escuela politÉcnica nacional - …bibdigital.epn.edu.ec/bitstream/15000/6405/1/cd-4935.pdf · ......
TRANSCRIPT
La versión digital de esta tesis está protegida por la Ley de Derechos de Autor del
Ecuador.
Los derechos de autor han sido entregados a la “ESCUELA POLITÉCNICA
NACIONAL” bajo el libre consentimiento del (los) autor(es).
Al consultar esta tesis deberá acatar con las disposiciones de la Ley y las
siguientes condiciones de uso:
· Cualquier uso que haga de estos documentos o imágenes deben ser sólo para
efectos de investigación o estudio académico, y usted no puede ponerlos a
disposición de otra persona.
· Usted deberá reconocer el derecho del autor a ser identificado y citado como el
autor de esta tesis.
· No se podrá obtener ningún beneficio comercial y las obras derivadas tienen
que estar bajo los mismos términos de licencia que el trabajo original.
El Libre Acceso a la información, promueve el reconocimiento de la originalidad
de las ideas de los demás, respetando las normas de presentación y de citación
de autores con el fin de no incurrir en actos ilegítimos de copiar y hacer pasar
como propias las creaciones de terceras personas.
Respeto hacia sí mismo y hacia los demás.
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA ELÉCTRICA Y
ELECTRÓNICA
ELABORACIÓN DE UN PLAN DE DISPONIBILIDAD DE
TECNOLOGÍAS DE INFORMACIÓN (TI) PARA LA FUNDACIÓN
PARA EL AVANCE Y REFORMAS DE OPORTUNIDADES GRUPO
FARO
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN
ELECTRÓNICA Y REDES DE INFORMACIÓN
VELASCO TORO CÉSAR ALEJANDRO
DIRECTOR: ING. WILLIAMS FERNANDO FLORES CIFUENTES
Quito, Enero 2013
i
DECLARACIÓN
Yo, César Alejandro Velasco Toro, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentado para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluye en este documento.
A través de la presente declaración cedo mis derechos de propiedad intelectual
correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su reglamento y por la
normatividad institucional vigente.
__________________________
César Alejandro Velasco Toro
ii
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por César Alejandro Velasco
Toro, bajo mi supervisión.
__________________________
Ing. Fernando Flores
DIRECTOR DE PROYECTO
iii
AGRADECIMIENTO
A Dios, por haberme dado salud para lograr mis objetivos, por fortalecer mi
corazón e iluminar mi mente.
A mi madre Miriam, por haberme apoyado en todo momento, por sus
consejos, sus valores, por creer en mí, pero más que nada, por su amor y apoyo
incondicional.
A mi padre César, por su apoyo moral y económico durante toda mi carrera
universitaria.
A mis hermanas Johana y Mishel, por las bromas, y los buenos deseos les
quiero mucho.
A mi Director del Proyecto, el Ingeniero Fernando Flores, por su valiosa
colaboración en la elaboración de este trabajo.
En fin, a todas aquellas personas que de una u otra forma, y de manera
desinteresada, me brindaron toda la ayuda necesaria con la finalidad de lograr
el desarrollo de un buen trabajo.
iv
DEDICATORIA
Este documento es un esfuerzo que involucra a muchas personas cercanas a mí.
Por ello dedico esta tesis a mi mamá, mi papá, mis hermanas que gracias a sus
consejos y palabras de aliento he crecido como persona, y principalmente a mi
hija que es el motor de mi vida, y que me obliga a ser cada día mejor.
A todos mis familiares y amigos, quienes me han brindado su apoyo en las caídas
y con los que hemos celebrado las victorias en todo el proceso de la realización
de este documento.
Cami, eres el amor de mi vida,
recuerda que siempre te voy a
amar y que cuentas conmigo.
v
CONTENIDO
CAPÍTULO I FUNDAMENTOS TEÓRICOS…….……………………………..………1
1.1 DETERMINACIÓN DE LOS REQUISITOS DE DISPONIBILIDAD ................ 2
1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) ..................................... 2
1.1.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .... 3
1.1.1.2 Evaluar el impacto Financiero – Operacional................................... 3
1.1.1.2.1 Evaluación del impacto financiero ................................................. 3
1.1.1.2.2 Evaluación del impacto estratégico ............................................... 3
1.1.1.3 Identificación de procesos críticos de la organización. ..................... 4
1.1.1.4 Identificación de sistemas y aplicaciones críticas de TI por proceso
del negocio ...................................................................................................... 4
1.1.1.5 Identificación de tiempos máximos de caída (MTD) ......................... 4
1.1.1.6 Identificación del tiempo objetivo de recuperación (RTO) ................. 5
1.1.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ........... 5
1.1.1.7.1 Evaluación de RTO y WRT ........................................................... 5
1.1.1.8 Análisis del daño a consecuencia de la interrupción de un servicio
de TI ………………………………………………………………………………6
1.1.2 REQUISITOS DE DISPONIBILIDAD ........................................................ 6
1.1.2.1 Resumen de disponibilidad de servicio TI ......................................... 6
1.2 DISEÑO PARA LA DISPONIBILIDAD .......................................................... 7
1.2.1 ELABORACIÓN DE LA INFRAESTRUCTURA TI .................................... 8
1.2.1.1 Elementos de la red .......................................................................... 9
1.2.1.2 Almacenamiento ............................................................................... 9
1.2.1.3 Impresión y Digitalización ................................................................. 9
1.2.1.4 Administración de TI ....................................................................... 10
1.2.1.5 Consideraciones para el entorno de la infraestructura de TI .......... 10
1.2.1.6 Consideraciones para el hardware y software. ............................... 11
1.2.1.6.1 Consideraciones de hardware ..................................................... 11
1.2.1.6.2 Consideraciones de software ...................................................... 11
1.2.2 ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES
(SPOF).............................................................................................................. 11
1.2.1.2 Análisis del impacto del fallo de un componente (CFIA) ................. 11
vi
1.2.1.3 Análisis por arboles de fallos (FTA) ................................................ 13
1.2.3 GESTIÓN Y ANÁLISIS DE RIESGO ...................................................... 15
1.2.3.1 Método de análisis y gestión de riesgos (CRAMM) ........................ 16
1.2.3.1.1 Identificación y valoración de activos .......................................... 16
1.2.3.1.2 Identificación y valoración de amenazas ..................................... 16
1.2.3.1.3 Identificación y valoración de vulnerabilidades............................ 17
1.2.3.1.4 Evaluación de niveles de riesgos ................................................ 18
1.2.3.1.5 Tratamiento de riesgo ................................................................. 18
1.3 DISEÑO DE LA RECUPERACIÓN .............................................................. 19
1.4 CONSIDERACIONES DE SEGURIDAD ...................................................... 21
1.4.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS ................... 21
1.4.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO ...................... 21
1.4.3 SEGURIDAD DE LA INFORMACIÓN ................................................................ 22
1.4.4 SEGURIDAD FÍSICA Y DEL ENTORNO ................................................ 22
1.4.5 GESTIÓN DE COMUNICACIONES Y OPERACIONES ......................... 23
1.4.6 GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS DE
CÓMPUTO. ...................................................................................................... 23
1.4.7 SEGURIDAD DE LA RED ...................................................................... 23
1.4.8 MONITORIZACIÓN ................................................................................ 23
1.5 MANTENIMIENTO DEL PLAN .................................................................... 24
CAPÍTULO 2 ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA
ORGANIZACIÓN…………………………………………………………….………….25
2.1 ANTECEDENTES ......................................................................................... 25
2.2 DESCRIPCIÓN DE LA ORGANIZACIÓN ..................................................... 26
2.2.1 CONSTITUCIÓN GRUPO FARO ..................................................................... 27
2.2.1.1 Miembros fundadores ..................................................................... 27
2.2.1.2 Consejo ejecutivo ............................................................................ 27
2.2.1.3 Consejo asesor ............................................................................... 27
2.2.1.4 Colaboradores ................................................................................ 29
2.2.2 DATOS GENERALES ............................................................................ 30
2.2.3 MISIÓN, VISIÓN, PERSPECTIVA.......................................................... 30
2.2.3.1 Misión ............................................................................................. 30
2.2.3.2 Visión .............................................................................................. 31
vii
2.2.3.3 Perspectiva ..................................................................................... 31
2.2.4 ESTRUCTURA ORGANIZACIONAL ...................................................... 32
2.3 PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE LA
ORGANIZACIÓN ............................................................................................... 36
2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN ........... 36
2.3.1.1 Estructura del departamento ti de la organización .......................... 37
2.3.1.2 Áreas relacionadas con el departamento de TI .............................. 38
2.3.1.3 Descripción de los Perfiles y Responsabilidades del Área de TI .... 38
2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI ...................................... 40
2.3.2.1 Servidores ....................................................................................... 40
2.3.2.2 Equipos ........................................................................................... 43
2.3.2.3 Otros dispositivos ............................................................................ 47
2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO ..................... 47
2.3.4 DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL
DEPARTAMENTO DE TI .................................................................................. 48
2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI ............. 50
2.4 NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO FARO ............. 52
CAPÍTULO 3 ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE
TI…………………………..………………………………………………………………54
3.1 MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL NEGOCIO 57
3.1.1 ACTIVIDADES DEL NEGOCIO .............................................................. 61
3.2 ELEMENTOS DE CONFIGURACIÓN (CI) .................................................. 64
3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDWARE ......................... 65
3.2.1.1 Desktops ......................................................................................... 65
3.2.1.2 Laptops ........................................................................................... 66
3.2.1.3 Impresoras ...................................................................................... 68
3.2.1.4 Switches ......................................................................................... 68
3.2.1.5 Servidores ....................................................................................... 69
3.2.1.6 Access Points ................................................................................. 69
3.2.1.7 Modem ............................................................................................ 69
3.2.1.8 Unidades de Almacenamiento ........................................................ 70
3.2.1.9 Sistema de Energía Ininterrumpida ................................................. 72
3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE ......................... 72
viii
3.2.2.1 Herramientas Ofimáticas ................................................................ 73
3.2.2.2 BPMS Aura Portal ........................................................................... 74
3.2.2.3 Sistemas Operativos ....................................................................... 74
3.3 DETERMINACIÓN DE REQUERIMIENTOS DE DISPONIBILIDAD ........... 75
3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO ........................................... 75
3.3.1.1 Identificar las Funciones y Procesos Críticos de la Organización. .. 75
3.3.1.2 Evaluar el impacto Financiero – Operacional................................. 77
3.3.1.2.1 Evaluación del impacto financiero ............................................... 77
3.3.1.2.2 Evaluación del impacto estratégico ............................................. 80
3.3.1.3 Identificación de procesos fundamentales de la organización. ...... 83
3.3.1.4 Identificación de Servicios de TI, por procesos del negocio. .......... 87
3.3.1.5 Identificación de tiempos máximos de caída (MTD). ..................... 88
3.3.1.6 Identificación del Tiempo objetivo de recuperación RTO. ............... 91
3.3.1.7 Identificación del tiempo de recuperación de trabajo (WRT). ......... 92
3.3.1.8 Análisis del daño a consecuencia de la interrupción de un servicio
de TI 101
3.3.2 REQUERIMIENTOS DE DISPONIBILIDAD ......................................... 103
3.4 DISEÑO DE LA DISPONIBILIDAD............................................................ 105
3.4.1 DESCRIPCIÓN DE LA INFRAESTRUCTURA ..................................... 105
3.4.1.1 Elementos de la red ...................................................................... 105
3.4.1.2 Administración de TI ..................................................................... 106
3.4.1.3 Respaldo y Almacenamiento ........................................................ 107
3.4.1.3.1 Respaldo ................................................................................... 107
3.4.1.3.2 Back-up ..................................................................................... 107
3.4.1.4 Impresión y Digitalización ............................................................. 107
3.4.1.5 Consideraciones para el Hardware y el Software ......................... 108
3.4.1.5.1 Requerimientos de Hardware .................................................... 108
3.4.1.5.2 Especificaciones de Software .................................................... 109
3.4.1.6 Consideraciones para la sala principal de equipos de Infraestructura
TI …………………………………………………………………………...109
3.4.1.6.1 Sala principal de equipos .......................................................... 110
3.4.1.7 Análisis de Puntos individuales de fallo de componentes ............. 112
3.4.1.7.1 Análisis por arboles de Fallos FTA. ........................................... 112
ix
3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA .............. 115
3.4.1.8 Análisis y gestión de riesgos. ........................................................ 122
3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM ................... 122
3.4.1.8.1.1 Valoración de activos ............................................................. 122
3.4.1.8.1.2 Identificación y valoración de amenazas ............................... 123
3.4.1.8.1.3 Valoración de las amenazas .................................................. 125
3.4.1.8.1.4 Identificación de las vulnerabilidades .................................... 126
3.4.1.8.1.5 Valoración de las vulnerabilidades ........................................ 128
3.4.1.8.1.6 Evaluación de niveles de riesgos ........................................... 131
