado

Estructurado

La interrupción de este servicio, impide el acceso a

todas las aplicaciones y servicios importantes que se

utilizan en Grupo Faro durante la jornada laboral.

Equipos de

computación

El falla y/o interrupción del hardware de computación

provocan la interrupción de actividades de cualquier

usuario de la organización.

Hardware de

conectividad

El fallo en este equipo activo de la capa física,

provoca la interrupción inmediata del acceso a las

aplicaciones y servicios usados por el personal de

Grupo FARO.

Acceso remoto La interrupción de este servicio, impide el acceso

remoto a los equipos disponibles en Grupo FARO, lo

que retrasa el servicio de Soporte Técnico para

incidentes que pueden ser solucionados con mayor

eficiencia.

Software Disco duro de

Back-up

El daño o la falta de discos duros de back-up

provoca el retraso en la copia de los archivos que se

han especificado para el respaldo.

Microsoft

Office

El daño o falla de este software, provoca un retraso

en la elaboración de documentos de texto, hojas de

cálculo, presentaciones, con todas las

funcionalidades que nos ofrece la plataforma Office.

103

Correo

electrónico

EL daño o falla de este servicio no permite a los

usuarios el envío y la recepción de correos

electrónicos, tanto internos como externos, por

ejemplo el envío de confirmación de reuniones tanto

internas, como con otras ONGs.

Software

contable

La interrupción de este servicio provoca que todos

los procesos contables no tengan continuidad e

impide al Departamento Administrativo realizar sus

funciones.

Aura Portal La interrupción de este servicio impediría el

seguimiento por parte de los usuarios de Grupo

FARO de los procesos que se están por

implementar.

Antivirus La interrupción en este servicio, incrementa el riesgo

a la infección de virus informáticos, lo que provoca

brechas de inseguridad y lentitud en los equipos de

computación.

Tabla 3. 30 Análisis causado por la interrupción de un Servicio TI.

3.3.2 REQUERIMIENTOS DE DISPONIBILIDAD

A continuación en la Tabla 3.31 se especificarán los servicios que ofrece el

departamento de TI de Grupo FARO, en donde, en primer lugar, se tomarán

parámetros como: horas de servicio, tiempos de recuperación, capacidad para

adaptarse, utilidad, mantenimiento.

Tipo de

Servicio

Nombre

del

Servicio

Disponi

bilidad

Tiempo de

recuperaci

ón

Tipo de

Soporte

Utilid

ad

Mantenimie

nto

Responsa

ble

Software Active

Directory

24/7 1 hora Interno Media Semanal Alejandro

Velasco

Internet 24/7 1 hora Interno –

Externo

Alta Semanal Alejandro

Velasco –

Tv Cable

Correo

electrónic

o

24/7 30 minutos Interno –

Externo

Alta Semanal Alejandro

Velasco

Microsoft 24/7 30 minutos Interno Alta Semanal Alejandro

104

Office Velasco

Outlook 24/7 30 minutos Interno Media Semanal Alejandro

Velasco

Aura

Portal

24/7 2 horas Interno –

Externo

Media Semestral Alejandro

Velasco –

Marcelo

Avilés

Antivirus 10/7 30 minutos Interno Media Semestral Alejandro

Velasco

Software

Contable

24/7 20 minutos Interno -

Externo

Alta Diario Alejandro

Velasco –

Soporte

Dbware

Hardware

Tipo de

Servicio

Nombre

del

Servicio

Disponi

bilidad

Tiempo de

recuperaci

ón

Tipo de

Soporte

Utilid

ad

Mantenimie

nto

Responsa

ble

Hardware Impresora 24/7 1 hora Interno –

Externo

Alta Semanal Alejandro

Velasco –

Soporte

Ecuaprint

Copiador

a

24/7 1 hora Interno –

Externo

Alta Semanal Alejandro

Velasco –

Soporte

Ecuaprint

Fax 10/5 1 hora Interno Baja Semanal Alejandro

Velasco –

Soporte

Ecuaprint

Cableado

Estructura

do

24/7 2 horas Interno Alta Semanal Alejandro

Velasco

Equipos

de

computaci

ón

24/7 3 horas Interno –

Externo

Media Semanal Alejandro

Velasco

Hardware

de

24/7 1 hora Interno -

Externo

Alta Mensual Alejandro

Velasco

105

conectivid

ad

Acceso

remoto

24/7 30 minutos Interno Media Cada vez

que se

presenta un

incidente

Alejandro

Velasco

Disco

duro de

Back-up

24/7 30 minutos Interno Media Diario Alejandro

Velasco

Tabla 3. 31 Requerimientos de Disponibilidad y recuperación de los

servicios

3.4 DISEÑO DE LA DISPONIBILIDAD

3.4.1 DESCRIPCIÓN DE LA INFRAESTRUCTURA

3.4.1.1 Elementos de la red

Como se describió anteriormente, los componentes que integran la infraestructura

de la red de Grupo FARO son:

Servidores: Se tienen dos servidores mediante los cuales se gestiona:

Servidor 1

Servidor DHCP

Servidor DNS

Servidor Proxy

Servidor de Datos

Servidor 2

Servidor Virtual SQL

Servidor Virtual Active Directory

Servidor Aura Portal

Servidor WEB Cor Social Francisco de Orellana

Servidor WEB Cor Social Ushahidi GPS

106

Clientes: Se refiere a todos los computadores tanto portátiles, de escritorio, MAC,

que son utilizados por los usuarios de la Red de comunicaciones de Grupo FARO.

Impresoras: Equipos usados para la realizar la impresión de documentos, los

cuales han sido descritos anteriormente.

Equipos Activos: Son elementos que se encargan de generar o modificar las

señales en la capa física, entre los cuales, en la red de Grupo FARO se tienen:

Switch: Se utiliza para la conmutación de paquetes, para aumentar la agilidad en

la transferencia de la información.

Modem: Se utiliza un modem, del proveedor TV Cable, mediante el cual se

obtiene el Internet para la organización.

Access Point: Equipo usado para generar la señal inalámbrica, la cual provee de

internet a la gran mayoría de usuarios de la red.

Equipos Pasivos: Son elementos que se encargan de transmitir las señales en la

capa física, como el cableado estructurado.

Sistemas Operativos: Actualmente se trabajan con los siguientes sistemas

operativos en Grupo FARO.

· Ubuntu 10.8 para el Servidor 1

· Windows Server 2008 R2, para el Servidor 2

· Windows XP, para los clientes

· Windows 7, para los clientes.

Se ha implementado un Servidor Proxy, pero no se han implementado políticas

para la navegación de los usuarios de Grupo FARO.

3.4.1.2 Administración de TI

La organización en la actualidad, únicamente cuenta con herramientas básicas

para la Administración de TI la cual es:

· MAC Scanner

· Iptools

· Nagios

107

Se recomienda, implementar herramientas más profesionales para la

administración de diferentes necesidades como:

Gestión de Inventario, monitoreo de recursos de servidores

Recomendaciones:

· OCS Inventory

· Foglight

· OTRS

3.4.1.3 Respaldo y Almacenamiento

Al momento en la organización se cuenta con los siguientes elementos de

respaldo y almacenamiento.

3.4.1.3.1 Respaldo

Se posee un arreglo de discos RAID 1 (Redundant Array of Independence Disks),

implementado en el servidor HP ProLiant G6, cada disco con 500 Gb de

capacidad.

3.4.1.3.2 Back-up

Se utiliza las tareas automáticas de Windows, para la realización de las copias de

seguridad de los datos.

Para el almacenamiento físico se lo realiza en un disco duro externo HP, de 1

Terabyte de capacidad.

Las unidades de almacenamiento que se posee en cada equipo de trabajo de la

organización.

3.4.1.4 Impresión y Digitalización

Para la impresión y digitalización se utilizan:

Impresora Ricoh Aficio MP 171

Impresora Ricoh Aficio MPC 400 - Color

Impresora EPSON LX300

108

3.4.1.5 Consideraciones para el Hardware y el Software

3.4.1.5.1 Requerimientos de Hardware

Se tienen especificados tres estándares de consideraciones mínimos de

hardware, para servidores, estaciones de trabajo Desktop, estaciones de trabajo

portátil.

Servidores

Requerimientos mínimos para servidores

Procesador Intel® Xeon® E5502 (2 núcleos, 1,86 GHz, 4 MB L3, 80W)

Teclado Teclado HP USB estándar español

Mouse Ratón óptico USB

Memoria RAM 4 GB

Disco duro 500 GB – Arreglo Discos RAID 1

Tabla 3. 32 Requerimientos mínimos para servidores

Estación de trabajo Desktop

Requerimientos mínimos para estación de trabajo Desktop

Procesador Intel® Core™ i3-3240 Processor (3M Cache, 3.40 GHz)43

Teclado Teclado USB español estándar

Mouse Ratón óptico USB

Memoria RAM 4 GB- DDR3 SDRAM

Disco duro 350 GB – Serial ATA 5400 RPM

Monitor Monitor LCD de 19 pulgadas

Tabla 3. 33 Requerimientos mínimos para estación de trabajo Desktop

Estación de trabajo Laptop

Requerimientos mínimos para estación de trabajo Laptop

Procesador Intel® Core™ i5-3570S Processor (6M Cache, 3.80

GHz)

Teclado Teclado español estándar

43http://ark.intel.com/es/products/family/65503/3rd-Generation-Intel-Core-i3-

Processors/desktop

109

Mouse Puntero touchpad

Memoria RAM

4 GB - DDR3 SDRAM

Disco duro 500 GB – Serial ATA – 5400 RPM

Monitor 14.1 "Active Matrix TFT LCD a color

Tabla 3. 34 Requerimientos mínimos para estación de trabajo Laptop

3.4.1.5.2 Especificaciones de Software

Entre las consideraciones de software, tanto para servidores, como para

estaciones de trabajo, se especifican las siguientes:

· Sistema Operativo Servidor.- Windows Server 2008 R2.