3.4.1.8.1.7 Control y opciones de control de riesgos. ............................. 133
3.5 DISEÑO DE LA RECUPERACIÓN ............................................................ 136
3.5.1 MEDIDA DE RECUPERACIÓN DE INCIDENTE .................................. 137
3.5.2 MÉTRICAS DE RECUPERACIÓN ....................................................... 140
3.5.3 RESPALDO O BACK-UP ............................................................................ 141
3.5.3.1 Aspectos de las copias de seguridad. ........................................... 141
3.5.4 GESTIÓN DE SISTEMAS .................................................................... 142
3.5.5 RESTAURACIÓN DEL SERVICIO ....................................................... 143
3.6 CONSIDERACIONES DE SEGURIDAD ..................................................... 148
3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS
………………………………………………………………………………...148
3.6.1.1 Capacidades ................................................................................. 148
3.6.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO .................... 149
3.6.2.1 Seguridad de la información. ........................................................ 149
3.6.2.2 Gestión interna de soporte ............................................................ 149
3.6.3 PLAN DE CONTINGENCIAS INFORMÁTICAS ................................... 150
3.6.3.1 Estratégias Informáticas ............................................................... 150
3.6.4 SEGURIDAD FÍSICA Y DE ENTORNO ............................................................ 150
3.6.4.1 Identificadores de usuario y contraseñas ...................................... 151
3.6.5 QUEDA PROHIBIDO ........................................................................... 151
3.6.5.1 Software ........................................................................................ 151
3.6.5.2 Recursos de red ............................................................................ 151
3.6.5.3 Conectividad a internet ................................................................. 152
3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD .................... 152
x
3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD
INFORMÁTICA. .............................................................................................. 152
3.7 MANTENIMIENTO DEL PLAN ................................................................... 152
3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS ................................. 153
3.7.1.1 Periodicidad .................................................................................. 153
3.7.1.2 Responsabilidad ........................................................................... 153
3.7.1.3 Involucrados.................................................................................. 153
3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD............................................... 153
3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD ................................... 154
3.7.4 MÉTODOS Y TÉCNICAS ............................................................................ 155
CAPÍTULO 4 CONCLUSIONES Y RECOMENDACIONES………………………156
4.1 CONCLUSIONES ...................................................................................... 156
4.2 RECOMENDACIONES .............................................................................. 157
BIBLIOGRAFÍA……………………………………………………….……………….159
ANEXOS…………………………………………………………………………..……161
xi
ÍNDICE DE FIGURAS
Capítulo 1
Figura 1. 1 Relación entre niveles de disponibilidad y costos totales. .................. 8
Figura 1. 2 CFIA .................................................................................................. 12
Figura 1. 3 Análisis y Gestión de Riesgos ........................................................... 15
Capítulo 2
Figura 2. 1 Personal Grupo FARO 2011 ........................................................ 26
Figura 2. 2 Ubicación Grupo FARO ............................................................... 30
Figura 2. 3 Organigrama GRUPO FARO ...................................................... 32
Figura 2. 4 Áreas relacionadas al departamento de TI .................................. 38
Capítulo 3
Figura 3. 1 Actividades proactivas y reactivas .................................................. 56
Figura 3. 3 Análisis del Árbol de Fallos del Internet fuera de servicio. ........... 114
Figura 3. 4 Diagrama de Red de Grupo FARO con especificación de CIs. .... 116
xii
ÍNDICE DE TABLAS
Capítulo 2
Tabla 2. 1 Relaciones internas del Administrador de TI .................................. 39
Tabla 2. 2 Relaciones Externas del Administrador de TI. ................................ 39
Tabla 2. 3 Características hardware Servidor Grupo FARO ............................ 42
Tabla 2. 4 Lista de equipos administrados por el departamento de TI. ........... 46
Tabla 2. 5 Otros dispositivos administrados por el departamento de TI. ......... 47
Tabla 2. 6 Descripción de los servicios soportados por el departamento de TI 49
Tabla 2. 7 Listado de Procesos del Departamento de TI. ............................... 52
Capítulo 3
Tabla 3. 1 Servicios de TI administrados por el departamento de Tecnología. 61
Tabla 3. 2 Funciones y Procesos del negocio, y su relación con TI ................ 64
Tabla 3. 3 Equipos Desktop administrados por el departamento de TI ........... 66
Tabla 3. 4 Equipos Laptop administrados por el departamento de TI .............. 67
Tabla 3. 5 Impresoras Matriciales y de tinta administradas por el departamento
de TI ....................................................................................... .68
Tabla 3. 6 Impresoras en Red administradas por el departamento de TI ........ 68
Tabla 3. 7 Switches administrados por el departamento de TI ........................ 68
Tabla 3. 8 Servidores administrados por el departamento de TI ..................... 69
Tabla 3. 9 Access Point administrados por el departamento de TI .................. 69
Tabla 3. 10 Modem administrado por el departamento de TI ............................ 70
Tabla 3. 11 Unidades de almacenamiento administradas por el departamento de
TI ..................................................................................................... 72
Tabla 3. 12 UPS administrado por el departamento de TI ................................. 72
Tabla 3. 13 Herramientas ofimáticas administradas por el Departamento de TI 73
Tabla 3. 14 Frecuencia de uso de las herramientas ofimáticas administradas por
el departamento de TI ..................................................................... 74
Tabla 3. 15 Herramientas de BMP administradas por el departamento de TI ... 74
xiii
Tabla 3. 16 Sistemas Operativos administrados por el departamento de TI ..... 75
Tabla 3. 17 Funciones y procesos de la organización ....................................... 77
Tabla 3. 18 Ponderación Impacto Financiero .................................................... 78
Tabla 3. 19 Evaluación del Impacto Financiero ................................................. 80
Tabla 3. 20 Ponderación del Impacto estratégico .............................................. 80
Tabla 3. 21 Evaluación del impacto estratégico ................................................. 82
Tabla 3. 22 Impactos Financiero y Operación ................................................... 86
Tabla 3. 23 Procesos del negocio y servicios de TI utilizados ........................... 88
Tabla 3. 24 Escala MTD y equivalencia ............................................................. 88
Tabla 3. 25 Suma de Impactos y escala de equivalencia MTD ......................... 89
Tabla 3. 26 Definición de MTDs ......................................................................... 91
Tabla 3. 27 Escala de equivalencia RTO ........................................................... 92
Tabla 3. 28 RTO en actividades de recuperación de Servicios de TI ................ 92
Tabla 3. 29 RTO y WRT por proceso de Negocio ........................................... 101
Tabla 3. 30 Análisis causado por la interrupción de un Servicio TI. ................. 103
Tabla 3. 31 Requerimientos de Disponibilidad y recuperación de los servicios 104
Tabla 3. 32 Requerimientos mínimos para servidores ..................................... 108
Tabla 3. 33 Requerimientos mínimos para estación de trabajo Desktop ......... 108
Tabla 3. 34 Requerimientos mínimos para estación de trabajo Laptop ........... 109
Tabla 3. 35 Mejores condiciones físicas para Sala principal de Equipos ......... 110
Tabla 3. 36 Mejores condiciones físicas para el cuarto de servidores ............. 111
Tabla 3. 37 Mejores condiciones físicas para el entorno de oficina ................. 112
Tabla 3. 38 Matriz de la configuración del Análisis del Impacto de Fallo de un
componente de Grupo FARO ........................................................ 121
Tabla 3. 40 Valoración de activos de TI ........................................................... 123
Tabla 3. 41 Valoración de amenazas .............................................................. 126
Tabla 3. 42 Identificación de vulnerabilidades ................................................ 128
Tabla 3. 43 Valoración de las vulnerabilidades ................................................ 130
Tabla 3. 44 Evaluación de niveles de riesgos .................................................. 132
Tabla 3. 45 Control de riesgos ......................................................................... 134
Tabla 3. 46 Opciones de control de Riesgos ................................................... 136
Tabla 3. 47 Medidas de recuperación de incidentes ........................................ 138
Tabla 3. 48 Métricas de recuperación. ............................................................. 141
xiv
RESUMEN
En la actualidad, debido a la difusión de aplicaciones en Internet, se ha hecho
latente la necesidad de diseñar e implementar un plan de disponibilidad, y al no
contar con dichas especificaciones se limita la capacidad operativa de la
organización.
La información es lo más importante dentro de un establecimiento,
independientemente del tipo de actividad a la cual se dedique, por ello, la
necesidad de mantenerla la mayor cantidad de tiempo disponible, y con mayor
razón para esta institución, la cual la mayoría de sus aplicaciones se encuentran
en Internet, debido a que se utiliza la plataforma de Google Apps
@grupofaro.org, en la que se encuentran los servicios de correo electrónico
(Gmail), calendario en línea (Google Calendar), Google Docs, Google Sites, y
Google Chat para mensajería interna, los cuales son utilizados permanentemente
por los usuarios.
El proyecto se basa en la oficina central de Grupo FARO, en el departamento de
Tecnologías de Información, ya que aquí se encuentran los ejes de Dirección,
Subdirección, Administración, Ambiente y Sociedad, Investigación, Gobernanza
de lo público entre otras, y se manejan diferentes aplicaciones como Internet,
Correo electrónico, servidor de archivos, Impresiones, etc; por tal motivo es de
vital importancia contar con una red de datos disponible y segura.
La elaboración busca implementar las soluciones tecnológicas más adecuadas a
la institución, que en conjunto con las normas y procedimientos descritos en las
políticas de seguridad aseguren que los servicios TI estén disponibles y
funcionen correctamente siempre que los clientes y usuarios deseen hacer uso
de ellos.
xv
PRESENTACIÓN
En el primer capítulo se describirá los conocimientos teóricos pertinentes al
proyecto, los que se aplicarán en la Elaboración del Plan de Disponibilidad para
Grupo FARO, basados en el capítulo Gestión de Disponibilidad de la librería
Diseño del Servicio. ITIL V3.
En el segundo capítulo se realizará una descripción completa de la organización,
así como el mapeo de los servicios que soporta la empresa y los procesos del
departamento de TI, lo cual nos dará una visión de los factores que requiere
Grupo FARO, en la disponibilidad de TI
A continuación en el tercer capítulo se determinarán los requisitos de
disponibilidad identificando las actividades Vitales del Negocio y su relación con
las TI mediante encuestas al personal Administrativo, además de presentar una
lista de todos los dispositivos de hardware y software que forman parte de la
infraestructura de TI.
Posteriormente, se realizará el Análisis de Puntos individuales de fallo de
componentes aplicando los mejores métodos descritos en la librerías, además del
Análisis de Riesgo y en base a los resultados se especificarán criterios acerca de
la gestión de riesgo, recuperación de los servicios, métricas de recuperación y
consideraciones de seguridad.
Se realizarán pruebas con interrupciones específicas a un servicio crítico, y
gracias a los criterios presentados anteriormente, evaluar los resultados del Plan
de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta
al mismo.
Para finalizar en el cuarto capítulo se indicarán varias conclusiones obtenidas al
realizar el proyecto, y además recomendaciones de cómo aprovechar de la mejor
manera posible este Plan
1
CAPÍTULO 1
FUNDAMENTOS TEÓRICOS
Debido a que nuestras vidas, tanto personales como profesionales, dependen
cada vez más de la tecnología, la cual ha aumentado su velocidad y aplicaciones
de una manera vertiginosa, la gestión de Disponibilidad es responsable de
optimizar y monitorizar los servicios de TI, para que estos funcionen
ininterrumpidamente y de manera fiable y todo ello a un costo razonable.
En el presente capítulo, se describe el procedimiento, el cual está de acuerdo a la
Gestión de Disponibilidad de TI, descrito en la librería ITIL V3 y las actividades
que se recomiendan seguir para la elaboración del Plan de Disponibilidad de
Tecnologías de Información (TI).
Las actividades descritas en este capítulo para la elaboración del Plan de
Disponibilidad, son las siguientes.
· Determinación de los requisitos de disponibilidad.
o Análisis de Impacto en El Negocio (BIA)1.
o Requerimientos de Disponibilidad.
· Diseño para Disponibilidad.
o Elaboración de la infraestructura TI.
o Análisis de puntos individuales de fallo de componentes (SPOF).2
o Gestión y análisis de riesgo.
· Diseño de la Recuperación.
o Medida de recuperación de Incidente
o Métricas de recuperación.
o Respaldo o Back-up.
o Restauración del Servicio.
· Consideraciones de Seguridad.
o Lineamientos para la adquisición de bienes informáticos.
1 Business Impact Analysis (BIA)
2 Single Point Of Failure (SPOF)
2
o Gestión interna de instalación de equipos de cómputo.
o Seguridad de la información.
o Gestión interna de soporte.
o Plan de contingencias informáticas.
o Estrategias informáticas.
o Seguridad física y de entorno.
o Identificadores de usuario y contraseñas .
o Queda prohibido.
o Actualizaciones de la política de seguridad.
o Beneficios de implantar políticas de seguridad informática.
· Mantenimiento del Plan.
1.1 DETERMINACIÓN DE LOS REQUISITOS DE
DISPONIBILIDAD
Es de suma importancia cuantificar los requisitos de Disponibilidad debido a que
son la base para evaluar la capacidad operativa, que se posee en la
Infraestructura de TI y estimar el soporte que la organización de TI debe
proporcionar para satisfacer las necesidades de Disponibilidad del negocio.
Antes de establecer los Requisitos de Disponibilidad de TI del negocio se deben
desarrollar las siguientes actividades:
· Análisis de Impacto en El Negocio (BIA).
· Requerimientos de Disponibilidad.
1.1.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA)
El Análisis de Impacto en el negocio define la relación entre la tecnología
existente, los servicios ofrecidos por el departamento de TI y los procesos de
negocio que los utilizan.
Entre los objetivos principales al realizar el Análisis se tienen:
· Identificar las Funciones y Procesos Críticos de la organización.
· Determinar prioridad de cada proceso.
3
· Evaluar el Impacto financiero y estratégico.
· Identificar los Sistemas y Aplicaciones Críticas de TI.