· Sistema Operativo Servidor 2.- Ubuntu 10.8.

· Sistema Operativo Estación de Trabajo.- Windows XP Service Pack 3,

Windows 7 Professional.

· Herramientas Ofimáticas.- Microsoft Office 2007.

Es recomendable, mantener actualizado el sistema operativo, tanto en estaciones

de trabajo, como en servidores, debido a que mediante dichas actualizaciones se

reducen vulnerabilidades de seguridad.

3.4.1.6 Consideraciones para la sala principal de equipos de Infraestructura TI

Cada organización debería producir una política de entorno para la ubicación de

equipos, con las normas mínimas acordadas para concentraciones particulares de

equipos. Adicionalmente, los mínimos estándares deben ser acordados para la

protección de edificios que contienen los equipos.

Las siguientes tablas se cubren los principales aspectos que deben ser

considerados, con características de ejemplo.44

Los equipos de Infraestructura, deben permanecer en las mejores condiciones

físicas, como se presenta en la siguiente tabla. 44Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI;

Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental

architectures and standards; 245

110

3.4.1.6.1 Sala principal de equipos

SALA PRINCIPAL DE EQUIPOS

Acceso Entrada segura controlada, uso de combinación/clave, tarjeta

magnética, cámara de video(Si el negocio es crítico y sin

vigilancia)

Ubicación Primera planta siempre que sea posible, sin agua, gas, químicos o

riesgos de incendio dentro de la zona, por encima, por debajo o

adyacente.

Visibilidad No señalización, no ventanas exteriores.

Revestimiento Revestimiento externo: impermeable, hermético, aislamiento

acústico, resistente al fuego (0,5 horas a 4 horas dependiendo

de la criticidad)

Equipo de

Entrega

Deberían tomarse medidas adecuadas para la entrega y

colocación de equipos grandes sensibles.

Piso Interno Sellado

Planta Eléctrica Separada Fuente de alimentación interrumpible (UPS). El suministro

eléctrico y de distribución, unidades de manipulación de aire,

unidades duales y salas de trabajo.

Externo Generador para Data Centers mayores y sistemas críticos para el

negocio.

Tabla 3. 35 Mejores condiciones físicas para Sala principal de Equipos45

En la Tabla 3.36, se muestran las especificaciones para el Cuarto de Servidores o

Equipos.

CUARTO DE SERVIDORES O EQUIPOS

Acceso Entrada controlada, por el uso de combinación/clave, tarjeta

magnética o calve y llave. En algunos casos los equipos pueden

encontrarse en oficinas abiertas en bastidores o gabinetes con llave.

Temperatura Entorno de oficina normal, pero si las habitaciones son cerradas o

bloqueadas se debería proveer una ventilación adecuada.

Humedad Entorno normal de oficina.

45Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI;

Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental

architectures and standards; Table E2; 245

111

Calidad del aire Entorno normal de oficina.

Power Energía continua suministrada con una fuente de poder sustituta –

UPS a la granja de servidores completa.

Piso Falso Recomendación mínima de 3 m entre el suelo y el techo, con todos los

cables asegurados en canalización multi-compartimiento.

Paredes interiores Siempre que sea posible las paredes deben ser resistentes al fuego.

Detección / Prevención

de

incendio

Sistema de detección de incendios/humo normal de oficina, a menos

que existan importantes concentraciones de equipo.

Detectores en el

Entorno

Para humo, energía, con capacidad de alarma sonora

Iluminación

Los niveles normales de iluminación de techo con luces de emergencia

en caso de corte de energía.

Conexión a Tierra Se debe proveer de conexión a tierra a los equipos. Con los botones

de apagado claramente identificados.

Extinguidores de

Fuego

Suficientes extintores de incendio eléctrico con señalización adecuada

y procedimiento.

Vibración Las vibraciones deben ser mínimas dentro de la zona

Interferencia

Electromagnética

Interferencia mínima (1.5V/m campo de fuerza ambiente)

Instalaciones

Todos los equipos e instalaciones eléctricas deben ser

suministrados e instalados por proveedores cualificados y

normas adecuadas de salud y seguridad

Conexiones de Red El equipo de campo debe ser de cable aislado con una capacidad

adecuada para un crecimiento razonable. Todos

los cables deben ser colocados y sujetos a las bandejas de cable

adecuado.

Recuperación de

Desastres

Completamente probado y los planes de recuperación deben

desarrollarse de acuerdo al caso.

Tabla 3. 36 Mejores condiciones físicas para el cuarto de servidores

112

En la Tabla 3.37, se muestran las especificaciones para el entorno de Oficina.

ENTORNO DE OFICINA

Acceso Todas las oficinas deben tener la seguridad de acceso adecuado

según la empresa, la información y el equipo que está contenido

dentro de ellas.

Iluminación,

temperatura,

humedad y calidad

de aire.

Entorno normal, ambiente de la oficina cómoda y

ordenada, conforme a la salud de la organización,

seguridad y medio ambiente

Alimentación de

Energía

Energía continua suministrada con una fuente de poder sustituta –

UPS a la granja de servidores completa.

Piso Falso Recomendada de 3 m mínima entre el suelo y el techo,

con todos los cables asegurados en varios compartimentos.

Detección de

incendios,

prevención y

extintores

Detección de incendios, prevención de humo, sistemas de

detección de incendios, sistemas de alerta de intrusión si

aquí están las principales concentraciones de los equipos.

Suficientes extintores del tipo adecuado, con señalización

adecuada y los procedimientos

Conexiones de Red El espacio de oficinas preferentemente debe tener ser por cable con la

capacidad adecuada para un crecimiento razonable. Todos los cables

deben ser colocados y sujetos a las bandejas de cable adecuado.

Todos los equipos de

red deben estar protegidos en armarios o gabinetes de seguridad.

Recuperación de

Desastres

Completamente probado y los planes de recuperación deben

desarrollarse de acuerdo al caso.

Tabla 3. 37 Mejores condiciones físicas para el entorno de oficina46

3.4.1.7 Análisis de Puntos individuales de fallo de componentes

3.4.1.7.1 Análisis por arboles de Fallos FTA.

• Análisis del Árbol de Fallas es una técnica usada para identificar la cadena

de eventos que llevan a fallar a un servicio de TI.

• Se traza un árbol separado para cada servicio, usando símbolos

booleanos. 46Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI; Mejores Prácticas para la Provisión del Servicio; versión 3; 2007; Appendix E: Environmental architectures and standards; Table E.6; Pag 248

113

• El árbol es atravesado de abajo hacia arriba.

• El Análisis del Árbol de Fallas distingue los siguientes elementos:

• Eventos Básicos – entradas en el diagrama (círculos) tales como

caídas de energía eléctrica y errores del operados. Esos eventos no

son investigados.

• Eventos Resultantes – nodos en el diagrama, resultantes de eventos

anteriores.

• Eventos Condicionales – eventos que sólo ocurren bajo ciertas

condiciones, tales como una falla del aire acondicionado.

• Eventos Disparadores (Trigger Events) - eventos que causan otros

eventos, tales como una desconexión automática del suministro de

corriente iniciada por un UPS.

• Los eventos pueden estar combinados con operaciones lógicas, tales

como:

– Operación AND – El Evento Resultante ocurre si todas las entradas

ocurren simultáneamente.

– Operación OR – El Evento Resultante ocurre si una o más de las

entradas ocurren.

– Operación XOR – El Evento Resultante ocurre si sólo una de las

entradas ocurre.

Operación Inhibir – el evento resultante ocurre si las condiciones de la entrada no

son satisfechas.

A continuación en la figura, se presenta el árbol de fallos con respecto al Internet

fuera de servicio, las demás figuras representando a los otros servicios de TI, se

encuentran en el Anexo 3: GF-Análisis por Árboles de Fallo.

114

Figura 3. 2 Análisis del Árbol de Fallos del Internet fuera de servicio.

En la Figura 3.3 se expone el Árbol de Fallos con respecto al Internet fuera de

servicio.

Básicos Condicionados

· Corte de energía eléctrica Pérdida de Energía

· Fallo de Modem Fallo por parte del ISP

· Mantenimiento de Enlaces

· Fallo en switch Fallo de Hardware de conectividad

interno · Fallo en el Access point

115

Desencadenantes Resultantes

· Pérdida de Energía

Internet fuera de servicio

· Fallo por parte del ISP

· Fallo en el Hardware de

conectividad interno

Podemos observar que el Suceso resultante de Internet fuera de servicio, es

desencadenado por la pérdida de energía, el fallo por parte del ISP, y el fallo en el

Hardware de conectividad.

Además los sucesos básicos afectan inmediatamente a un Suceso Resultante por

ejemplo:

· Si tenemos pérdida de energía, como resultante tendremos Internet fuera

de servicio.

· Si se tiene un fallo en el Modem, enseguida se expone el Internet fuera de

servicio.

3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA

En la Figura 3.3 se indica un diagrama de la red de Grupo FARO, con los

Elementos de Configuración (CI), mencionados anteriormente, mediante los

cuales podemos realizar de una mejor manera el CFIA.

En la Tabla 3.38, contiene una matriz en la cual se representan los Elementos de

Configuración, además de los procesos más críticos para cada Área de la

organización incluyendo el tipo de fallo en la infraestructura.

11

6 IN

FR

AE

ST

RU

CT

UR

A D

E R

ED

– G

RU

PO

FA

RO

Fig

ura

3. 3

D

iag

ram

a d

e R

ed

de

Gru

po

FA

RO

co

n e

spec

ifica

ción

de

CIs

.

11

7

D

E

AX

C

AX

C

AF

C

AF

C

AF

C

AC

A

R

AR

C

FC

C

FC

C

FC

I

C

C

O

TI

TI

CI

Levantamiento de fondos

Revisión de cuentas

Conciliaciones Bancarias

Registro de Facturas

Emisión de cheques

Depósitos, Débitos e ingresos

Realización de conciliaciones bancarias

Control Presupuestario

Revisión y preparación de presupuestos

Supervisar y Coordinar la ejecución de

procesos contables

Revisión, ejecución mensual del

presupuesto institucional

Declaración de Impuestos y similares

Revisión de documentos académicos

para investigaciones internas

Supervisar estándares de calidad de los

eventos de GRUPO FARO

Supervisión editorial de publicaciones de

Grupo FARO

Elaborar adquisiciones de bienes y/o

contratación de servicios

Mantenimiento preventivo y correctivo de

Servidores.

Administración de licencias del software

del servidor y periféricos

Su

min

istro

eléctrico

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

UP

S1

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

B

B

C1

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

M1

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

C15

A

A

A

A

A

A

A

A

A

A

A

A

A

A

A

A

A

R1

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

C2

A

A

A

A

A

A

A

A

A

A

A

A

A

A

A

A

A

11

8 C

I Levantamiento de fondos

Revisión de cuentas

Conciliaciones Bancarias

Registro de Facturas

Emisión de cheques

Depósitos, Débitos e ingresos

Realización de conciliaciones bancarias

Control Presupuestario

Revisión y preparación de presupuestos

Supervisar y Coordinar la ejecución de

procesos contables

Revisión, ejecución mensual del

presupuesto institucional

Declaración de Impuestos y similares

Revisión de documentos académicos para

investigaciones internas

Supervisar estándares de calidad de los

eventos de GRUPO FARO

Supervisión editorial de publicaciones de

Grupo FARO

Elaborar adquisiciones de bienes y/o

contratación de servicios

Mantenimiento preventivo y correctivo de

Servidores.

Administración de licencias del software

del servidor y periféricos

C3

A

A

A

A

A

SR

V4

X

X

X

X

X

X

X

C4

A

A

A

A

A

A

A

A

A

SR

V1

X

X

SR

V2

X

X

SR

V3

X

X

X

X

X

X

X

X

X

X

SW

I1 B

B

B

B

B

B

B

B

B

B

B

B

B

B

B

B

B

B

C16

X

A

A

C5

A

AP

1

B

C7

X

X

X

X

11

9 C

I Levantamiento de fondos

Revisión de cuentas

Conciliaciones Bancarias

Registro de Facturas

Emisión de cheques

Depósitos, Débitos e ingresos

Realización de conciliaciones bancarias

Control Presupuestario

Revisión y preparación de presupuestos

Supervisar y Coordinar la ejecución de

procesos contables

Revisión, ejecución mensual del presupuesto

institucional

Declaración de Impuestos y similares

Revisión de documentos académicos para

investigaciones internas

Supervisar estándares de calidad de los

eventos de GRUPO FARO

Supervisión editorial de publicaciones de

Grupo FARO

Elaborar adquisiciones de bienes y/o

contratación de servicios

Mantenimiento preventivo y correctivo de

Servidores.

Administración de licencias del software del

servidor y periféricos

I4 B

B

B

B

C6

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

AP

2

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

C17

X

X

X

X

X

X

X

X

X

X

X

X

X

I3

B

B

B

B

B

B

B

B

B

B

B

B

B

C8

X

X

X

X

X

X

X

X

X

X

X

SW

I2

B

B

B

B

B

B

B

B

B

B

B

C9

X

X

DS

K2

X

X

C14

A

I1

X

C10

X

X

X

12

0 C

I Levantamiento de fondos

Revisión de cuentas

Conciliaciones Bancarias

Registro de Facturas

Emisión de cheques

Depósitos, Débitos e ingresos

Realización de conciliaciones bancarias

Control Presupuestario

Revisión y preparación de presupuestos

Supervisar y Coordinar la ejecución de

procesos contables

Revisión, ejecución mensual del

presupuesto institucional

Declaración de Impuestos y similares

Revisión de documentos académicos para

investigaciones internas

Supervisar estándares de calidad de los

eventos de GRUPO FARO

Supervisión editorial de publicaciones de

Grupo FARO

Elaborar adquisiciones de bienes y/o

contratación de servicios

Mantenimiento preventivo y correctivo de

Servidores.

Administración de licencias del software

del servidor y periféricos

DS

K3

B

B

B

C11

X

LA

P3

X

C12

X

X

X

LA

P6

X

X

X

C13

X

X

LA

P5

X

X

DS

K1

X

LA

P4

X

LA

P16

X

X

LA

P25

X

SW

1

SW

2

X

X

X

X

X

X

X

12

1 C

I Levantamiento de fondos

Revisión de cuentas

Conciliaciones Bancarias

Registro de Facturas

Emisión de cheques

Depósitos, Débitos e ingresos

Realización de conciliaciones bancarias

Control Presupuestario

Revisión y preparación de presupuestos

Supervisar y Coordinar la ejecución de

procesos contables

Revisión, ejecución mensual del

presupuesto institucional

Declaración de Impuestos y similares

Revisión de documentos académicos para

investigaciones internas

Supervisar estándares de calidad de los

eventos de GRUPO FARO

Supervisión editorial de publicaciones de

Grupo FARO

Elaborar adquisiciones de bienes y/o

contratación de servicios

Mantenimiento preventivo y correctivo de

Servidores.

Administración de licencias del software

del servidor y periféricos

SW

3 A

A

A

A

A

A

A

A

A

A

A

A

A

A

A

SW

4 A

A

A

A

A

A

SW

5

A

A

A

A

A

A

A

A

A

A

A

A

A

SW

6 A

A

A

A

A

A

A

A

A

A

A

A

A

SW

7

SW

8

B

SW

9

X

X

SW

10

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

SW

11

X

X

SW

12

X

X

X

X

X

X

X

X

SW

13

X

Tab

la 3. 38

Ma

triz de

la co

nfigura

ción

del A

nálisis d

el Im

pacto

de

Fa

llo de u

n comp

onen

te d

e G

rup

o FA

RO

122

3.4.1.8 Análisis y gestión de riesgos.

3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM

3.4.1.8.1.1 Valoración de activos

Es el estimado del valor que un proceso u otro activo representa para la empresa.

Este valor es importante para el Análisis del Riesgo.

1 à Muy Bajo

2 à Bajo

3 à Medio

4 à Alto

5 à Muy Alto

La Tabla 3.40 presentada a continuación presenta una lista de los activos de TI,

con su respectiva valoración.

La valoración se la realizó en base a la utilización diaria de los activos de

Tecnologías de Información, conocimiento que se lo ha adquirido empíricamente,

gracias a las actividades de administración de la infraestructura que se las han

realizado durante un año.

Además, también se basó en la tabulación de las encuestas realizadas al

personal administrativo de Grupo FARO, el cual se encuentra en el Anexo 7-GF-

Tabulación encuestas Grupo FARO.

ACTIVO TI VALORACIÓN

Impresora 2

Scanner 3

Fax 2

Copiadora 3

Cableado Estructurado 5

Equipos de computación 5

123

Acceso remoto 4

Disco duro de Back-up 3

Servidores 5

Microsoft Office 4

Correo electrónico 5

Software contable 5

Aura Portal 3

Antivirus 3

Adobe Reader 1

Switch 3

Router 5

Access Point 5

Interfaces de Red 4

Discos Duros 5

Acceso Remoto 2

Tabla 3. 39 Valoración de activos de TI

3.4.1.8.1.2 Identificación y valoración de amenazas

“Amenaza: Cualquier cosa que pueda aprovecharse de una Vulnerabilidad.

Cualquier causa potencial de un Incidente puede ser considerada como una

amenaza.

Por ejemplo, el fuego es una Amenaza que podría explotar la Vulnerabilidad de

las moquetas inflamables. Este término suele usarse en la Gestión de la

Seguridad de la Información y en la Gestión de la Continuidad del Servicio de TI,

pero también se aplica a otras áreas como la Problemas y Gestión de la

Disponibilidad.“47

47ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)

124

Analizando las posibles amenazas que la organización GRUPO FARO está

propensa a tener, se han categorizado los mismos como se muestra a

continuación.

Amenaza Humana:

· Robo.

· Hackers.

· Artefactos explosivos.

· Fugas de gas o agua.

· Incendios.

Amenaza Natural

· Inundaciones.

· Sismos.

· Lluvias torrenciales.

· Incendios.

· Terremotos.

Amenaza Tecnológica

· Sabotaje computacional.

· Acceso al centro de cómputo.

· Escasez de energía.

· Fallas en la red.

· Acceso a la red por parte de personas ajenas a la entidad.

· Falla en los dispositivos de almacenamiento del Servidor.

· Falla en los dispositivos de almacenamiento de las computadoras.

· Fallo en el hardware de los equipos.

· Configuración incorrecta de aplicaciones.

· Sobredimensionamiento de clientes inalámbricos en la red.

· Virus.

· Falla de capacitación de TI.