· Determinar los tiempos máximos tolerables de interrupción (MTD) 3 y
priorizar los procesos del negocio.
· Especificar los tiempos Objetivos de Recuperación (RTO)4.
· Identificar el Tiempo de recuperación del Trabajo (WRT)5.
· Apoyar el proceso de determinar estrategias adecuadas de recuperación.”6
1.1.1.1 Identificar las Funciones y Procesos Críticos de la Organización.
En esta sección se identifican todas las funciones y procesos críticos de la
organización.
Las funciones son las áreas contempladas en el plan de disponibilidad, a las
cuales se las asocia con los procesos los cuales son las actividades específicas
realizadas en cada área de negocio.
1.1.1.2 Evaluar el impacto Financiero – Operacional
1.1.1.2.1 Evaluación del impacto financiero
El impacto financiero será evaluado de forma cualitativa, puesto que por criterios
de seguridad financiera, las cifras reales no son publicables para la organización.
El objetivo es tener una idea de la magnitud del impacto de pérdida financiera, si
los procesos del negocio fuesen interrumpidos.
1.1.1.2.2 Evaluación del impacto estratégico
La evaluación del impacto estratégico u operacional, se realiza para evaluar el
nivel de daño que afectaría a la organización debido a un fallo en los servicios de
TI, pero en sentido de los factores mostrados a continuación.
3 MTD : Maximum Tolerable Downtime
4RTO: Recovery Time Objective 5 WRT: Work Recovery Time 6 Fuente: Tesis Elaboración del plan de disponibilidad de ti para la Empresa Reliance
4
Para la realización de la ponderación, se basará en el grado de magnitud de
impacto sobre: Falta de confiabilidad operacional, satisfacción a los usuarios,
eficacia del servicio.
1.1.1.3 Identificación de procesos críticos de la organización.
Los procesos críticos de la organización, se basan en una evaluación cuantitativa,
de los resultados anteriores, mediante la suma de los resultados de Impacto
Financiero e Impacto estratégico.
Un proceso será considerado como crítico, si:
· Retrasa las actividades del personal de la organización.
· Afecta a la correcta elaboración de las tareas del personal.
· Discontinua la marcha de las operaciones de la organización.
Y cuantitativamente según los siguientes valores
• En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3,
(impacto alto).
• Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto
medio), ó 4 (impacto alto).
1.1.1.4 Identificación de sistemas y aplicaciones críticas de TI por proceso del
negocio
En esta sección se identificará todo proceso de la empresa, que utilice servicios
de TI, los cuales pueden ser sistemas, aplicaciones y recursos, administrados por
el Departamento de TI.
1.1.1.5 Identificación de tiempos máximos de caída (MTD)
Uno de los objetivos fundamentales del BIA, es determinar el Maximum Tolerable
Downtime (MTD), el cual es el tiempo máximo sin servicio que una organización
puede soportar y seguir cumpliendo con sus objetivos de negocio.
Con este cálculo se intenta obtener valores cuantitativos con relación al impacto
financiero – operacional que un evento adverso pueda tener sobre la
organización.
5
La identificación de los MTD’s, se procede en función a la suma total de los
puntos de los impactos financiero y estratégico.
1.1.1.6 Identificación del tiempo objetivo de recuperación (RTO)
“El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en
otras palabras cuanto puede permanecer la Organización sin ejecutar una
actividad, el uso de una aplicación (hardware y/o software) o información
relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El
RTO se utiliza para decidir cada cuanto se deben realizar respaldos de
información o backups; también es útil para decidir que infraestructura es
requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de
similares especificaciones al existente en la Organización, o un call center
paralelo en una ubicación diferente a la que se utiliza de manera permanente.”7
1.1.1.7 Identificación del tiempo de recuperación de trabajo (WRT).
El WRT (Work Recovery Time) es el tiempo disponible para recuperar datos
perdidos una vez que los sistemas están reparados dentro del Tiempo Máximo de
Inactividad MTD.
1.1.1.7.1 Evaluación de RTO y WRT
Para la evaluación de los tiempos de RTO, se debe tener claro el tiempo que el
área de Tecnología de la organización se demora en la recuperación de los
sistemas y recursos críticos, esto se debe a que los servicios entregados y
administrados por esta área son de alta criticidad para las actividades del negocio.
La escala para el RTO se la valora en función del tiempo.
La suma de los tiempos del RTO y WRT serán iguales o menores que el MTD,
jamás pueden ser mayores.
7 Camelo, Leonardo. Análisis de Impacto de Negocios / Business Impact Analysis (BIA).
http://seguridadinformacioncolombia.blogspot.com/2010/05/analisis-de-impacto-de-negocios.html.
6
1.1.1.8 Análisis del daño a consecuencia de la interrupción de un servicio de TI
En este tema se especifican las consecuencias que se tendrían en la organización
a causa de un incidente que involucre a un servicio o recurso de TI.
1.1.2 REQUISITOS DE DISPONIBILIDAD
En esta sección del documento se especifica la base para determinar la
capacidad de la Infraestructura de TI, implementada actualmente y el soporte que
la organización de TI debe proporcionar para satisfacer las necesidades de
Disponibilidad del negocio.
Para plantear los requisitos del negocio de Disponibilidad de TI se considera lo
siguiente:
· Una definición de las actividades vitales para el negocio que dependan de
los servicios TI.
· Una definición del tiempo de caída del servicio TI, es decir, las condiciones
bajo las cuales el negocio considera que el servicio TI no está disponible.
· El impacto sobre el negocio ocasionado por la pérdida del servicio.
· Las horas de servicio necesarias, esto es, cuándo se va a proporcionar el
servicio.
· Las necesidades de seguridad específicas.
1.1.2.1 Resumen de disponibilidad de servicio TI
En este punto del documento se representa un resumen de los servicios TI con
los siguientes criterios:
· Tipo de servicio.
· Nombre del servicio.
· Disponibilidad.
· Tiempo de recuperación.
· Tipo de Soporte.
· Utilidad.
· Mantenimiento.
· Responsable.
7
1.2 DISEÑO PARA LA DISPONIBILIDAD
El Diseño para la disponibilidad es una actividad relacionada con la elaboración
técnica de la infraestructura de TI, orientada a evitar la pérdida de disponibilidad
de los servicios de TI, además de aportar criterios con la relación de proveedores
internos y externos necesarios para satisfacer las necesidades de Disponibilidad
de un servicio de TI.
Los principales beneficios al elaborar un buen Plan de Disponibilidad son:
· Reducción de costos asociados con cada nivel de disponibilidad.
· Notar una mejor calidad de Servicio por parte del usuario.
· Aumentar progresivamente los niveles de disponibilidad.
· Reducir número de incidentes.
Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio
en el desarrollo de los nuevos servicios TI de forma que estos cumplan los
estándares plasmados en el Plan de Disponibilidad.
Un diferente nivel de disponibilidad puede requerir cambios drásticos en los
recursos utilizados o en las actividades necesarias para suministrar un
determinado servicio TI.
Las actividades que deben realizarse para el diseño de la disponibilidad son:
· Elaboración de la Infraestructura TI.
· Análisis de Puntos Individuales de Fallo de Componentes (SPOF)8
· Análisis de Impacto de Fallo de Componentes (CFIA)9.
· Análisis por Árboles de Fallos (FTA)10.
· Gestión y Análisis de Riesgo.
8 SPOF: Single Point of Failure 9 CFIA: Component Failure Impact Analysis 10 FTA: Fault Tree Analysis
8
1.2.1 ELABORACIÓN DE LA INFRAESTRUCTURA TI
El objetivo la elaboración de la Infraestructura TI es realizar recomendaciones
para el mejoramiento de la misma, contando con un mapeo de los elementos ya
disponibles en la organización y con sugerencias en la adquisición de nuevos
elementos tanto de hardware, software y técnicas, que permitan tener una
elevada disponibilidad de servicios de TI.
La Infraestructura de TI la componen hardware, software y servicios
profesionales, necesarios para el correcto desempeño de las múltiples
aplicaciones de tecnología de información, y que permite a la organización la
automatización y apoyo de los procesos de negocio.
Para establecer una mayor disponibilidad de los servicios de TI, es necesario
también una gran inversión en cuanto a las soluciones existentes, como se
muestra a continuación.
Figura 1. 1 Relación entre niveles de disponibilidad y costos totales. 11
11 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
9
1.2.1.1 Elementos de la red
Los elementos de la red, son todos los componentes mediante los cuales se tiene
la posibilidad de ingresar electrónicamente desde puntos locales y remotos a las
aplicaciones con las que se trabaja en la organización, plataformas de impresión,
bases de datos, recursos de la red, brindando al usuario un mayor soporte, control
y disponibilidad de los servicios de TI, de manera segura y confiable.
Los beneficios que ofrecen los recursos de la Red a los usuarios son los
siguientes:
· Ingreso a plataformas internas, desde puntos remotos.
· Acceso a la información mediante las tres propiedades indispensables de
la información: Confidencialidad, Integridad, Disponibilidad.
· Compartición de recursos dispersos a lo largo de la infraestructura.
1.2.1.2 Almacenamiento
Son las herramientas de preservación, respaldo y disponibilidad de la información,
las cuales ayudan a salvaguardar uno de los principales activos de la
organización, la información, y así, encaminar la continuidad del negocio.
Los beneficios que se obtienen con los componentes de almacenamiento son los
siguientes:
· Posibilidad de respaldos automáticos y en línea.
· Protección de la información del negocio.
· Disponibilidad de información en caso de contingencia.
1.2.1.3 Impresión y Digitalización
Es el conjunto de equipos y herramientas de captura, digitalización y
presentación de información impresa en papel.
Los beneficios que se obtiene con los componentes de impresión y digitalización
son los siguientes:
10
· Organización en el almacenamiento de la información.
· Disponibilidad de contratos, solicitudes, oficios, informes, que permiten una
manipulación más directa con el usuario.
· Disponer de una mejor manera el espacio físico utilizado anteriormente
para el almacenamiento de la información.
· Posibilidad de tener una copia digitalizada de los documentos físicos
de alta importancia, y así también ahorrar papel y colaborar con el medio
ambiente.
1.2.1.4 Administración de TI
Son todas aquellas herramientas tecnológicas que permiten controlar diversos
aspectos como: inventarios, activos, prevención de riegos, ancho de banda,
monitoreo, prevención de riesgos y fallas, etc.
Los beneficios que se obtienen con los elementos de administración de TI son los
siguientes:
· Gestión de activos.
· Mejor control y administración de recursos de TI, para evitar las fallas en
los sistemas.
· Ahorro de tiempo al distribuir software de manera centralizada.
· Administración de plataformas de hardware y software.
· Productividad al verificar que el software cargado en los clientes
corresponda a su función.
1.2.1.5 Consideraciones para el entorno de la infraestructura de TI
En esta sección se especificarán las mejores condiciones necesarias para la sala
principal de Equipos de Tecnologías de Información como: acceso, ubicación,
visibilidad, piso interno, etc.
11
1.2.1.6 Consideraciones para el hardware y software.
1.2.1.6.1 Consideraciones de hardware
En este punto se especificarán las características mínimas necesarias que
deberán tener los dispositivos informáticos a nivel de hardware, para mantener la
disponibilidad de los servicios de TI.
1.2.1.6.2 Consideraciones de software
En este punto se especificarán las características mínimas necesarias que
deberán tener los aplicativos y herramientas de ofimática, para mantener la
disponibilidad de los servicios TI.
1.2.2 ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES
(SPOF)
“Un Punto Único de Fallo es un riesgo potencial planteado por una falla en el
diseño, la ejecución o la configuración de cualquier componente de la
infraestructura de TI, o sistema en el que un fallo o mal funcionamiento hace que
todo el sistema deje de funcionar, y se tenga así un impacto negativo sobre el
negocio y los usuarios.”12
Cada vez que un sistema se expande (añadiendo una estación de trabajo a una
red, o añadiendo nuevas aplicaciones a una red de computadores) el número de
lugares donde un Punto Único de Fallo puede ocurrir, también se expandirá.
1.2.1.2 Análisis del impacto del fallo de un componente (CFIA)
Component Failure Impact Analysis (Análisis del Impacto de Fallo de
Componentes). Esta técnica consiste en identificar el impacto que tiene en la
disponibilidad de los servicios TI el fallo de cada elemento de configuración
involucrado.
12 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios
TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
12
Figura 1. 2 CFIA
El desarrollo del CFIA nos proporciona:
1. Identificar los Elementos de Configuración (CI) que pueden causar un
incidente o falla.
2. Buscar elementos de configuración que no tienen back-up.
3. Evaluar el riesgo de las fallas en cada Elemento de configuración.
4. Justificar inversiones futuras
5. Tiempos de recuperación de los componentes.
13
Para la realización del CFIA se procede a seleccionar un Servicio de TI, y obtener
la lista de Elementos de Configuración de los elementos de la infraestructura
detallada anteriormente.
13 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
13
Si no hay ninguna Base de Datos de Gestión de Configuración CMDB14, entonces
pedir a documentación, diagramas, y conocimiento en general de las tecnologías
de información a quien corresponda.
A continuación, se lista en una columna, los elementos de configuración CI los
Servicio de TI en la fila superior.
A continuación se realiza el siguiente procedimiento para cada Elemento de
Configuración debajo de cada servicio.
· Marcar una "X" en la columna en caso de que el fallo en dicho CI provoque
un incidente e inoperatividad del servicio.
· Marcar una "A" cuando el CI tiene un respaldo alternativo inmediato que
pueda proporcionar el servicio.