125

Una vez que los riesgos han sido identificados, se presenta las tablas de

Probabilidad y Vulnerabilidad con sus respectivas probabilidades y

vulnerabilidades asociadas y los riesgos detectados para las posibles amenazas.

El Análisis del Riesgo identifica las amenazas y vulnerabilidades de los activos de

la empresa e indica el nivel de vulnerabilidad de cada activo ante determinadas

amenazas.

3.4.1.8.1.3 Valoración de las amenazas

Para la valoración de las amenazas establece un rango enmarcado en la

probabilidad de ocurrencia de dicha amenaza.

1. Baja probabilidad de ocurrencia.

2. Media baja probabilidad de ocurrencia.

3. Media probabilidad de ocurrencia.

4. Media Alta probabilidad de ocurrencia.

5. Alta probabilidad de ocurrencia.

COD AMENAZA VALOR

AMENAZA

A1 Robo 3

A2 Hackers 3

A3 Artefactos explosivos 2

A4 Fugas de gas o agua 5

A5 Incendios 3

A6 Inundaciones 5

A7 Sismos 2

A8 Lluvias torrenciales 4

A9 Incendios 4

A10 Terremotos 3

A11 Sabotaje computacional 3

A12 Acceso al centro de cómputo 4

126

A13 Escasez de energía 3

A14 Fallas en la red 3

A15 Acceso a la red por parte de personas ajenas a la entidad 3

A16 Falla en los dispositivos de almacenamiento del Servidor 4

A17 Falla en los dispositivos de almacenamiento de las

computadoras

5

A18 Fallo en el hardware de los equipos 5

A19 Configuración incorrecta de aplicaciones 3

A20 Sobredimensionamiento de clientes inalámbricos en la

red.

4

A21 Virus 5

A22 Falla de capacitación de TI 4

Tabla 3. 40 Valoración de amenazas

3.4.1.8.1.4 Identificación de las vulnerabilidades

Para la identificación de las vulnerabilidades48, se toma cada amenaza y se

especifica que debilidad puede aprovechar esta.

AMENAZA CÓDIGO VULNERABILIDAD

Robo V1 Pérdida de Equipos

Pérdida de Información física y lógica

Retraso en trabajo

Hackers V2 Pérdida de Equipos

Pérdida de Información lógica

Retraso en trabajo

Artefactos explosivos V3 Pérdida de Equipos

Retraso en trabajo

48Una debilidad que puede ser aprovechada por una Amenaza. Por ejemplo un puerto abierto en el cortafuegos, una clave de acceso que no se cambia, o una alfombra inflamable. También se considera una Vulnerabilidad un Control perdido. Spanish (Latin American) 2011 Glosary

127

AMENAZA CÓDIGO VULNERABILIDAD

Fugas de gas o agua V4 Pérdida de Equipos

Pérdida de Información física y lógica

Retraso en trabajo

Incendios V5 Daño de Equipos

Pérdida de Información física y lógica

Retraso en trabajo

Inundaciones V6 Daño de Equipos

Pérdida de Información física y lógica

Retraso en trabajo

Sismos V7 Daño de Equipos

Retraso en trabajo

Lluvias torrenciales V8 Daño de Equipos

Retraso en trabajo

Incendios V9 Daño de Equipos

Retraso en trabajo

Terremotos V10 Daño de Equipos

Retraso en trabajo

Sabotaje computacional V11 Retraso en trabajo

Acceso al centro de

cómputo

V12 Pérdida de Información física y lógica

Retraso en trabajo

Escasez de energía V13 Pérdida de Información lógica

Retraso en trabajo

Indisponibilidad de información

Fallas en la red V14 Pérdida de Información lógica

Retraso en trabajo

Indisponibilidad de información

Acceso a la red por parte

de personas ajenas a la

entidad

V15 Pérdida de información confidencial

Falla en los dispositivos

de almacenamiento del

Servidor

V16 Pérdida de Información lógica

Retraso en trabajo

Indisponibilidad de información

128

AMENAZA CÓDIGO VULNERABILIDAD

Falla en los dispositivos

de almacenamiento de las

computadoras

V17 Pérdida de Información lógica

Retraso en trabajo

Indisponibilidad de información personal

Fallo en el hardware de

los equipos

V18 Pérdida de Información lógica

Retraso en trabajo

Indisponibilidad de información

Configuración incorrecta

de aplicaciones

V19 Retraso en trabajo

Sobredimensionamiento

de clientes inalámbricos

en la red.

V20 Retraso en trabajo

Fallo de acceso a la red

Virus V21 Pérdida de Información lógica

Modificación de información lógica

Retraso en trabajo

Falla de Capacitación de

TI

V22 Retraso en trabajo

Tabla 3. 41 Identificación de vulnerabilidades

3.4.1.8.1.5 Valoración de las vulnerabilidades

Para la valoración de las vulnerabilidades establece un rango enmarcado en el

impacto que tendría una amenaza si esta ocurriese.

1. Bajo impacto.

2. Medio Bajo impacto.

3. Medio impacto.

4. Medio Alto impacto.

5. Alto impacto.

129

AMENAZA CÓDIGO VULNERABILIDAD VALORACIÓN

Robo V1 Pérdida de Equipos 5

Pérdida de Información física y

lógica

Retraso en trabajo

Hackers V2 Pérdida de Equipos 4

Pérdida de Información lógica

Retraso en trabajo

Artefactos explosivos V3 Pérdida de Equipos 3

Retraso en trabajo

Fugas de gas o agua V4 Pérdida de Equipos 4

Pérdida de Información física y

lógica

Retraso en trabajo

Incendios V5 Daño de Equipos 5

Pérdida de Información física y

lógica

Retraso en trabajo

Inundaciones V6 Daño de Equipos 4

Pérdida de Información física y

lógica

Retraso en trabajo

Sismos V7 Daño de Equipos 2

Retraso en trabajo

Lluvias torrenciales V8 Daño de Equipos 2

Retraso en trabajo

Incendios V9 Daño de Equipos 3

Retraso en trabajo

Terremotos V10 Daño de Equipos 3

Retraso en trabajo

Sabotaje computacional V11 Retraso en trabajo 2

Acceso al centro de

cómputo

V12 Pérdida de Información física y

lógica

3

Retraso en trabajo

130

Escasez de energía V13 Pérdida de Información lógica 5

Retraso en trabajo

Indisponibilidad de información

AMENAZA CÓDIGO VULNERABILIDAD VALORACIÓN

Fallas en la red V14 Pérdida de Información lógica 4

Retraso en trabajo

Indisponibilidad de información

Acceso a la red por

parte de personas

ajenas a la entidad

V15 Pérdida de información

confidencial

3

Falla en los dispositivos

de almacenamiento del

Servidor

V16 Pérdida de Información lógica 5

Retraso en trabajo

Indisponibilidad de información

Falla en los dispositivos

de almacenamiento de

las computadoras

V17 Pérdida de Información lógica 4

Retraso en trabajo

Indisponibilidad de información

personal

Fallo en el hardware de

los equipos

V18 Pérdida de Información lógica 3

Retraso en trabajo

Indisponibilidad de información

Configuración incorrecta

de aplicaciones

V19 Retraso en trabajo 3

Sobredimensionamiento

de clientes inalámbricos

en la red.

V20 Retraso en trabajo 4

Fallo de acceso a la red

Virus V21 Pérdida de Información lógica 5

Modificación de información

lógica

Retraso en trabajo

Falla de capacitación en

TI

V22 Retraso en trabajo 4

Tabla 3. 42 Valoración de las vulnerabilidades

131

Luego se analizarán las Probabilidades y Vulnerabilidades de cada riesgo

identificado, con lo cual se justificarán las decisiones tomadas.

3.4.1.8.1.6 Evaluación de niveles de riesgos

“Riesgo.- Evento que podría causar daño o pérdidas, o afectar la habilidad de

alcanzar Objetivos. Un Riesgo es medido por la probabilidad de una Amenaza, la

Vulnerabilidad del Activo a esa Amenaza, y por el Impacto que tendría en caso

que ocurriera.”49

A continuación en la Tabla 3.43, la cual es un extracto del Anexo 4: GF-

Evaluación de Riesgos, se presenta la probabilidad de ocurrencia del riesgo,

para uno de los activos más sensibles de Grupo FARO que es el Sistema

Contable.

Para la determinación del riesgo, se han tomado extractos de las tablas:

Tabla 3.39: Valoración de activos TI.

Tabla 3.40: Valoración de amenazas.

Tabla 3.42: Valoración de las vulnerabilidades.

Con dichos datos, se realizó la operación:

Riesgo = Amenaza * Vulnerabilidad.

49 ITIL Spanish (Latin American) 2011 Glossary

ACTIVO VALOR

DEL

ACTIVO

AMENAZA VALOR DE

AMENAZA

VULNERABILIDAD VALOR DE

VULNERABILIDAD

RIESGO

SOFTWARE

CONTABLE

5 A1 3 V1 5 75

5 A2 3 V2 4 60

5 A3 2 V3 3 30

5 A4 5 V4 4 100

5 A5 3 V5 5 75

5 A6 5 V6 4 100

5 A7 2 V7 2 20

5 A8 4 V8 2 40

132

Tabla 3. 43 Evaluación de niveles de riesgos

Como podemos observar en la Tabla 3.43 los valores de niveles de riesgos para

los Activos de Tecnologías de Información de Grupo FARO son altos para

Sistema Contable y bajos para Adobe Reader.

Revisión de Riesgo Software Contable

Como ejemplo tomaremos el caso del valor de riesgo igual a 125, que se basa en

la probabilidad de que la organización tenga una amenaza (A21) Virus

conjuntamente con la vulnerabilidad (V21) Pérdida de información lógica,

Modificación de información lógica, Retraso en el trabajo, este hace

referencia a la probabilidad de un mayor impacto en los procesos del negocio, si

el servidor es propenso a ataques de virus informáticos.

Observamos que las vulnerabilidades con mayor ponderación del software

contable son:

V1: Robo.

V5: Incendios.

V13: Escasez de energía.

V16: Falla en los dispositivos de almacenamiento del servidor.

V21: Virus

5 A9 4 V9 3 60

5 A10 3 V10 3 45

5 A11 3 V11 2 30

5 A12 4 V12 3 60

5 A13 3 V13 5 75

5 A14 3 V14 4 60

5 A15 3 V15 3 45

5 A16 4 V16 5 100

5 A17 5 V17 4 100

5 A18 5 V18 3 75

5 A19 3 V19 3 45

5 A20 4 V20 4 80

5 A21 5 V21 5 125

5 A22 4 V22 4 80

133

Gracias a los datos que se extraen de la Tabla 3.44 Control de riesgos, podemos

observar para este caso específico las actividades que se deben realizar; por

ejemplo, en el caso de Robo, el impacto se reduciría si se toman las siguientes

acciones:

· Contratar seguro contra robo.

· Realizar respaldo de equipos.

· Elaborar políticas de back-up.

Para el valor de riesgo igual a 20, que se basa en la probabilidad tenga una

amenaza de (A7) Sismos conjuntamente con la vulnerabilidad (V7) Daño de

equipos, Retraso en el trabajo, no se debe descartar dicho riesgo, pero de igual

manera, se debe tener en cuenta las opciones de control debido a que si se

tendrá un impacto en los procesos del negocio si ocurriese un Sismo.

3.4.1.8.1.7 Control y opciones de control de riesgos.

La siguiente tabla nos muestra los Riesgos y el control que se les dará.

AMENAZA CONTROL DE RIESGO

Robo Seguro contra robo

Respaldo equipos

Políticas back-up

Hackers Políticas de back-up

Firewall

Monitoreo de Red

Artefactos explosivos Sanciones por negligencia

Fugas de gas o agua Buenas prácticas de ubicación de equipos

Seguro de equipos

Incendios Alarma contra incendios

Seguro contra incendio

Respaldo de elementos de la red

Inundaciones Respaldo de equipos

Sismos Políticas de seguridad

Lluvias torrenciales Seguro de equipos

Buenas prácticas de ubicación de equipos

Incendios Alarma contra incendios

Seguro contra incendio

134

Respaldo de elementos de la red

Terremotos Seguro contra terremotos

Respaldo de equipos

Sabotaje computacional Sanciones por negligencia

Acceso al centro de cómputo Puerta con candado del centro de cómputo

Escasez de energía Planta de energía alterna

Equipos de protección de equipos

Fallas en la red Monitoreo de la red

Mantenimiento de la red

Acceso a la red por parte de personas

ajenas a la entidad

Aumentar seguridad en el acceso a la red

Falla en los dispositivos de

almacenamiento del Servidor

Discos respaldo servidor

Política de Back-up

Falla en los dispositivos de

almacenamiento de las computadoras

Concientización a usuarios

Políticas de Back-up

Fallo en el hardware de los equipos Garantía de equipos

Respaldo de equipos

Hardware back-up

Configuración incorrecta de

aplicaciones

Manual de procedimientos de aplicaciones

Sobredimensionamiento de clientes

inalámbricos en la red.

Access Point extra

Monitoreo de red

Virus Antivirus actualizado

Concientización a usuarios

Políticas de Back-up

Políticas de Seguridad

Falla capacitación en TI Capacitación a usuarios

Tabla 3. 44 Control de riesgos

Las opciones de control de Riesgo se dividen en cuatro categorías

Aceptación del Riesgo.- Reside en aceptar el riesgo, y no tomar acciones para

evitarlo.

Anulación del Riesgo.-Consiste en reducir el riesgo a niveles tolerables.

Reducción del Riesgo.- Reside en reducir el riesgo a niveles tolerables.

Transferencia de Riesgo.- Consiste en escalar el riesgo a otra entidad

especializada en el mismo.

135

En la siguiente tabla se las ha organizado en función a cada Amenaza y su control

de riesgo.

AMENAZA CONTROL DE RIESGO OPCIÓN DE CONTROL

Robo Seguro contra robo Transferencia del riesgo

Respaldo equipos Reducción del riesgo

Políticas back-up Reducción del riesgo

Hackers Políticas de back-up Reducción del riesgo

Firewall Reducción del riesgo

Monitoreo de Red Reducción del riesgo

Artefactos explosivos Políticas de seguridad Reducción del riesgo

Fugas de gas o agua Seguro de equipos Transferencia del riesgo

Incendios Alarma contra incendios Reducción del riesgo

Seguro contra incendio Transferencia del riesgo

Respaldo de elementos de la

red

Reducción del riesgo

Inundaciones Seguro contra inundaciones Anulación del riesgo

Respaldo de equipos Reducción del riesgo

Sismos Seguro contra terremotos Transferencia del riesgo

Respaldo de equipos Reducción del riesgo

Lluvias Torrenciales Respaldo de equipos Reducción del riesgo

Incendios Alarma contra incendios Reducción del riesgo

Seguro contra incendio Transferencia del riesgo

Respaldo de elementos de la

red

Reducción del riesgo

Sabotaje computacional Sanciones por negligencia Reducción del riesgo

Recalentamiento de equipos Seguro técnico de equipos Transferencia del riesgo

Mantenimiento preventivo Reducción del riesgo

Escasez de energía Planta de energía alterna Anulación del riesgo

Equipos de protección de

equipos

Reducción del riesgo

Fallas en la red Monitoreo de la red Reducción del riesgo

Mantenimiento preventivo de

la red

Reducción del riesgo

Acceso a la red por parte de

personas ajenas a la entidad

Aumentar seguridad en el

ingreso a solo personal

autorizado

Anulación del riesgo

136

AMENAZA CONTROL DE RIESGO OPCIÓN DE CONTROL

Falla en los dispositivos de

almacenamiento del Servidor

Discos respaldo servidor Reducción del riesgo

Política de Back-up Reducción del riesgo

Respaldo de información on

line

Reducción del riesgo

Falla en los dispositivos de

almacenamiento de las

computadoras

Concientización a usuarios Reducción del riesgo

Políticas de Back-up Reducción del riesgo

Fallo en el hardware de los

equipos

Garantía de equipos Reducción del riesgo

Respaldo de equipos Reducción del riesgo

Hardware back-up Reducción del riesgo

Configuración incorrecta de

aplicaciones

Manual de procedimientos de

aplicaciones

Anulación del riesgo

Sobredimensionamiento de

clientes inalámbricos en la

red.

Access Point extra Anulación del riesgo

Monitoreo de red Reducción del riesgo

Virus Antivirus actualizado Reducción del riesgo

Concientización a usuarios Reducción del riesgo

Políticas de Back-up Reducción del riesgo

Políticas de Seguridad Reducción del riesgo

Falla capacitación en TI Capacitación a usuarios Reducción del riesgo

Tabla 3. 45 Opciones de control de Riesgos

3.5 DISEÑO DE LA RECUPERACIÓN

En esta sección se especificará el proceso previo que se seguirá para mejorar los

niveles de recuperación del servicio, además que se desarrollará una explicación

breve de las medidas, las métricas y los procesos empleados para la

recuperación.

Las copias de seguridad son una forma de protección de datos tal que permiten la

recuperación de la información (ya sean datos o aplicaciones) en el caso de:

Pérdida del equipamiento informático (o hardware), debido a desastres naturales,

fallos de disco, errores de operación del sistema.

137

De igual importancia que la protección física del equipamiento es la protección de

los medios empleados para realizar las copias de seguridad.

3.5.1 MEDIDA DE RECUPERACIÓN DE INCIDENTE

En la tabla 3.46, se especifican las medidas de recuperación para cada servicio

que se tiene en la organización.

Nombre del Servicio Medida de recuperación

Active Directory · Tener un respaldo de las bases de datos de

usuarios del dominio.

· Tener un servidor Virtual con Active Directory

de Back-up

Internet · Disponer de dispositivos de internet portables

para las áreas críticas del negocio.

· Cambio del dispositivo entregado por el

proveedor.

· Definir las vías de contacto directo con los

proveedores (teléfono convencional, teléfono

celular, correo electrónico)

Correo electrónico · Configurar el correo electrónico en el

computador, mediante POP3.

· Elaborar una política de respaldo semanal del

archivo de correos en medios externos.

· Elaborar un nuevo archivo de correo si este

sobrepasa el 1Gb.

Microsoft Office · Contar con el instalador de la versión

software instalado.

· Establecer copias de seguridad automáticas

de los archivos creados en Microsoft Office

Outlook · Contar con el instalador de la versión

software instalado.

Aura Portal · Contar con un respaldo del instalador con la

versión empleada para el servidor.

· Contar con manuales de instalación y

configuración del servidor y clientes.

· Tener un respaldo de las Bases de datos de

usuarios del sistema, configuraciones de

procesos, etc.

138

· Disponer de un servidor virtual de remplazo

con todas las configuraciones realizadas.

·

Nombre del Servicio Medida de recuperación

Antivirus · Contar con un respaldo del instalador.

· Disponer de un archivo con las

actualizaciones de las bases de datos del

antivirus.