· Marcar una "B" cuando el CI tiene un respaldo alternativo, no tan inmediato
para proporcionar el servicio.
Ahora disponemos de una matriz básica de la CFIA. Cada "X" y "B" es una
responsabilidad potencial.
Para finalizar se debe realizar una matriz que representa a los Elementos de
Configuración, el efecto que produce en las diferentes áreas del negocio, y el total
de usuarios que son afectados por la pérdida de servicios de TI.
1.2.1.3 Análisis por arboles de fallos (FTA)
El Análisis del Árbol de Fallos consiste en analizar cómo se propagan los fallos a
través de la infraestructura y así tener claro su impacto en la disponibilidad del
servicio.
“Las ventajas fundamentales del FTA son:
· Permite realizar cálculos de la Disponibilidad.
· Permite realizar las operaciones sobre el árbol de fallos resultante.
· Permite elegir el nivel deseado de detalle del análisis.
14 CMDB: Central Management Data Base.
14
Para el desarrollo del FTA, se distingue los siguientes sucesos:
· Sucesos Básicos: Puntos terminales del árbol de fallo, como la pérdida
de suministro eléctrico o un error del operador. Los sucesos básicos
no se investigan con más profundidad. Si los sucesos básicos se
investigan con más profundidad, automáticamente se convierten en
sucesos resultantes.
· Sucesos Resultantes: Nodos intermedios del árbol de fallos que resultan
de una combinación de sucesos. Habitualmente, el punto superior del
árbol de fallos es el fallo del servicio TI.
· Sucesos Condicionados: Sucesos que solo ocurren bajo ciertas
condiciones, como por ejemplo, el fallo del equipo de aire
acondicionado solo afectara al servicio TI si la temperatura de los
equipos supera los valores de servicio.
· Sucesos Desencadenantes: Sucesos que lanzan otros sucesos, por
ejemplo, el equipo de detección de la pérdida del suministro
eléctrico puede lanzar el cierre automático de servicios TI.
Estos sucesos se combinan mediante operadores lógicos, como:
· AND: El evento resultante solo sucede cuando todos los sucesos entrantes
ocurren simultáneamente.
· OR: El evento resultante ocurre cuando suceden uno o más de los eventos
entrantes.
· OR exclusivo: El evento resultante solamente ocurre cuando se satisface la
condición de entrada.
· Inhibidor: El evento resultante solamente ocurre cuando no se satisface la
condición de entrada”.15
15 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
15
1.2.3 GESTIÓN Y ANÁLISIS DE RIESGO
“Análisis del Riesgo: Identifica y determina el nivel de (medida) los riesgos
calculados a partir de los valores estimados de los activos y los valores estimados
de las amenazas y las vulnerabilidades de tales activos.
Gestión del Riesgo: Cubre la identificación, selección y adopción de
contramedidas justificadas por los riesgos identificados para los activos en
términos de su impacto potencial sobre los servicios si ocurriera un fallo, y
la reducción de tales riesgos a un nivel aceptable.”
En esta sección se realizará la búsqueda de cada una de las vulnerabilidades que
posee la organización a los fallos de la configuración y la capacidad de la
organización TI enfocados en el análisis a las configuraciones de cada uno de los
activos tecnológicos de la organización.
Análisis y Gestión de Riesgos es una técnica que se puede utilizar para identificar
y cuantificar los riesgos además de medidas justificadas que se pueden
implementar para proteger la disponibilidad de los sistemas informáticos.
Para este análisis se utiliza el método CRAMM16 (Método de Análisis y Gestión de
Riesgos), la cual es una técnica que consiste en identificar los riesgos y
vulnerabilidades de la infraestructura para implementar contramedidas que los
reduzca.
17
16 CRAMM: Central Computer and Telecommunications Agency
Risk Analysis and Management Method 17 Estructura de la figura tomada de: Office of Government Commerce (OGC). ITIL la Llave para la
Figura 1. 3 Análisis y Gestión de Riesgos
16
1.2.3.1 Método de análisis y gestión de riesgos (CRAMM)
CRAMM proporciona un armazón para calcular el riesgo del recurso, valor y
vulnerabilidades, llamado el Análisis de Riesgo. El armazón también le ayuda a
evitar, reducir, o escoger aceptar estos riesgos, llamado la Gestión de Riesgo.
La idea es que analizando recursos, uno puede comprender el daño potencial
causado por una falla en la Confidencialidad, Integridad o Disponibilidad. CRAMM
puede mitigar el riesgo a un costo efectivo con un análisis estructurado de costos.
Los pasos para realizar un correcto análisis de riesgos, son las siguientes.
1.2.3.1.1 Identificación y valoración de activos
En primer lugar, se define el alcance de la revisión (datos, activos, software, etc).
Aquí se puede utilizar la Base de datos de gestión de configuración CMDB, pero
si no la tenemos se debe preguntar acerca de los datos importantes, software o
activos físicos.
1.2.3.1.2 Identificación y valoración de amenazas
En esta sección se procede a identificar, clasificar y valorar las amenazas las
cuales son agentes capaces de explotar los fallos de seguridad que denominamos
puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los
activos de una empresa.18
Para ello nos basaremos en la siguiente tabla:
Tabla 1. 1 Probabilidad de ocurrencia de un evento determinado
Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión 3. 2007 18 http://inf-tek.blogia.com/2009/060203-8.3-amenazas-y-vulnerabilidades.php
Nivel Definición
Alta La amenaza está altamente promovida, y es suficientemente capaz
de llevarse a cabo
Media La amenaza es posible
Baja La amenaza no posee suficiente motivación y capacidad
17
1.2.3.1.3 Identificación y valoración de vulnerabilidades.
En esta sección se procede a identificar, clasificar y valorar las vulnerabilidades
(puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad,
disponibilidad e integridad de la información de un individuo o empresa) 19
Para la identificación de las vulnerabilidades sobre la plataforma de tecnología
nos basamos en los siguientes campos:
Amenaza Humana:
· Robo.
· Hackers.
· Artefactos explosivos.
· Fugas de gas o agua.
· Incendios.
Amenaza Natural
· Inundaciones.
· Sismos.
· Lluvias torrenciales.
· Incendios.
· Terremotos.
Amenaza Tecnológica
· Sabotaje computacional.
· Acceso al centro de cómputo.
· Escasez de energía.
· Fallas en la red.
· Acceso a la red por parte de personas ajenas a la entidad.
· Falla en los dispositivos de almacenamiento del Servidor.
18
· Falla en los dispositivos de almacenamiento de las computadoras.
· Fallo en el hardware de los equipos.
· Configuración incorrecta de aplicaciones.
· Sobredimensionamiento de clientes inalámbricos en la red.
· Virus.
· Falla de capacitación de TI.
1.2.3.1.4 Evaluación de niveles de riesgos
“Un riesgo es la probabilidad de que suceda un evento, impacto o consecuencia
adversos. Se entiende también como la medida de la posibilidad y magnitud de
los impactos adversos, siendo la consecuencia del peligro, y está en relación con
la frecuencia con que se presente el evento.”20
EL proceso de evaluación del riesgo permite a una organización alcanzar los
requerimientos estándar sobre su plataforma tecnológica, con el fin de generar un
plan de implementación de controles que aseguren un ambiente informático
seguro.
El objetivo de la evaluación es identificar y evaluar los riesgos. Los riesgos son
calculados por una combinación de valores de las amenazas, el valor de los
activos y las vulnerabilidades.
1.2.3.1.5 Tratamiento de riesgo
El tratamiento de riesgo se define, como el conjunto de decisiones tomadas con
cada activo de información.
Para el manejo del riesgo se pueden tener en cuenta algunas de las siguientes
opciones, las cuales pueden considerarse cada una de ellas independientemente,
interrelacionadas o en conjunto.
20 Villalva, Juan. Riesgos. http://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtml, 20-07-
2010
19
Aceptar el riesgo: Se basa en aceptar el riesgo, y no tomar medidas para
anularlo, reducirlo o transferirlo.
Anular el riesgo: Reside en eliminar completamente el riesgo mediante cambios
y mejoras sustanciales en los procesos operacionales.
Reducir el riesgo: Se trata de reducir la probabilidad de un riesgo al nivel más
bajo nivel posible. Los métodos generalmente son los más sencillos, económicos
y aplicables.
Transferir el riesgo: Reside en repartir la responsabilidad con otra área o servicio
externo, de igual manera, al transferir el riesgo, éste es minimizado.
1.3 DISEÑO DE LA RECUPERACIÓN
Uno de las características principales de la disponibilidad de la información es la
recuperación de la información, debido a que debe asegurarse un diseño efectivo
para garantizar el retorno a las operaciones normales del negocio cuando fallen
los servicios, tan pronto como sea posible.
Actividades:
Medida de recuperación de incidente
La gestión de la Disponibilidad tiene relación con la Gestión del Incidente,
para determinar parámetros de conocimiento acerca de los fallos y asegurarse la
no repetición de los mismos.
Para determinar de una manera clara la medida de recuperación de incidente es
recomendable:
· Definir procedimientos claros para la medida de recuperación de cada
servicio.
· Definir los roles y responsabilidades claros de los encargados de la
recuperación.
20
Métricas de Recuperación.
En este punto se elaborará una especificación de ciertos parámetros, los cuales
se evaluarán en función del tiempo lo que proporcionará una estimación oportuna
de los procesos para los cuales la recuperación tomará mayor cantidad de tiempo,
y la priorización de los mismos.
Respaldo o Back-Up.
En esta sección, se procede a especificar los parámetros de recuperación,
periodicidad, medio, de los componentes de hardware, software y datos en los
que se basan los servicios de Tecnologías de la Información.
Gestión de Sistemas
Para aumentar los niveles de disponibilidad de la información, se debe proveer al
departamento de TI de herramientas de gestión de sistemas. El correcto uso de
estas herramientas ayuda con la detección y diagnóstico de los fallos permitiendo
una recuperación más eficiente.
Restauración del servicio.
En esta sección se especificarán las acciones a realizar para la recuperación de
un servicio de TI de la organización.
Además se elaborará un ejemplo de interrupción del servicio, y los procedimientos
a realizarse para su restauración.
21
1.4 CONSIDERACIONES DE SEGURIDAD
Los sistemas de información son esenciales para las organizaciones y deben ser
protegidos.
La seguridad de TI consiste en garantizar que los recursos de software y
hardware de una organización se usen responsablemente ya sea por el Área de
Tecnologías de Información como todas las áreas de la organización.
La seguridad informática se resume, por lo general, en tres objetivos principales:
· Integridad: certificar que los datos no han sido modificados por personas no
autorizadas.
· Confidencialidad: garantizar el acceso a la información únicamente por los
individuos autorizados.
· Disponibilidad: asegurar el acceso a la información por personal autorizado
en el momento que lo requieran.
1.4.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES
INFORMÁTICOS
Es muy importante para el departamento de Tecnologías de Información de la
organización, tener claramente definido la persona responsable de la adquisición
de los bienes informáticos, así como las características tanto de hardware como
de software de los equipos a ser adquiridos.
Además de los elementos de software permitido a ser instalados en los equipos.
1.4.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO
En esta sección se determinarán los lineamientos a los que la instalación,
ubicación y disposición de un equipo de cómputo nuevo o reasignado se debe
acoger tales como: área, diagramas de ubicación, suministro eléctrico e
infraestructura de cableado.
22
El objetivo es impedir daños, pérdidas, interrupción de actividades tanto del Área
de Tecnologías de Información, como de las otras Áreas Transversales mediante
la protección del equipamiento de las amenazas indicadas anteriormente.
1.4.3 SEGURIDAD DE LA INFORMACIÓN
La Seguridad de la Información se basa en cuidar y proteger la información, en el
interior de la organización mediante la aplicación de medidas preventivas y
reactivas coordinadas por el personal de Tecnologías de la información.
“La seguridad de la información comprende diversos aspectos entre ellos la
disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la
integridad, confidencialidad, recuperación de los riesgos.
Precisamente la reducción o eliminación de riesgos asociado a una cierta
información es el objeto de la seguridad de la información y la seguridad
informática. Más concretamente, la seguridad de la información tiene como
objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no
autorizada de información.” 21
1.4.4 SEGURIDAD FÍSICA Y DEL ENTORNO
El objetivo principal es impedir el acceso físico no autorizado, daños e
interferencia en las instalaciones e información de la organización, así como
impedir pérdidas, exposiciones al riesgo de los activos mediante la protección de
la información crítica.
Para la protección contra amenazas externas y del ambiente, se recomienda que
se diseñe y aplique medios de protección contra daños potenciales causados por
fuego, inundación, terremoto, y otras formas del hombre en áreas protegidas.
21 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
23
1.4.5 GESTIÓN DE COMUNICACIONES Y OPERACIONES
El objetivo es asegurar la operación correcta y segura de los recursos de
tratamiento de información.
Se recomienda establecer responsabilidades y procedimientos para la gestión y
operación de todos los recursos para el tratamiento de la información.
1.4.6 GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS
DE CÓMPUTO.
El objetivo es mantener la integridad y la disponibilidad de los servicios,
aplicaciones y medios externos de la información.
Se recomienda establecer procedimientos rutinarios de respaldo para realizar
copias de seguridad y probar su puntual recuperación, basándose en una
evaluación de riesgos para determinar los activos de información más relevantes.
1.4.7 SEGURIDAD DE LA RED
El objetivo es asegurar la protección de la información en redes y la protección de
la infraestructura de soporte.
1.4.8 MONITORIZACIÓN
El objetivo es detectar las actividades de manipulación de información no
autorizadas.
Se recomienda monitorear los sistemas y los eventos de la seguridad de
información registrados. El registro de los operadores y los registros de fallos
deberían ser usados para garantizar la identificación de los problemas del sistema
de información.
El monitoreo del sistema debería ser utilizado para verificar la efectividad de los
controles adoptados.
24
1.5 MANTENIMIENTO DEL PLAN
Es de vital importancia para una organización, proyectar el mantenimiento del
Plan de Disponibilidad, el cual debe ser elaborado con proyección a futuro, y con
opciones de mejora continua.
Uno de los resultados principales del proceso de Gestión de la Disponibilidad es
la creación de un Plan de Disponibilidad, el cual debe ser a largo plazo para la
mejora proactiva de la disponibilidad considerando las limitaciones de costo
impuesto.
25
CAPÍTULO 2
ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA
ORGANIZACIÓN.
En el presente capítulo se realiza una descripción general de la
organización GRUPO FARO, en la cual se aplicara el desarrollo del Plan de
Disponibilidad de Tecnologías de la Información (TI), mediante el uso de las
buenas prácticas de la librería ITIL.
2.1 ANTECEDENTES
“El 17 de diciembre 2004, doce ciudadanos crearon Grupo FARO debido a la
necesidad de contar con un espacio independiente (a partidista) que apoye las
capacidades institucionales del Estado, la sociedad civil y el sector privado para
generar políticas públicas más cercanas a los y las ciudadanas.
En poco tiempo, Grupo FARO atrajo gente emprendedora que tenía en mente
aportar al bien público desde diferentes visiones políticas, conocimiento y
experiencia.
Cuando Grupo FARO nació, la inestabilidad política era tal que era casi imposible
promover políticas públicas a largo plazo. Por ello, desarrolló gran flexibilidad para
adaptarse a instituciones inestables y promover un espacio de dialogo plural e
informado en un país fragmentado política e ideológicamente.
Ahora, ha llegado el tiempo de construir sobre lo avanzado y, sin dejar de ser
flexibles, innovadores y creativos, comenzar a pensar y actuar de forma
estratégica. Grupo FARO tiene hoy el desafío de comenzar a creer en la
posibilidad de ver el futuro como la historia que quiere escribir. Se siente
orgulloso de lo avanzado y humilde frente a los desafíos que le quedan por
delante. A pesar de ello, Grupo FARO crece firme y convencido de que la visión
se cumplirá con el aporte de ciudadanos y ciudadanas unidos a favor del bien
público.”22
22 http://www.grupofaro.org/node/172
26
2.2 DESCRIPCIÓN DE LA ORGANIZACIÓN
“Grupo FARO surgió de la necesidad de contar con un espacio independiente y
apartidista que apoye las capacidades institucionales del Estado ecuatoriano, a la
sociedad civil y al sector privado pues los tres sectores deben tener una
equitativa y activa participación en la creación de políticas públicas más cercanas
a los ciudadanos.
Figura 2. 1 Personal Grupo FARO 2011 ”23
“Grupo FARO (Fundación para el Avance para las Reformas y las Oportunidades)
tomó su nombre de la torre vigía localizada en las costas y usada para guiar a las
embarcaciones
Grupo FARO orienta sus esfuerzos al fortalecimiento de la “esfera pública”,
entendida como el espacio donde se encuentra el Estado, la sociedad civil y el
sector privado para la deliberación de los desafíos comunes, la generación de
soluciones innovadoras y la acción colectiva para implementarlas.
En suma, el nombre Grupo FARO, es símbolo de colaboración, de generación de
conocimiento.”24
23
Quiénes somos http://www.grupofaro.org/node/518 24 Qué significa Grupo FARO - http://www.grupofaro.org/node/517
27
2.2.1 CONSTITUCIÓN GRUPO FARO
2.2.1.1 Miembros fundadores
¨Los miembros fundadores de Grupo FARO en el año 2004 fueron:
Orazio Bellettini.
Elizabeth Linn Coombs.
Brunella Bellettini.
María José Gil Llorenti.
Jorge Alberto Ramírez.
Fernando Straface.
Álvaro Vivanco.
Diego Grijalva.
Vinicio KarAtamaint.
Camilo Páez Quevedo.
María Paula Romo.
Carolina Vizcaíno¨.25
2.2.1.2 Consejo ejecutivo
“El Consejo Ejecutivo está compuesto por los (as) directores (as) de las diferentes
áreas y ejes de trabajo de la organización. Entre sus funciones se encuentran
definir los lineamientos estratégicos y operativos de la organización durante la
ejecución de sus actividades a lo largo del año, así como ejercer un liderazgo que
inspire a los y las integrantes de la organización a innovarse permanentemente
para contribuir con soluciones a los principales desafíos de Ecuador y América
Latina.”26
2.2.1.3 Consejo asesor
“El Consejo Asesor está conformado por un grupo de profesionales, ecuatorianos
y extranjeros, que se han destacado en sus respectivas áreas de conocimiento.
Apoyan los fines y gestión de Grupo FARO.
25 Miembros Fundadores - http://www.grupofaro.org/node/178 26 Consejo ejecutivo - http://www.grupofaro.org/node/576
28
Se trata de un cuerpo asesor y consultivo cuya función es participar activamente
en los procesos que apoyen el cumplimiento de su misión, visión y teoría de
cambio. Asimismo, participan en la planificación y actualización de la agenda de
investigación de Grupo FARO.
Sus integrantes son los siguientes:
Manuel Alcántara, Director del Centro de Estudios Latinoamericanos del Instituto
Ortega y Gasset de la Universidad Autónoma de Madrid.
Paúl Carrillo, Economista graduado en la Universidad Católica del Ecuador,
Master y PhD en Economía en la Universidad de Virginia. Se desempeñó como
Investigador del Banco Central del Ecuador y actualmente es Profesor Asociado
de Microeconomía y Economía Regional de la George Washington University.
Merilee Grindle, Profesora la Cátedra Edward Mason de Desarrollo Internacional
en la Escuela Kennedy de Gobierno en la Universidad de Harvard y Directora del
Centro David Rockfeller de Estudios para América Latina.
Ricardo Hausmann, Director del Centro de Estudios Internacionales de la
Universidad de Harvard y Profesor de Desarrollo Internacional de la Escuela
Kennedy de Gobierno de la Universidad de Harvard.
Grace Jaramillo, Máster en políticas públicas y relaciones internacionales de la
Universidad de Pittsburgh - EEUU. Investigadora, articulista de diario EL
COMERCIO y actual coordinadora del programa de relaciones internacionales de
la Facultad Latinoamericana de Ciencias Sociales (FLACSO).
Yolanda Kakabadse, Su vínculo con la conservación ambiental comenzó
oficialmente en 1979, cuando fue nombrada Directora Ejecutiva de Fundación
Natura en Quito. Fue Presidente de la Unión Mundial para la Conservación
(UICN) desde 1996 hasta 2004 y Miembro del Directorio del Instituto de Recursos
Mundiales (WRI), durante el mismo período. Fue co-Presidente del Grupo de
Trabajo sobre Sustentabilidad Ambiental del Proyecto del Milenio, 2002 – 2005.
29
Robert Klitgaard, Profesor de la Cátedra Ford de Desarrollo y Seguridad
Internacional y Presidente de la Universidad de Claremont.
Andrés Mejía, Ph.D. en Ciencias Políticas de la Universidad de Norte Dame,
2004 e investigador en el Instituto de Ciencias del Desarrollo, Universidad Sussex,
UK.
David Robalino, Máster en Economía en la Universidad de Sorbona, Francia y un
PhD en Análisis de Políticas Públicas en la Pardee Rand GraduateSchool.
Actualmente se desempeña como Investigador Principal del Banco Mundial en
temas de reformas a los sistemas de seguridad social.
Andrés Velasco, Profesor Titular de la Cátedra Sumitomo de Economía
Internacional en la Escuela de Gobierno John F. Kennedy School de la
Universidad de Harvard y fundador de la Corporación Expansiva.”27
.
2.2.1.4 Colaboradores
Los faristas son personas que tienen todas las competencias (conocimientos,
destrezas, y actitudes) necesarias para cumplir la misión, la visión, y los objetivos
de Grupo FARO, con el fin de hacer que la organización continúe formándose y
desarrollándose.
Estas competencias están divididas en tres áreas centrales: investigación,
desarrollo de capacidades, y comunicación e incidencia política y; en cuatro
ejes de intervención: ambiente y sociedad, equidad y oportunidades sociales,
gobernanza de lo público y sociedad de la información.
27 Consejo Asesor - http://www.grupofaro.org/node/179
30
2.2.2 DATOS GENERALES
Grupo FARO - Centro de Investigación de Políticas Públicas
Dirección: Gregorio Bobadilla N38-88 y Granda Centeno
Teléfono: (593 2) 2 456 367 ext. 11
Fax: (593 2) 2 264 719
Casilla postal: 17-16-135
Mail: [email protected]
Figura 2. 2 Ubicación Grupo FARO28
2.2.3 MISIÓN, VISIÓN, PERSPECTIVA
La misión, visión, objetivos estratégicos y valores de la empresa que se indican a
continuación, han sido tomados del Documento “La Empresa GRUPO FARO S.A”.
2.2.3.1 Misión
¨Incidir en políticas públicas para construir una sociedad más democrática,
innovadora, sustentable e incluyente a través de la investigación, el diálogo
informado y la acción colectiva.
28 http://www.grupofaro.org/node/726
31
2.2.3.2 Visión
Grupo FARO será reconocido globalmente como un centro de políticas públicas
que promueve en Ecuador y América Latina el desarrollo sostenible basado en el
conocimiento.¨29
2.2.3.3 Perspectiva
Desde la perspectiva de Grupo FARO, los cambios en Ecuador se han producido
por la imposición de un grupo económico, político, ideológico, regional o étnico
sobre el resto de la sociedad. Desde nuestra visión, esto es causado por tres de
los que consideramos los principales problemas de nuestro país:
Fragmentación: el Ecuador se caracteriza por una alta fragmentación política,
social, económica, geográfica, que ha determinado la dificultad de llegar a
consensos.
Nuestra visión es que cambios impuestos, producto de la fragmentación y la
dificultad de actuar por el bien común, no contribuyen al progreso de la sociedad
ni son sostenibles en el tiempo. Creemos que cambios duraderos ocurren cuando
diferentes grupos de la sociedad (públicos y privados) coinciden en la definición
de un problema y, sobre todo, asumen responsabilidades compartidas para
resolverlo.
29Misión y Visión Grupo FARO. En internet: http://www.grupofaro.org/node/173
32
2.2.4 ESTRUCTURA ORGANIZACIONAL
En la Figura 2.3 se muestra el organigrama de la organización GRUPO FARO.
Figura 2. 3 Organigrama GRUPO FARO30
A continuación se describe a cada una de las áreas de GRUPO FARO:
Consejo directivo
“El Consejo Directivo es el máximo órgano de gobierno de Grupo FARO y está
conformado por un cuerpo colegiado y plural. Sus miembros son personas de
diversa formación e identidad profesional, ideológica, política, religiosa y cultural;
cuya participación agrega valor al trabajo de la organización.
Dirección Ejecutiva
Representa legal y oficialmente a Grupo FARO. Propone estrategias y coordina la
gestión de fuentes de financiamiento; genera espacios de concertación, alianzas y
acuerdos para garantizar el desarrollo óptimo de las actividades de la
organización. Lidera la gestión institucional mediante el direccionamiento
estratégico. 30http://grupofaro.org/sites/default/files/recursos/archivos/2011/2011-10-27/Diapositiva1.jpg
33
Guía y apoya el establecimiento de políticas y normas que fortalezcan la
institucionalidad y coadyuda al cumplimiento de la misión, vela por el desarrollo de
programas y el cumplimiento de los requisitos establecidos en los convenios.” 31
Subdirección
Se encarga de coordinar la elaboración de los Planes estratégico, operativo
anual de Grupo FARO mediante el seguimiento, monitoreo y evaluación de su
avance.
Informa periódicamente acerca del avance de los planes institucionales y
ejecuciones presupuestarias.
Adicionalmente, se encarga de coordinar la solución de problemas administrativos
y de recursos humanos que dificultan el desarrollo de los proyectos
Área Administrativa Financiera
Administra los recursos financieros y materiales de la Organización; gestiona el
presupuesto, y la contabilidad; y, presta servicios administrativos en el marco de
las leyes y normativas vigentes.
Programar, formular, ejecutar y liquidar el presupuesto de la Organización en el
marco de las disposiciones legales y políticas del organismo, además de conocer
y aprobar los presupuestos de los proyectos
Asesora al Director Ejecutivo y unidades administrativas en materia
presupuestaria, contable y financiera.
Área de Investigación
Esta área es la encargada de impulsar, apoyar y monitorear la realización de las
investigaciones de los diferentes ejes de intervención, con el acompañamiento
continuo en las investigaciones que se están creando que, además de generar los
conocimientos necesarios, sean una fuente de evidencia para la concepción de
políticas públicas. Está compuesta por su Directora y una investigadora del área,
a medida que transcurra el tiempo la dirección va a tener la posibilidad de crecer y
tener más investigadores que consoliden el trabajo que se realiza.
31
http://www.grupofaro.org/node/338
34
Además apoya en el proceso de investigación para que sea relevante dentro de la
esfera pública de Ecuador, no sólo que trasciendan el campo específico de cada
uno de los ejes de intervención sino que con su fundamento sea fuente de
evidencia para incidir en políticas públicas.