Software Contable · Disponer de un respaldo del instalador y las

configuraciones pertinentes.

· Contar con manuales de instalación y

configuración del servidor y clientes.

· Tener un respaldo de las bases de datos,

tanto en un medio externo, como en línea.

Impresora · Escalar al proveedor solicitando el arreglo

inmediato del dispositivo.

Copiadora · Escalar al proveedor solicitando el arreglo

inmediato del dispositivo.

Fax · Escalar al proveedor solicitando el arreglo

inmediato del dispositivo.

Cableado Estructurado · Disponer del diagrama detallado de la red.

· Poseer suministros de respaldo como: Jacks,

ponchadora, cable CAT 5e.

Equipos de computación · Disponer de equipos de contingencia.

· Mantener actualizado el inventario y según el

mismo coordinar los equipos con

disponibilidad

Hardware de conectividad · Disponer de hardware de infraestructura de TI

extra.

Acceso remoto · Disponer de un inventario de direcciones IP

organizado y actualizado.

Disco duro de Back-up · Disponer de un disco duro aparte, y en un

lugar distinto al cuarto de equipos.

Tabla 3. 46 Medidas de recuperación de incidentes

En la tabla 3.47, se muestra un extracto de la tabla 3.31: Requerimientos de

disponibilidad y recuperación de los servicios, mediante la cual, obtenemos

información como: Tiempo de recuperación y responsable de la recuperación.

139

Nombre del

Servicio

Tiempo de

recuperación

Tipo de

Soporte

Responsable

Active Directory 1 hora Interno Alejandro Velasco

Internet 1 hora Interno –

Externo

Alejandro Velasco – Tv

Cable

Correo

electrónico

30 minutos Interno –

Externo

Alejandro Velasco

Microsoft Office 30 minutos Interno Alejandro Velasco

Outlook 30 minutos Interno Alejandro Velasco

Aura Portal 2 horas Interno –

Externo

Alejandro Velasco –

Marcelo Avilés

Antivirus 30 minutos Interno Alejandro Velasco

Software

Contable

20 minutos Interno -

Externo

Alejandro Velasco –

Soporte Dbware

Impresora 1 hora Interno –

Externo

Alejandro Velasco –

Soporte Ecuaprint

Copiadora 1 hora Interno –

Externo

Alejandro Velasco –

Soporte Ecuaprint

Fax 1 hora Interno Alejandro Velasco –

Soporte Ecuaprint

Cableado

Estructurado

2 horas Interno Alejandro Velasco

Equipos de

computación

3 horas Interno –

Externo

Alejandro Velasco

Hardware de

conectividad

1 hora Interno -

Externo

Alejandro Velasco

Acceso remoto 30 minutos Interno Alejandro Velasco

Disco duro de

Back-up

30 minutos Interno Alejandro Velasco

Tabla 3. 47 Servicios de Ti, tiempo de recuperación y responsables.

140

3.5.2 MÉTRICAS DE RECUPERACIÓN

Determinar los servicios sensibles de TI y el tiempo de recuperación los mismos.

A continuación en la Tabla 3.48 se muestran parámetros los cuales serán

evaluarán en función del tiempo.

Parámetro Especificación Tiempo

Tiempo de adquisición de un

servidor con similares

características al afectado.

Tiempo transcurrido, desde

que se solicita el servidor al

proveedor, hasta que el mismo

es entregado

3 días

Tiempo de instalación y

configuración de Aplicaciones en

Servidor.

Tiempo transcurrido, desde

que se inicializa la instalación

del Sistema Operativo en

servidor utilizado por Grupo

FARO, hasta la finalización y

comprobación de su correcto

funcionamiento

2 días

Tiempo de instalación y

configuración de software en

equipos de usuarios

Tiempo transcurrido, desde

que se recibe una notificación

de instalación hasta la

finalización y comprobación de

su correcto funcionamiento de

los sistemas operativos

descritos en la Tabla 2.4

5 horas

Tiempo de Instalación y

configuración de impresoras

Tiempo transcurrido, desde

que se recibe la impresora por

parte del proveedor, hasta que

está se encuentra instalada y

habilitada para todos los

usuarios de la organización

4 horas

Tiempo de instalación y

configuración del BPMS Aura

Portal

Tiempo transcurrido, desde

que se inicializan las

instalaciones, hasta que el

servicio se encuentra

levantado y probado.

2 días

Tiempo de Obtención de back-ups Tiempo transcurrido, desde

que se inicia con la obtención

de back-ups, hasta la

3 horas

141

finalización y comprobación de

la información respaldada en el

disco externo.

Tiempo para instalación y

configuración del Software

Contable

Tiempo transcurrido, desde

que se inicializan las

instalaciones del Software

Contable, hasta que el servicio

se encuentra activado y

probado.

3 horas

Tiempo para el diseño e

implementación de una red LAN

exclusiva para el Área

Administrativa

Tiempo transcurrido desde el

diseño de la red LAN, hasta la

implementación y pruebas de

la misma

5 días

Tiempo para la implementación de

Access Points extras.

Tiempo transcurrido, desde la

adquisición del Access point

hasta la instalación y pruebas

del mismo.

5 días

Tabla 3. 48 Métricas de recuperación.

3.5.3 RESPALDO O BACK-UP

A continuación se especifica un extracto del Anexo 5: GF-Política de Back-up.

3.5.3.1 Aspectos de las copias de seguridad.

Ámbito de aplicación.-El sistema del que se pretende realizar copias de

seguridad está formado por un servidor de aplicaciones (Aura Portal) y diversos

puestos de trabajo.

Tipo de Datos.- El tipo de datos de los cuales se realizará el back up serán los

documentos empleados por cada usuario.

Periodicidad

Las copias de respaldo se las realizará cada día, a las 13h00.

142

Elección del soporte para el backup

Las copias se van a realizar en tres soportes distintos:

· Disco duro Servidor particionado con RAID 1.

· Disco duro externo HP 500Gb.

· Backup remoto.

Los archivos serán respaldados cada día entre las 12h30 y las 13h00 en el disco

duro externo.

Método empleado

El método empleado será incremental y absoluto.

Ubicación final de las copias.

La ubicación final de los dispositivos de backup y alternativamente los medios de

almacenamiento debe realizarse en una zona alejada respecto de la sala de

equipamiento informático.

Responsables

Administrador de TI será el encargado de realizar las copias de seguridad así

como de llevar a cabo la comprobación de la integridad de los datos.

3.5.4 GESTIÓN DE SISTEMAS

En la sección 3.4.1.2 se especifican las herramientas usadas actualmente, y las

recomendadas a implementar en la organización, como por ejemplo.

· MAC Scanner.

· OCS Inventory

.

143

3.5.5 RESTAURACIÓN DEL SERVICIO

Para la restauración del servicio, se tomará en cuenta los datos especificados

anteriormente en la Tabla 3.31 Requerimientos de Disponibilidad y recuperación

de los servicios, y en la Tabla 3.48 Métricas de recuperación.

Se mantendrá el criterio de que para que un incidente sea cerrado, el servicio

debe ser instalado y se ha restablecido el funcionamiento normal de los procesos

del negocio.

Si la restauración del servicio se lo realiza por personal externo, se debe probar

mediante un checklist el correcto funcionamiento de los servicios restablecidos,

para que dicho personal pueda realizar las correcciones necesarias de ser el

caso.

Se realizará una prueba con interrupciones específicas a un servicio crítico,

obteniendo la información de la Tabla 3.22 - Mantenimiento preventivo y

correctivo de servidores.

Como podemos observar el siguiente extracto de la Tabla 3.22, se observa que la

suma de los impactos financiero y estratégico es de 14 (nivel alto).

Impacto

financiero

Impacto Operacional

Falta de

confiabilidad

operacional

Satisfacción a

los usuarios

Eficacia

del

servicio

SUMA

Mantenimiento preventivo y correctivo de Servidores.

3 4 3 4 14

Además, obtenemos información de la Tabla 3.31 Requerimientos de

Disponibilidad y recuperación de los servicios, mediante la cual tenemos

información clara para este servicio crítico de:

144

Tiempo de recuperación : 3 horas

Tipo de soporte : Interno y Externo

Responsable : Alejandro Velasco

Nombre del Servicio

Disponibilidad Tiempo de recuperación

Tipo de Soporte

Utilidad Mantenimiento Responsable

Equipos de computación

24/7 3 horas Interno – Externo

Media Semanal Alejandro Velasco

A continuación se muestra un extracto de la Tabla 3.29: MTD, RTO y WRT por

proceso de Negocio. Observamos que por ejemplo las herramientas que usamos

para realizar el mantenimiento son Excel, Impresora e Internet Inalámbrico, y

tenemos un tiempo de 1 a 4 horas, para tenerlo operativo nuevamente.

PROCESOS MTD SERVICIOS DE

TI

RTO WRT

Mantenimiento preventivo y

correctivo de Servidores.

De 1 a 4

horas

Excel 1 hora 30 min

Impresora 30 min -

Internet

Inalámbrico 1 h y 30 -

El Mantenimiento preventivo y correctivo de los servidores, se lo realiza

principalmente para mantener el Servicio de Internet Activo, debido a esto, se

puede observar en la Figura 3.2 Análisis del Árbol de Fallos del Internet fuera de

servicio, los procedimientos de soporte in situm a seguir.