Área de Desarrollo de Capacidades
Se encarga de normar y coordinar acciones para desarrollar capacidades tanto
para el personal de la Organización como para los actores sociales que
participan en la ejecución de programas y proyectos, de tal forma que se
fortalezcan sus habilidades individuales y de grupo para realizar tareas, resolver
problemas, establecer y alcanzar objetivos de forma sustentable.
Área de Comunicación e Incidencia Política
El área de Comunicación e incidencia política difunde las ideas, las propuestas
y/o resultados de sus investigaciones entre los actores internos (personal de GF)
y externos (grupos de interés). Propone e implementa estrategias, procesos y
políticas comunicacionales para promocionar y fortalecer la imagen institucional.
Es una de las áreas transversales que desde este enfoque único apoya a las
áreas transversales y temáticas para cumplir la misión y visión organizacional.
Propicia alianzas con los distintos niveles de gobierno, sector privado y sociedad
civil a través de diálogos informados y publicaciones que recogen la investigación
y aporte de Grupo FARO.
La gestión técnica de los investigadores de GF se sostiene con el apoyo de las
estrategias de comunicación porque solo así tienen la capacidad de apoyar la
toma de decisiones de diversos actores públicos, privados y de la sociedad civil.
Por ello, se llevan a cabo diálogos informados, alianzas estratégicas con medios
de comunicación y acercamiento directo con grupos de interés. 32
32http://www.grupofaro.org/node/335
35
Eje de Ambiente y Sociedad
El eje de Ambiente y Sociedad busca entender y analizar la relación entre el
cambio ambiental y el cambio social. ¿Qué impulsa y provoca estos cambios a
nivel local, nacional, regional o global? ¿Cuál es el impacto que tienen estos
cambios en la sociedad, la economía y la institucionalidad? El propósito de este
eje es incidir efectivamente en las políticas públicas que el país se plantea para
alcanzar el desarrollo sustentable, desde las modalidades de intervención
de Grupo FARO: generación de evidencia (investigación), desarrollo de
capacidades y comunicación.
Eje de Equidad y Oportunidades Sociales
El Eje de Equidad y Oportunidades Sociales propone políticas y prácticas que
permiten acortar las brechas que existen en la población para acceder a los
servicios sociales, en especial en aquellas etapas de mayor vulnerabilidad del ser
humano (infancia, enfermedad y desarraigo). El objetivo es que todas las
personas alcancen su potencial en libertad y solidaridad.
Durante los últimos años, las políticas sociales han adquirido gran relevancia, lo
que se puede evidenciar con la alta inversión que ha recibido el sector.
También realiza monitoreo de las políticas públicas sociales tanto en sus aspectos
técnicos como políticos para promover un diálogo informado que permita lograr
propuestas creativas para resolver estos problemas.
Eje de Gobernanza de lo Público
Investiga el rol del Estado y su relación con los miembros de la sociedad civil,
la empresa privada y el sector público. Promueve la transparencia y el acceso a la
información pública de forma oportuna, actualizada y ciudadana como el primer
paso para un mayor involucramiento de la ciudadanía en las decisiones de su
gobierno. Su estrategia de intervención, a través de éste y otros ejes temáticos
de Grupo FARO, es la transparencia.33
33http://www.grupofaro.org/node/58
36
Eje de Sociedad de la Información
Es un eje cuyo objetivo es buscar, generar una cultura de información y
conocimiento para generar en la sociedad participación proactiva en los
procedimientos y procesos democráticos. Promueve el acceso igualitario a la
información para la generación del conocimiento y la participación proactiva y
democrática de los actores sociales. Un país capaz de generar conocimiento
podrá potenciarlo como motor de desarrollo social, económico y político.34
Personal de apoyo operativo (recepción)
Se encarga del área de recepción, así como de la logística de los eventos internos
de Grupo FARO. Además de colaborar con Administración Financiera mediante la
entrega y verificación de firmado de cheques y comprobantes de retención.
2.3 PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE
LA ORGANIZACIÓN
2.3.1 EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN
El departamento de TI es dirigido por el Administrador de Red, el cual está
encargado de brindar asesoría y soporte a todas las áreas administrativas y
transversales de GRUPO FARO.
Entre las tareas del área de tecnologías de información, están las siguientes
· Crear y administrar una política de seguridad, acerca de accesos y uso del
sistema y aplicaciones, permisos y seguridad física.
· Administración de usuarios: Creación y mantenimiento de cuentas,
actualización de permisos de acceso a bases de datos y aplicaciones.
· El mantenimiento de sistema operativo: Revisar actualizaciones y asegurar
el normal funcionamiento del sistema, programar las actividades de
mantenimiento.
· Administrar periféricos: Asegurar accesos y el normal funcionamiento de
estaciones de trabajo e impresoras.
34
http://www.grupofaro.org/node/57
37
· Administrar licencias del software de servidor y periféricos.
· Gestionar oportunamente la recuperación y puesta en marcha del sistema
en caso de fallas de hardware, energía o comunicaciones.
· Monitor de rendimiento del sistema.
· Crear y mantener el sistema de archivos del servidor central.
· Instalar el software nuevo y sus actualizaciones.
· Crear y ejecutar la política de copias de seguridad y recuperación.
· Administrar la red de comunicaciones: accesos, configuración y normal
operación.
2.3.1.1 Estructura del departamento ti de la organización
Cuenta con una persona que se encarga de administrar la Infraestructura de la
Red, de realizar Backups, mantenimiento de Hardware y Software,
adquisición de insumos y equipos informáticos, soporte a usuarios, creación de
cuentas de usuario e implementación de proyectos tecnológicos.
El departamento Ti se encarga del Área tecnológico y de dar soporte a los
usuarios. El área de TI es la responsable de dar apoyo a los usuarios en las
aplicaciones tanto en soporte en software como office, correo electrónico a
aplicaciones internas de FARO además de proporcionar la infraestructura
tecnológica.
En GRUPO FARO, existen aproximadamente 50 equipos de computación, donde
alrededor de 25 son computadores portátiles (laptops), 15 son computadores de
escritorio (desktops) y 9 computadores Mac.
El departamento de TI es dirigido bajo políticas de control y seguridad que le
permiten operar dentro de los formatos apropiados en relación a la administración
de la información.
38
2.3.1.2 Áreas relacionadas con el departamento de TI
Los principales departamentos relacionados con el departamento de Tecnologías
de Información son el departamento Administrativo- financiero, dirección y
subdirección, comunicación e incidencia política, investigación. Están altamente
conectados y obtienen los mayores recursos TI.
En menor grado pero no menos importantes los ejes de: Ambiente y Sociedad,
Gobernanza de lo público, Equidad y oportunidades sociales, Sociedad de la
Información.
2.3.1.3 Descripción de los Perfiles y Responsabilidades del Área de TI
Administrador de Tecnologías de Información
Misión del Cargo: Administrar y controlar proyectos y recursos tecnológicos
siguiendo las políticas y estándares de la corporación para asegurar y mejorar la
operación del negocio.
Departamento
de TI
Administración Dirección
Subdirección
Comunicación e
Incidencia
Política
InvestigaciónEjes de
proyectos
Ambiente y
Sociedad
Gobernanza de
lo público
Equidad y
oportunidades
Sociedad de la
Información
Figura 2. 4 Áreas relacionadas al departamento de TI
39
Relaciones de Trabajo:
Relaciones Internas
Área N B I C
Administración x
Dirección X
Comunicación X
Investigación X
Ejes Proyectos X
N: Ninguna B: Básica I: Importante C:Crítica
Tabla 2. 1 Relaciones internas del Administrador de TI
Relaciones Externas
Entes N B I C
Proveedores x
Clientes X
Proyectos Externos x
N: Ninguna B: Básica I:Importante C:Crítica
Tabla 2. 2 Relaciones Externas del Administrador de TI.
Responsabilidad y Funciones:
• Programar planes de mantenimiento de infraestructura (RED, Servidores,
Comunicaciones) y aplicaciones para mantener funcionamiento de los
mismos.
• Programar implementaciones tecnológicas definidas por la corporación
para mejorar y mantener la operación.
• Supervisar el apropiado desenvolvimiento de las operaciones dentro del
área, con la finalidad de garantizar el fiel cumplimiento de los controles
internos &Sistema Contable.
• Supervisión de servicios tercerizados para garantizar la normal operación
del negocio.
• Supervisar las actividades de desarrollo e infraestructura para lograr
eficiencia en los procesos.
40
• Programar los planes de contingencia sobre servidores y acceso a red con
la finalidad de mantener operativo el negocio.
• Programar nuevo requerimiento de usuario o necesidades internas de
información para mejorar la gestión y la toma decisión.
• Reportar, investigar y manejar de manera puntual actos y condiciones
deficientes e identificar aspectos y riesgos.
Educación: Ingeniero en Sistemas y/o Analista de Sistemas
Conocimiento: CCNA Cisco; Servidores Windows Server 2008; Plataforma
Microsoft Office 2007; Instalación y Recuperación de Hardware y Software;
mantenimiento correctivo y preventivo de hardware.
Experiencia: Mínima 2 años en cargos similares.
Habilidades: Trabajo bajo presión, Habilidad numérica, Habilidad analítica,
Trabajo en equipo, Trabajo Individual, Responsabilidad, Interacción y
Comunicación Social y Orientación a los resultados.
2.3.2 ANÁLISIS DE LA INFRAESTRUCTURA DE TI
El Área de TI de la GRUPO FARO detalla el inventario de los equipos que posee
a cargo.
2.3.2.1 Servidores
Nombre PC SRV-AP
Nombre Usuario Administrador
Sistema Operativo
Nombre SO Microsoft® Windows Server® 2008
Standard
Versión SO 6.0.6001
Memoria Física Libre 2274 MB
41
Memoria Paginación Libre 6418 MB
Memoria Virtual Libre 8502 MB
Processor MainBoard
Procesador
Nombre CPU Intel(R) Xeon(R) CPU E5620 @
2.40GHz
Frecuencia de reloj 2399Mhz
Max. Frecuencia de reloj 2399Mhz
Reloj Externo 133Mhz
Nº Serie BFEBFBFF000206C2
CPU ID Intel64 Family 6 Model 44 Stepping 2
MemoryDevice
Memoria Total 6132 MB
Memoria Usada 3859 MB
Memoria Libre 2273 MB
Memoria Usada Porcentaje 62%
Memoria Física
Descripción PhysicalMemory 2
Disp. Localizado PROC 1 DIMM 3
Velocidad 1333Mhz
Unidad de disco
Nombre HP LOGICAL VOLUME SCSI Disk
Device
Capacidad 500GB
Tipo Bus SCSI
Particiones 2
Unidad de CD-ROM
Nombre hp DVDROM DH20N ATA Device
42
Letra E:
Estado OK
Network
Conexión de área local
Nombre del Producto Gigabit Ethernet Broadcom NetXtreme
Dirección MAC 1C:C1:DE:E8:07:38
Conexión de área local 2
Nombre del Producto Gigabit Ethernet Broadcom NetXtreme
Fichero Driver b57nd60a
Manufactura Broadcom
Dirección MAC 1C:C1:DE:E8:07:39
Tabla 2. 3 Características hardware Servidor Grupo FARO
43
RE
SP
ON
SA
BL
EM
AR
CA
PR
OC
ES
AD
OR
ME
MO
RIA
RA
MD
ISC
O
DU
RO
SIS
TE
MA
OP
ER
AT
IVO
Fra
nci
sco S
an
che
zA
sus
K5
3S
VA
S1
Inte
l co
re i5
- 2
41
0M
2.3
Gh
z3
GB
64
0 G
bW
ind
ow
s 7
Ho
me
Pre
miu
m (
64
bit)
Ale
jan
dra
Va
ldiv
ieso
TO
SH
IBA
Sa
télit
e L
30
5-5
59
24
Inte
l Pe
ntiu
m 4
2
,2 G
Hz
2G
B1
60
GB
Win
do
ws
Xp
Pro
fess
ion
al S
P3
Jazz
min
Arm
as
Ge
né
rico
Inte
l Core
2 D
uo
3.6
Gh
z4
GB
50
0´G
BW
ind
ow
s 7
ho
me
Pre
miu
m
Lo
red
an
na
Me
din
aH
P a
64
30
1a
In
tel C
ore
2 d
uo
2.6
6 G
Hz
3G
B5
00
GB
Win
do
ws
Vis
ta H
om
e e
dic
ión
Ma
yra C
ab
eza
sH
P a
64
30
1a
In
tel C
ore
2 d
uo
2.6
6 G
Hz
3G
B5
00
GB
Win
do
ws
Vis
ta H
om
e e
dic
ión
Est
efa
nia
de
la C
ruz
Ge
né
rico
Pro
cesa
do
r In
tel C
ore
i7 2
60
0 -
- 3
,4G
HZ
4G
B1
00
0G
BW
ind
ow
s 7
Ulti
ma
te 6
4 b
its
Ma
ritza
Agu
irre
Asu
s K
53
SV
AS
1In
tel C
ore
i5-2
41
0M
(2
.3 G
Hz
6G
B o
f D
DR
36
40
GB
W
ind
ow
s 7
Ho
me
Pre
miu
m (
64
bit)
Sig
rid V
ásc
on
ez
Ma
c I
nte
l C
ore
2 d
uo
1 G
B1
20
GB
MA
C O
S X
10
.5
Dan
iel B
ravo
Po
rta
til H
PC
OR
E i5
2 G
B5
00
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
Mire
ya V
illaci
sT
OS
HIB
A S
até
lite
L6
55
-
sp4
13
51
Inte
l Core
i33
GB
32
0 G
BW
ind
ow
s 7
Ho
me
Pre
miu
n
Est
efa
nía
Ch
arv
et
Ace
r A
spire
48
30
T2
.53
GH
z In
tel C
ore
i3-3
80
M d
ua
l-co
re p
roce
sso
r4
GB
50
0 G
BW
ind
ow
s 7
Ho
me
Pre
miu
m
2.3.