145

Mediante el Análisis del Árbol de fallos, la persona encargada del soporte en la

organización puede basarse en el mismo para reducir los tiempos de respuesta

ante un incidente, en este caso, se procederá a revisar:

a) Fallo de hardware de conectividad interno.

a. Fallo en el Switch, (SW1)

b. Fallo en el Access Point, (AP1) ó (AP2)

b) Fallo por parte del ISP.

a. Mantenimiento de enlaces, (C1 , C15, C2, C3, C4, C16, C5, C6,

C17)

b. Fallo modem, (M1)

c) Pérdida de Energía.

a. Corte de energía eléctrica, (Suministro eléctrico)

A continuación se muestra un extracto de la Tabla 3.38 Matriz de la configuración

del Análisis del Impacto de Fallo de un componente de Grupo FARO, en la cual

podemos observar los componentes antes mencionados y el grado de impacto de

los mismos.

146

Al tener claramente definidos los elementos de configuración, y el impacto hacia

el proceso, se deben tomar en cuenta los backups del elemento de configuración

a llevar, por ejemplo.

SWI1 : Se tiene un respaldo alternativo, no inmediato

AP1 : Se tiene un respaldo alternativo no inmediato

AP2 : La falla de este elemento, provocará inoperatividad del servicio.

M1 : La falla de este elemento, provocará inoperatividad del servicio.

Suministro eléctrico : La falla de este elemento, provocará

inoperatividad del servicio.

CI Mantenimiento preventivo

y correctivo de Servidores.

Suministro eléctrico X

UPS1 B

C1 X

M1 X

C15 A

R1 X

C2 A

SRV4 X

SRV1 X

SRV2 X

SRV3 X

SWI1 B

C16 A

C5 A

AP1 B

C6 X

AP2 X

C17 X

I3 B

SW2 X

SW3 A

147

SW4 A

SW5 A

SW6 A

SW9 X

SW10 X

SW11 X

En la Tabla 3.46, medidas de recuperación de incidentes, podemos disponer de

las mismas para este caso:

Internet

· Disponer de dispositivos de internet portables para las áreas críticas del

negocio.

· Cambio del dispositivo entregado por el proveedor.

· Definir las vías de contacto directo con los proveedores (teléfono

convencional, teléfono celular, correo electrónico).

Se puede contactar al proveedor mediante:

a) Formulario de contacto, ingresando a la siguiente dirección electrónica:

http://www.grupotvcable.com.ec/grupo/contacto_corporativo

b) Teléfono convencional : 6004111

Para la atención como cliente corporativo, debemos presentar el RUC

de la empresa: 1791975081001.

Cableado Estructurado

· Disponer del diagrama detallado de la red.

· Poseer suministros de respaldo como: Jacks, ponchadora, cable CAT 5e.

Back up o respaldo

Si mientras ocurre el incidente, tenemos información que necesitamos recuperar,

nos debemos guiar en la sección 3.5.3 de este documento: Respaldo o Back-up.

En este caso las medidas de recuperación serían:

a) Verificar información en el Servidor de Archivos.

b) Verificar información en el Disco Duro Externo de la organización.

c) Verificar información en el respaldo on-line.

148

3.6 CONSIDERACIONES DE SEGURIDAD

Para las consideraciones de seguridad, se han establecido los siguientes

parámetros los cuales han sido un extracto de las consideraciones de seguridad

presentes en el Estándar Internacional ISO/IEC 17799.

A continuación se presenta un extracto del Anexo 6: GF-Política de Seguridad.

3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS

· Toda adquisición de tecnología informática se efectuará a través del

personal de la Administración de Informática.

· La adquisición de Bienes de Informática en GRUPO FARO, quedará sujeta

a los lineamientos establecidos en este documento.

3.6.1.1 Capacidades

Se deberá analizar si satisface la demanda actual con un margen de holgura y

capacidad de crecimiento para soportar la carga de trabajo del área.

Para la adquisición de Hardware se observará lo siguiente:

· Los equipos complementarios deberán tener una garantía mínima de un

año y deberán contar con el servicio técnico correspondiente en el país.

· La marca de los equipos o componentes deberá contar con presencia y

permanencia demostrada en el mercado nacional e internacional, así como

con asistencia técnica y refaccionaria local. Tratándose de

microcomputadores, a fin de mantener actualizada la arquitectura

informática de GRUPO FARO.

· Los dispositivos de almacenamiento, así como las interfaces de

entrada / salida, deberán estar acordes con la tecnología de punta vigente,

tanto en velocidad de transferencia de datos, como en procesamiento.

149

Las impresoras deberán apegarse a los estándares de Hardware y Software

vigentes en el mercado y en GRUPO FARO, corroborando que los suministros

(cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a

un solo proveedor.

3.6.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO

La instalación del equipo de cómputo, quedará sujeta a los siguientes

lineamientos:

· Los equipos para uso interno se instalarán en lugares adecuados,

lejos de polvo y tráfico de personas.

· La Administración de Informática, así como las áreas operativas

deberán contar con un croquis actualizado de las instalaciones eléctricas

y de comunicaciones del equipo de cómputo en red.

3.6.2.1 Seguridad de la información.

La información almacenada en medios magnéticos se deberá inventariar,

anexando la descripción y las especificaciones de la misma, clasificándola en dos

categorías:

· Información de interés de la organización.

· Información de interés exclusivo de alguna área en particular.

En caso de información vital para el funcionamiento del área, se deberán tener

procesos colaborativos, así como tener el respaldo diario de las modificaciones

efectuadas, rotando los dispositivos de respaldo y guardando respaldos

históricos semanalmente.

3.6.2.2 Gestión interna de soporte

Es obligación de la Administración de Informática vigilar que el equipo de cómputo

se use bajo las condiciones especificadas por el proveedor y de acuerdo a las

funciones del área a la que se asigne.

150

Se establecen los siguientes lineamientos:

· Mantener claves de acceso que permitan el uso solamente al personal

autorizado para ello.

· Verificar la información que provenga de fuentes externas a fin de

corroborar que esté libre de cualquier agente contaminante o perjudicial

para el funcionamiento de los equipos.

3.6.3 PLAN DE CONTINGENCIAS INFORMÁTICAS

La Administración de Informática creará para los departamentos un plan de

contingencias informáticas que incluya al menos los siguientes puntos:

· Continuar con la operación del área con procedimientos informáticos

alternos.

· Tener los respaldos de información en un lugar seguro, fuera del lugar en

el que se encuentran los equipos.

· Contar con un instructivo de operación para la detección de posibles

fallas, para que toda acción correctiva se efectúe con la mínima

degradación posible de los datos.

3.6.3.1 Estratégias Informáticas

La estrategia informática de GRUPO FARO está orientada hacia los siguientes

puntos:

· Estandarización de hardware, software base, utilitarios y estructuras de

datos.

· Manejo de proyectos conjuntos con las diferentes áreas.

3.6.4 SEGURIDAD FÍSICA Y DE ENTORNO

Sólo al personal autorizado le está permitido el acceso a las instalaciones donde

se almacena la información confidencial de GRUPO FARO.

151

Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en

las instalaciones donde se almacena la información confidencial, y durante un

período de tiempo justificado.

3.6.4.1 Identificadores de usuario y contraseñas

· Todos los usuarios con acceso a un sistema de información o a una

red informática, dispondrán de una única autorización de acceso

compuesta de identificador de usuario y contraseña.

· Ningún usuario recibirá un identificador de acceso a la Red de

Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no

acepte formalmente la Política de Seguridad vigente.

3.6.5 QUEDA PROHIBIDO

· El uso de estos recursos para actividades no relacionadas con el

propósito del negocio, o bien con la extralimitación en su uso.

· Introducir en los Sistemas de Información o la Red Corporativa contenidos

obscenos, amenazadores, inmorales u ofensivos.

3.6.5.1 Software

Todo el personal que accede a los Sistemas de Información de GRUPO FARO

debe utilizar únicamente las versiones de software facilitadas y siguiendo sus

normas de utilización.

3.6.5.2 Recursos de red

De forma rigurosa, ninguna persona debe:

· Conectar a ninguno de los Recursos, ningún tipo de equipo de

comunicaciones (Ej. módem) que posibilite la conexión a la Red

Corporativa.

· Conectarse a la Red Corporativa a través de otros medios que no sean los

definidos.

152

3.6.5.3 Conectividad a internet

La autorización de acceso a Internet se concede exclusivamente para

actividades de trabajo. Todos los colaboradores de GRUPO FARO tienen las

mismas responsabilidades en cuanto al uso de Internet.

El acceso a Internet se restringe exclusivamente a través de la Red establecida

para ello, es decir, por medio del sistema de seguridad con cortafuegos

incorporado en la misma.

3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD

Debido a la propia evolución de la tecnología y las amenazas de seguridad, y a

las nuevas aportaciones legales en la materia, GRUPO FARO se reserva el

derecho a modificar esta Política cuando sea necesario. Los cambios realizados

en esta Política serán divulgados a todos los colaboradores de GRUPO FARO.

3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD

INFORMÁTICA.

Los beneficios de un sistema de seguridad con políticas claramente concebidas

bien elaboradas son inmediatos, ya que GRUPO FARO trabajará sobre una

plataforma confiable, que se refleja en los siguientes puntos:

· Aumento de la productividad.

· Aumento de la motivación del personal.

· Compromiso con la misión de la compañía.

· Mejora de las relaciones laborales.

· Ayuda a formar equipos competentes.

3.7 MANTENIMIENTO DEL PLAN

Entre las consideraciones del Mantenimiento del plan tenemos las siguientes:

· Periodicidad y responsabilidad.

· Monitoreo de la gestión de disponibilidad.

153

· Actualización de requisitos de disponibilidad.

· Métodos y técnicas usados para la gestión de disponibilidad.