2.2
Eq
uip
os
En
la T
ab
la 2
.4 s
e p
rese
nta
la u
na
list
a d
e eq
uip
os
adm
inis
trad
os
po
r e
l de
part
ame
nto
de
TI
de G
RU
PO
FA
RO
.
44
RE
SP
ON
SA
BL
E
MA
RC
A
PR
OC
ES
AD
OR
M
EM
OR
IA
RA
M
DIS
CO
DU
RO
SIS
TE
MA
OP
ER
AT
IVO
Ma
ria
Dolo
res
Liz
arz
ab
uru
Po
rta
til H
PIn
tel c
ore
2 D
uo
2 G
B3
20
GB
Win
do
ws
7 H
om
e P
rem
ium
Dan
iela
de
la T
orr
eM
AC
Inte
l Core
2 d
uo
2 G
B2
50
GB
MA
C O
S X
10
.5
Ga
brie
la E
razo
To
shib
a S
ate
llite
L5
05
D-
SP
60
13
RIn
tel C
ore
2 d
uo
3 G
B3
20
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
Dan
iel A
lme
ida
Ga
tew
ay
nte
l ®
Co
re ™
2
1 G
B1
20
GB
Win
do
ws
Xp
Pro
fess
ion
al S
P3
Lis
eth
Est
eve
zIM
AC
Core
i3 3
,06
Gh
z,4
GB
50
0 G
BM
AC
OS
X 1
0.6
Fra
nci
sco D
elg
ad
oC
OM
PA
QIn
tel C
ore
2 D
uo
2 G
B3
20
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
Ale
jan
dro
Mo
yaA
sus
In
tel c
ore
du
o d
e 1
,6 G
hz
4 G
B3
20
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
Pa
san
te 1
Ge
né
rico
AM
D S
ep
rón
4 G
B3
20
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
An
dre
a Z
um
árr
aga
Ge
né
rico
Inte
l co
re 2
du
o2
GB
50
0 G
BW
ind
ow
s X
p P
rofe
ssio
na
l SP
3
Dia
na
Bo
lañ
os
Ge
né
rico
Inte
l Pe
ntiu
m I
II X
eo
n2
GB
32
0 G
BW
ind
ow
s X
p P
rofe
ssio
na
l SP
3
Mó
nic
a O
rozc
oC
OM
PA
QIn
tel C
ore
2 D
uo
2 G
B3
20
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
45
RE
SP
ON
SA
BL
E
MA
RC
A
PR
OC
ES
AD
OR
M
EM
OR
IA
RA
M
DIS
CO
DU
RO
SIS
TE
MA
OP
ER
AT
IVO
Da
vid
Avi
lés
Ge
né
rico
Inte
l Pe
ntiu
m I
II X
eo
n2
GB
32
0 G
BW
ind
ow
s X
p P
rofe
ssio
na
l SP
3
Jua
n J
ose
He
rre
raG
en
éric
oC
en
trin
o P
en
tium
4
1,7
GH
z5
12
MB
80
GB
Win
do
ws
Xp
Pro
fess
ion
al S
P3
Ma
be
l An
dra
de
MA
CP
roce
sad
or
Inte
l Co
re i5
2.3
Gh
z4
GB
32
0 G
BM
AC
OS
X 1
0.6
Julio
Ló
pe
zT
OS
HIB
AIn
tel c
ore
2 d
uo
2 G
B3
20
GB
Win
do
ws
Xp
Pro
fess
ion
al S
P3
Ma
. C
arm
en
Pa
nto
jaA
sus
Inte
l co
re d
uo
de
1,6
Gh
z4
GB
32
0 G
BW
IND
OW
S 7
PR
OF
ES
SIO
NA
L
Est
eb
an
Tin
oco
AS
PIR
E O
NE
53
2H
-22
38
N
AV
50
Inte
l AT
OM
N4
50
2
GB
25
0 G
BW
ind
ow
s X
p P
rofe
ssio
na
l SP
3
Ma
ría
Pa
z Je
rvis
CO
MP
AQ
Inte
l Co
re 2
Du
o2
GB
32
0 G
BW
IND
OW
S 7
PR
OF
ES
SIO
NA
L
An
dre
a O
rdo
ñe
zA
sus
In
tel c
ore
du
o d
e 1
,6 G
hz
4 G
B3
20
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
Ad
rian
a V
iteri
Asu
s
Inte
l co
re d
uo
de
1,6
Gh
z4
GB
32
0 G
BW
IND
OW
S 7
PR
OF
ES
SIO
NA
L
Julio
Ech
eve
rría
MA
CP
roce
sad
or
Inte
l Co
re i5
2.3
Gh
z4
GB
32
0 G
BM
AC
OS
X 1
0.6
Alic
ia A
rias
MA
CP
roce
sad
or
Inte
l Co
re i5
2.3
Gh
z4
GB
32
0 G
BM
AC
OS
X 1
0.6
Josu
e L
op
ez
To
shib
aIn
tel C
ore
i33
GB
32
0 G
BW
IND
OW
S 7
PR
OF
ES
SIO
NA
L
Pa
ul M
ed
ina
To
shib
aP
roce
sad
or
Co
re i7
4 G
B6
00
GB
WIN
DO
WS
7 P
RO
FE
SS
ION
AL
46
Jorg
e A
ga
ma
AS
PIR
E O
NE
53
2H
-22
38
N
AV
50
Inte
l AT
OM
N4
50
2
GB
25
0 G
BW
ind
ow
s X
p P
rofe
ssio
na
l SP
3
Ora
zio
Be
llett
ini
MA
C I
nte
l Co
re i5
2.3
Gh
z4
GB
32
0 G
BM
AC
OS
X 1
0.6
Ale
xan
dra
Riv
ad
en
eira
AC
ER
I
nte
l Co
re i5
2.3
Gh
z4
GB
64
0 G
BW
ind
ow
s 7
Ho
me
Pre
miu
m
Gu
ille
rmo
Jim
bo
SO
NY
Inte
l Co
re i5
48
0M
- 2
,66
Gh
z4
GB
64
0 G
BW
ind
ow
s 7
Ulti
ma
te
Ivá
n B
orja
MA
C I
nte
l Co
re 2
du
o2
GB
25
0 G
BM
AC
OS
X 1
0.6
Pa
ul S
ala
zar
HP
Pa
vilo
n D
V4
In
tel C
ore
2 d
uo
3 G
B3
20
GB
Win
do
ws
Vis
ta h
om
e e
dito
n
Fra
nci
sco
En
ríqu
ez
AC
ER
In
tel C
ore
2 d
uo
4 G
B5
00
GB
Win
do
ws
Vis
ta h
om
e e
dito
n
Ma
ría
Ga
brie
la F
lore
sT
OS
HIB
AIn
tel C
ore
i34
GB
50
0 G
BW
ind
ow
s 7
Ulti
ma
te
An
ab
el C
ast
illo
Asu
s
Inte
l co
re d
uo
de
1,6
Gh
z4
GB
32
0 G
BW
ind
ow
s 7
Ho
me
Pre
miu
m
DE
LL
De
ll X
PS
m1
40
Pro
cesa
do
r P
en
tium
1,7
Gh
z,5
12
MB
60
GB
Win
do
ws
Xp
Pro
fess
ion
al S
P3
LIB
RE
MA
CIn
tel d
ua
l co
re5
12
MB
40
G
BM
AC
OS
X 1
0.4
LIB
RE
--
Ma
be
l An
dra
de
MA
CIn
tel d
ua
l co
re5
12
MB
40
G
BM
AC
OS
X 1
0.4
AU
DIT
OR
IAG
en
érico
Inte
l co
re 2
du
o1
GB
80
GB
Win
do
ws
Xp
Pro
fess
ion
al S
P3
RE
SP
ON
SA
BL
E
MA
RC
A
PR
OC
ES
AD
OR
M
EM
OR
IA
RA
M
DIS
CO
DU
RO
SIS
TE
MA
OP
ER
AT
IVO
Tab
la 2
. 4
L
ista
de
eq
uip
os
adm
inis
trad
os
po
r e
l dep
art
am
ento
de
TI.
47
2.3.2.3 Otros dispositivos
En la Tabla 2.5 se muestra el inventario de otros dispositivos administrados por el
departamento de TI de la empresa GRUPO FARO.
CANTIDAD DISPOSITIVO
2 Proyectores
2 Impresora matricial
2 Impresora a tinta
1 Impresora multifuncional
1 Modem
3 Switch
1 UPS
2 Routers Inalámbricos
1 Disco Duro Externo
1 Central Telefónica
Tabla 2. 5 Otros dispositivos administrados por el departamento de TI.
2.3.3 SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO
Internet: El servicio de internet es proporcionado por SATNET, y es
distribuido a la organización sin restricción de ancho de banda.
Red: La topología de la red de la Infraestructura tecnológica de GRUPO FARO es
de tipo estrella por ser la de mayor uso en redes por la confiabilidad y estabilidad
que ofrece.
El cableado estructurado de la red es conformado por cable UTP Categoría 5e,
para la comunicación entre el modem y el proveedor, se usa cable coaxial.
No se cuenta con un firewall, y tampoco con un antivirus corporativo.
Correo electrónico es proporcionado por Google Apps, aprovechando los
beneficios que se obtienen como organización no gubernamental.
48
2.3.4 DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL
DEPARTAMENTO DE TI
En la Tabla 2.6 se describe los servicios que soporta el departamento de TI de la
empresa RELIANCE.
SERVICIO DE TI DESCRIPCIÓN
Microsoft Office Word Herramienta ofimática – procesamiento de texto
Microsoft Office Excel Herramienta ofimática – hoja de cálculo
Microsoft Office PowerPoint Herramienta ofimática – elaboración de
presentaciones.
Correo Electrónico Aplicación de correo electrónico, usado para
envío y recepción de e-mails, tanto a nivel
interno como externo de la empresa, servicio
proporcionado por Google Apps.
Internet Red pública usada para la comunicación,
búsqueda y transferencia de información, la cual
permite la interconexión con otras redes,
provista por TVCABLE.
Google Docs. Servicio de biblioteca de documentos usado
para crear, guardar y compartir documentos, a
los usuarios del dominio interno @grupofaro.org
Mensajería interna Chat de comunicación interna de la organización
Servidor de Archivos Partición disponible para almacenar información
importante, de la cual se obtiene respaldos de
forma periódica.
Scanner Captura y digitalización de imágenes,
documentos de texto, y transferencia de los
mismos a una carpeta en red para su acceso.
Impresoras Impresión de documentos.
Copiadoras Copiado de documentos.
Fax Servicio de envío y recepción de documentos
vía telefónica.
49
SERVICIO DE TI DESCRIPCIÓN
Conferencia Conferencia mediante central POLYCOM.
UPS Sistema de alimentación de energía
ininterrumpida, que permite proporcionar
energía a un dispositivo en el caso de
interrupción eléctrica.
DBSYS (Sistema contable ) Sistema contable que permite la elaboración de
contabilidad y presupuestos.
AURAPORTAL (BPMS) Suite de administración de procesos internos de
la organización.
Antivirus Aplicación informática que permite prevenir,
detectar y eliminar virus informáticos.
Adobe Reader Software utilizado para apertura, lectura e
impresión de documentos electrónicos con la
extensión “ .pdf ”.
Skype Software utilizado para la realización de
videoconferencias a través de la red pública
Internet.
Enlaces de cableado Comunicación con servidores mediante
cableado UTP cat. 5e.
Enlace Mireles Comunicación con servidores mediante red
inalámbrica con seguridad respectiva, SSID
grupo Faro.
Central telefónica Servicio de telefonía fija.
VNC Aplicación de asistencia remota a usuarios de la
organización.
Equipos de computación y
componentes
Material necesario para administración de
infraestructura de TI.
Tabla 2. 6 Descripción de los servicios soportados por el departamento de
TI
50
2.3.5 LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI
En la Tabla 2.7 se muestra la lista de procesos del departamento de TI de la
empresa GRUPO FARO.
PROCESO DE TI DESCRIPCIÓN PERIODICIDAD
Soporte a usuarios
Proceso encargado de
ayudar a satisfacer las
necesidades de los
usuarios con respecto a la
correcta utilización de los
equipos de TI tanto a nivel
de hardware y software.
Cada vez que un
usuario de la
organización lo
requiere.
Adquisición de
Software
Proceso encargado del
asesoramiento y
adquisición de nuevos
paquetes de software.
Cada vez que un área
de la organización lo
requiere.
Mantenimiento y soporte
del sistema DBSYS
Proceso encargado de
asegurar que la
información administrada
por el sistema DBSYS sea
precisa, consistente y esté
disponible a los usuarios
cuando estos lo necesiten y
en la forma requerida,
especialmente para el área
Administrativa Financiera
de GRUPO FARO.
Diario.