3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS

3.7.1.1 Periodicidad

La periodicidad se basa en los siguientes eventos

· Cada vez que se implemente un nuevo servicio.

· Cambios en procesos del negocio.

· Posterior a un incidente.

· Cada cuatro meses.

3.7.1.2 Responsabilidad

Administrador de Tecnologías de Información de Grupo FARO.

3.7.1.3 Involucrados

Administrador de Tecnologías de Información, Subdirección General.

3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD

Se recomienda optimizar el uso de las herramientas ya existentes:

· MAC Scanner.

· Iptools.

· Nagios.

Además de implementar otras herramientas gratuitas para el monitoreo de Red

como:

· “OCS Inventory.- Open Computers and Software Inventory Next Generation

es una solución de gestión técnica de los activos de TI.”50

50http://www.ocsinventory-ng.org/en/

154

· “OTRS.- Es la suite de código abierto líder en innovación de servicios, que

incluye Help Desk, una solución para la gestión de servicios de IT (ITSM)

compatible con ITIL®, así como la plataforma tecnológica de soporte.”51

3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD

Si se desean actualizar los requisitos de disponibilidad, se deben tomar en

cuenta:

Incidentes

· Fallos en la recuperación del servicio.

· Aumento o disminución de elementos de configuración del servicio los

cuales son cualquier componente que necesite ser gestionado con el

objeto de proveer un Servicio de TI.

· Cambio en los procedimientos utilizados para la gestión de incidentes.

Infraestructura

La elaborar de la infraestructura debe ser elaborado acorde a los objetivos del

negocio, priorizando los procesos que si se interrumpen dejarían gran cantidad de

pérdidas a la organización.

Riesgos

En el Análisis de Riesgos, se deben identificar y valorar las amenazas y

vulnerabilidades de los nuevos servicios acorde a lo indicado.

Recuperación

En el diseño de la recuperación se deben garantizar los procesos necesarios para

la recuperación de los servicios y la puesta en marcha de las operaciones con

normalidad lo más pronto posible, en caso del fallo de los mismos.

51http://www.otrs.com/es/

155

Seguridad

En las consideraciones de seguridad, se deben realizar cambios a las políticas,

una vez que se den cambios en las regulaciones del negocio.

3.7.4 MÉTODOS Y TÉCNICAS

Los métodos a implementarse serán los siguientes:

· CFIA.

· FTA.

156

CAPÍTULO 4

CONCLUSIONES Y RECOMENDACIONES

La elaboración del plan de disponibilidad para la ONG Grupo FARO, ha dado

como resultado las siguientes conclusiones y recomendaciones.

4.1 CONCLUSIONES

· Es de suma importancia interactuar personalmente con los usuarios para la

realización del levantamiento de las actividades y las herramientas de TI

utilizadas, además de la explicación de los criterios acerca de los impactos

tanto financieros como operacionales.

· Los datos de requerimientos de disponibilidad se han obtenido, gracias al

trabajo de un año en la administración de las tecnologías de información en

Grupo FARO, en un trabajo conjunto entre el departamento de TI,

Subdirección y Dirección Administrativa-Financiera.

· La reducción de riesgo, es la opción de control de riesgos más empleada

debido a la naturaleza de las amenazas de Tecnologías de Información.

· La reducción del impacto que tendrían las vulnerabilidades en la

organización se produce, debido a que con el conocimiento acerca de las

opciones de control de riesgo, se pueden tomar decisiones claras y

oportunas para la reducción del impacto.

· Dentro de las diferentes técnicas del análisis de puntos individuales de

fallos, se puede verificar que la energía eléctrica y la conectividad son

Elementos de Configuración.

· El levantamiento de información de todos los elementos de configuración

157

de la organización es un indicador esencial para la propuesta de mejoras

de la infraestructura, debido a que con estos datos se tiene una visión real

del inventario de los activos de TI y sus características.

· El impacto en la falla de cualquier Elemento de Configuración (CI),

administrado por el Área de Tecnologías de la información, afectará

directamente a los procesos del negocio y por ende a las actividades de los

usuarios de la organización.

· Por medio del plan de disponibilidad se ha podido identificar los procesos

más relevantes que afecten a los objetivos de la organización y poder

ejecutar las acciones más efectivas en lo que se refiere a respaldar la

información y retomar las actividades.

4.2 RECOMENDACIONES

· La Gestión de Disponibilidad debe implementarse con una clara etapa de

socialización a los usuarios de la red de comunicaciones, debido a que es

una tarea conjunta con el área de Tecnologías e Información.

· Se debe concientizar a los usuarios de la Red de Comunicaciones acerca

de los impactos financieros como operativos causados por la falta de

disponibilidad, y como la colaboración de cada uno de los usuarios puede

aportar a lograr los objetivos del negocio.

· Se recomienda relacionar la gestión de disponibilidad con los diferentes

disciplinas de Gestión de Tecnologías de Información acordes a la

organización tales como:

· Gestión de continuidad del Servicio.

· Gestión de nivel de Servicio.

158

· Se recomienda tomar en cuenta los controles de riesgo especificados en el

Plan de Disponibilidad para así disminuir el tiempo de ejecución del servicio

ante una amenaza.

· Se recomienda el uso de las herramientas de monitoreo indicadas, para

conocer el estado de la infraestructura como dato importante en caso que

ocurra un incidente.

· Se recomienda, la revisión y actualización del presente plan de

disponibilidad, cada vez que un equipo ingresa al parque tecnológico de

Grupo FARO, o a su vez, si se implementan nuevas aplicaciones que sean

utilizadas por los usuarios de la red.

· Se recomienda, en base a los datos obtenidos en el presente plan,

disponer de un respaldo tanto de hardware como de software, para

incrementar el tiempo de recuperación de equipos y aplicaciones.

· Se recomienda el uso del presente documento, para lo solución rápida y

oportuna de los incidentes presentados en la organización, para lo cual se

puede tomar referencia el subcapítulo 3.5 Restauración del servicio, donde

se ha tomado un ejemplo práctico acerca de los lineamientos a seguir en

caso de la presencia de un incidente.

159

BIBLIOGRAFÍA

Artículos y direcciones electrónicas.

[1] http://www.itescam.edu.mx/principal/sylabus/fpdb/recursos/r21988.PDF

[2] http://www.rediris.es/difusion/eventos/foros-

seguridad/fs2012/archivo/analisis_riesgos_upct.pdf

[3] http://es.scribd.com/doc/52679391/Analisis-de-Arboles-de-Falla-FTA

[4] http://www.itsmsolutions.com/newsletters/DITYvol1iss5.htm

[5] http://www.nhbarcelona.com/area-

cliente/ejercicios/presentacion_configuracion_itil_servicios_ti.pdf

[6] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf

[7] http://www.sisteseg.com/files/Microsoft_Word_METODOLOGIA_PLAN_RE

CUPERACION_ANTE_DESASTRES_DRP.pdf

[8] http://wikidrp.wikispaces.com/file/view/ANTEPROYECTO_V6%5B1%5D.pdf

[9] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf

[10] http://bibdigital.epn.edu.ec/bitstream/15000/952/1/CD-1411.pdf

[11] http://www.acis.org.co/fileadmin/Base_de_Conocimiento/X_JornadaSegu

ridad/ConferenciaDougglasHurtado.pdf

[12] http://www.sisteseg.com/files/Microsoft_PowerPoint_PLANES_DE_CON

TINUIDAD_NEGOCIO_V_3.0.pdf

[13] http://www.sisteseg.com/files/Microsoft_Word_BIA_BUSINESS_IMPACT

_ANALYSIS.pdf

[14] http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library

[15] http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponi

bilidad/vision_general_gestion_de_la_disponibilidad/vision_general_gestion_

de_la_disponibilidad.php

[16] http://www.seriosoft.com/Blog-espagnol/?p=10&page=2

[17] http://www.cpciba.org.ar/archivos/adjuntos/seguridad.pdf

160

Libros

[18] G. Andrade, “Gerencia de Servicios para procesos de Tecnología”, Quito,

2012.

[19] Office of Government Commerce (OGC), “ITIL la Llave para la

Gestión de los Servicios TI. Mejores Prácticas para la Provisión del

Servicio versión 3”, EEUU, 2007.

[20] J. Jiménez, “ITIL® V3 Glosario, v2.1”, EEUU, 2009.

[21] V.J Bon y A. Koltho, “Fundamentos de la Gestión de Servicios de TI:

Basada en ITIL, Volumen 3”, EEUU, 2009.

Tesis

[22] RAMÍREZ Giovanny, “Desarrollo de un sistema para la gestión de

cambios en la infraestructura de TI, aplicado a un caso de estudio”, Febrero

2008.

[23] BAÑOS Eduardo, CARRERA Pamela, “Elaboración del plan de

disponibilidad de ti para la Empresa Reliance”, Septiembre 2010.

[24] LEIVA Ana Lucia, “Desarrollo del plan de continuidad del negocio para el

departamento de TI de una empresa farmacéutica”, Febrero 2008.

161

ANEXOS

· Anexo 1: GF-Formato Encuesta ON-LINE.

· Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y

operacional.

· Anexo 3: GF-Análisis por Árboles de Fallo.

· Anexo 4: GF-Evaluación de Riesgos.

· Anexo 5: GF-Política de Back-up.

· Anexo 6: GF-Política de Seguridad.

· Anexo 7: GF-Tabulación encuestas Grupo FARO.

· Anexo 8: GF-Tabulación encuestas on-line.

· Anexo 9: GF-Documento de satisfacción Grupo FARO.