51
PROCESO DE TI DESCRIPCIÓN PERIODICIDAD
Adquisición de equipos
Proceso encargado del
asesoramiento y
adquisición de hardware,
mediante la elaboración de
cotizaciones y la elección
de la mejor opción.
Cada vez que un área
de la organización lo
requiere.
Mantenimiento de
software
Proceso encargado de la
revisión del software
utilizado en la organización,
para mantener en estado
óptimo el funcionamiento
de los equipos de
computación.
Cada vez que se
solicite un
requerimiento por los
usuarios.
Creación de usuarios
Proceso encargado de
registrar a los ejecutivos en
Active Directory.
Cada vez que ingresa
un usuario a la
organización.
Obtención de
Backups
El proceso de back-ups
consiste en sacar un
respaldo de las unidades
de Red, y de los servidores
que tienen aplicaciones
locales como Aura Portal,
Dbsys, etc.
Semanalmente.
Mantenimiento de red
cableada
Proceso encargado de la
revisión de los equipos
activos red cableada de
GRUPO FARO.
Diario.
52
PROCESO DE TI DESCRIPCIÓN PERIODICIDAD
Mantenimiento de red
inalámbrica
Actividades encargadas de
la revisión de los equipos
activos la red inalámbrica
de GRUPO FARO, para
mantener en estado óptimo
el funcionamiento de los
equipos de computación.
Quincenal.
Soporte a usuarios
Proceso encargado de
ayudar a satisfacer las
necesidades de los
usuarios con respecto a la
correcta utilización de los
equipos de TI tanto a nivel
de hardware y software.
Diario.
Capacitación de
Usuarios
Capacitación realizada a
nivel de software usado
dentro de GRUPO FARO.
Depende del ingreso
de nuevo personal,
así como del uso de
nuevas aplicaciones
de software.
Tabla 2. 7 Listado de Procesos del Departamento de TI. 35
2.4 NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO
FARO
Se elaborará un plan de Disponibilidad de Tecnologías de Información, debido a
que no existe ninguna clase de procedimiento a seguir en caso de fallos en la red
de comunicaciones, ni energía eléctrica, y menos una política acerca del manejo
de fallas de disponibilidad con los servicios externos contratados.
35 Autor: Alejandro Velasco GRUPO FARO
53
El principal servicio crítico para la organización es el Internet, debido a que se
utiliza la plataforma de Google Apps @grupofaro.org, en la que se encuentran los
servicios de correo electrónico (Gmail), calendario en línea (Google Calendar),
Google Docs., Google Setes, y Google Chat para mensajería interna, los cuales
son utilizados permanentemente por los usuarios.
Además del Sistema contable Dbsys, el cual se encuentra en el Servidor Físico,
mediante el cual se realizan todas las actividades pertinentes al Área
Administrativa financiera tales como : Elaboración del rol de pagos, cheques,
impuestos, etc.
Otro servicio crítico que se dispone implementar es un BPMS Aura Portal,
mediante el cual se planea modelizar los procesos operativos de la organización y
ponerlos en ejecución automática, al cual ingresarán todos los usuarios de la
organización, mediante la red interna.
· A continuación se indican los principales factores que requiere GRUPO
FARO en la disponibilidad de TI:
• Reducir costos de operación y de adquisición de TI.
• Monitorizar los servicios de TI.
• Incrementar la calidad y satisfacción de los usuarios.
• Incrementar la agilidad de TI para adaptarse a los cambios y
requerimientos constantes del negocio.
• Mejorar la infraestructura y servicios TI con el objetivo de aumentar los
niveles de disponibilidad.
54
CAPÍTULO 3
ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE
TI.
En este capítulo se determinarán los requisitos de disponibilidad identificando las
actividades Vitales del Negocio y su relación con las TI mediante encuestas al
personal administrativo, mapeando las actividades realizadas con los servicios,
prestados por el departamento de TI.
Posteriormente se realizará el levantamiento de información en lo que se refiere a
hardware y software activo y pasivo de la organización.
Entonces, se realizará el Análisis de Puntos individuales de Fallo de componentes
aplicando los mejores métodos descritos en la librerías, además del Análisis de
Riesgo y en base a los resultados se especificarán criterios acerca de la gestión
de riesgo, recuperación de los servicios, métricas de recuperación y
consideraciones de seguridad.
Este plan permitirá tener una visión de las actividades a ser realizadas para
mejorar la disponibilidad de los servicios TI, además de la infraestructura
tecnológica actual de la organización.
Se realizarán pruebas con interrupciones específicas a un servicio crítico, y
gracias a los criterios presentados anteriormente, evaluar los resultados del Plan
de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta
al mismo.
Después se determinarán los requisitos de disponibilidad, mediante los cuales se
pueden determinar las necesidades respecto a la Disponibilidad de las
Tecnologías de Información.
Gracias a la determinación de los requisitos de disponibilidad, se podrá evaluar si
la infraestructura de TI de la organización, puede proporcionar los niveles
necesarios de disponibilidad.
55
A continuación se realizará la actividad de diseño.
Las actividades de diseño son:
· El Diseño de la Disponibilidad.
· El Diseño de la Recuperación.
· Consideraciones sobre Seguridad.
· Mantenimiento del Plan de Disponibilidad.
La gestión de disponibilidad debe garantizar que los niveles de disponibilidad
cumplan lo acordado en los servicios que se entreguen de manera eficiente
mediante una relación costo-beneficio.
Para conseguirlo la Gestión de Disponibilidad puede realizar actividades reactivas
y proactivas.
Actividades reactivas
Las actividades reactivas de la Gestión de Disponibilidad consisten en monitorear,
medir, analizar, reportar y revisar todos los aspectos de la disponibilidad de
componentes y servicios.
En cualquier lugar donde sean detectadas las brechas de disponibilidad, estos
son investigados, y se ejecutan acciones correctivas. Estas operaciones son
incluidas generalmente en los roles operativos.
Actividades proactivas
Para ser eficaz, la gestión de disponibilidad debería tener actividades proactivas,
las cuales se centran en una planificación y en una implicación en la mejora de la
disponibilidad.
Las actividades proactivas de la Gestión de Disponibilidad implican:
· Análisis y Gestión de Riesgo.
· Programas de pruebas de disponibilidad.
56
· Análisis de Impacto de Fallo de Componentes (CFIA).
· Análisis de Punto Individuales de Fallo (SPOF).
· Análisis por Árboles de Fallos (FTA).
En la Figura 3.1 se presentan las actividades Reactivas y Proactivas, y como
estas se interrelacionan entre sí.
Figura 3. 1 Actividades proactivas y reactivas 36
36 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI.
Mejores Prácticas para la Provisión del Servicio. versión 3. 2007
57
3.1 MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL
NEGOCIO
En la Tabla 3.1 podemos se muestran los Servicios de TI administrados por el
departamento de Tecnología y las Áreas que utilizan dichos servicios.
Las encuestas se realizaron mediante la herramienta Survey Monkey37, con la
cual se pueden realizar encuestas en línea gratuitamente.
El formato y los resultados de las encuestas, se los puede encontrar en:
Anexo 1: GF- Formato Encuesta ON-LINE.
Anexo 8 - GF-Tabulación encuestas ON-LINE.
ÁREA SERVICIO DE TI
Dirección ejecutiva Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Antivirus
Internet Inalámbrico
Central telefónica Polycom
Central telefónica
Área Administrativa
Financiera
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Msm Messenger
Documentos Compartidos
37 http://es.surveymonkey.com/
58
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Impresora Epson Planta Baja
Impresora EPSON LX-300
Impresora Matricial Epson Administración
Sistema Contable DBSYS
Software Impuestos
Antivirus
Acceso Remoto
Internet Cableado
Servidor de archivos (carpetas compartidas)
Área de Investigación Word
Excel
Power Point
Access
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Antivirus
Adobe Acrobat
Central telefónica Polycom
Skype
Otros
Paquetes estadísticos
Área de Desarrollo de
Capacidades
Word
Power Point
Correo electrónico
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Antivirus
Adobe Acrobat
Acceso Remoto
Internet Inalámbrico
59
Central telefónica
Skype
Área de Comunicación e
Incidencia Política
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Copiadora Ricoh Aficio MP 171
Impresora EPSON LX-300
Adobe Acrobat
Internet Inalámbrico
Skype
Redes sociales, Adobe para diseño gráfico, google analytics,
Eje de Ambiente y Sociedad Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Antivirus
Adobe Acrobat
Internet Inalámbrico
Central telefónica
Skype
Eje de Gobernanza de lo
Público
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Msm Messenger
Documentos Compartidos
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
60
Antivirus
Adobe Acrobat
Internet Inalámbrico
Internet Cableado
Servidor de archivos (carpetas compartidas)
Skype
Eje de Equidad y
Oportunidades Sociales
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Documentos Compartidos
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Antivirus
Adobe Acrobat
Internet Inalámbrico
Central telefónica
Skype
SPSS
Eje de Sociedad de la
Información
Word
Excel
Power Point
Correo electrónico
Chat Google
Google Docs
Msm Messenger
Documentos Compartidos
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Impresora Epson Planta Baja
Impresora EPSON LX-300
Antivirus
Adobe Acrobat
Acceso Remoto
61
Internet Inalámbrico
Central telefónica Polycom
Internet Cableado
Central telefónica
Servidor de archivos (carpetas compartidas)
Skype
Personal de apoyo operativo
(recepción)
Word
Excel
Power Point
Access
Correo electrónico
Chat Google
Google Docs
Impresora Ricoh Aficio MP171
Escáner Ricoh Aficio MP 171
Copiadora Ricoh Aficio MP 171
Fax Ricoh Aficio MP171
Impresora Epson Planta Baja
Impresora EPSON LX-300
Impresora Matricial Epson Administración
Adobe Acrobat
Internet Inalámbrico
Central telefónica Polycom
Central telefónica
Servidor de archivos (carpetas compartidas)
Tabla 3. 1 Servicios de TI administrados por el departamento de
Tecnología.
3.1.1 ACTIVIDADES DEL NEGOCIO
En la Tabla 3.2 se describen las actividades del negocio que se presentan en
cada Área, además de si se relacionan con las Tecnologías de Información, y el
principal servicio de estas. El formato de la encuesta se encuentra en: Anexo 2:
GF-Formato encuesta Funciones e Impactos financiero y operacional.
La tabulación de los datos se encuentra en:
Anexo 7: GF-Tabulación encuestas Grupo FARO.
62
ÁREA DEL NEGOCIO PROCESO DEL NEGOCIO RELACIONADA CON
TI
SI NO
Dirección ejecutiva Colaboración en el proceso de selección de
personal
1
Levantamiento de fondos 1
Generación de actas de reuniones 1
Auxiliar Contable Revisión de cuentas 1
Revisión, orden y clasificación de archivos 1
Conciliaciones Bancarias 1
Cuadrar Proyectos 1
Secuencia de retenciones 1
Asistente Financiera -
Contable
Registro de Facturas 1
Emisión de cheques 1
Carga de transferencias 1
Registro de reembolso de gastos 1
Depósitos, Débitos e ingresos 1
Asistente Contable Revisión de cuentas 1
Revisión de documentación física 1
Realización de conciliaciones bancarias 1
Revisión del centro de costos 1
Preparación de carpetas para auditorias 1
Analista de Reportes Control Presupuestario 1
Cronograma de Informes Financieros 1
Informes al donante 1
Revisión de documentación - respaldo 1
Revisión y preparación de presupuestos
1
63
ÁREA DEL NEGOCIO PROCESO DEL NEGOCIO RELACIONADA CON
TI
SI NO
Coordinadora
Financiera -Contable
Supervisar y Coordinar la ejecución de
procesos contables
1
Obtener y revisar informes financieros 1
Declaración de Impuestos y similares 1
Revisión, ejecución mensual del
presupuesto institucional
1
Revisión de informes de donantes 1
Área de Investigación Revisión de documentos académicos para
investigaciones internas
1
Organización de temas relacionados con
eventos
1
colaboración con tareas administrativas del
Área de Investigación
1
Área de Comunicación
e Incidencia Política
Supervisar editorial y publicaciones de
GRUPO FARO
1
Supervisar estándares de calidad de los
eventos de GRUPO FARO
1
Desarrollo de reuniones estratégicas para el
área de Comunicación
1
Monitoreo de medios 1
Relación con públicos externos de
comunicación
1
Revisión y actualización de inventario de
Área de Comunicación
1
elaboración y actualización de Bases de
Datos de contactos
1
Personal de apoyo
operativo (recepción y
mensajería)
Verificar estado tributario de las facturas 1
Recibir y entregar facturas a sus
responsables
1
Elaborar solicitudes de pago
correspondientes al presupuesto
institucional
1
Elaborar adquisiciones de bienes y/o
contrataciones de servicios
1
64
Mantener actualizado el inventario de
suministros
1
Entregar y retirar documentación 1
Realizar el mantenimiento y apoyar con la
limpieza de oficinas
1
Efectuar cobros y pagos 1
Realizar trámites en instituciones financieras 1
Administración de TI Administración de usuarios 1
Mantenimiento preventivo y correctivo de
Servidores.
1
Administración de periféricos 1
Administración de licencias del software del
servidor y periféricos
1
Soporte técnico in situm y remoto. 1
Monitorear el rendimiento del sistema. 1
Mantenimiento del sistema de archivos del
servidor central.
1
Instalación de software y sus
actualizaciones.
1
Creación y ejecución de copias de seguridad
y recuperación.
1
Tabla 3. 2 Funciones y Procesos del negocio, y su relación con TI
3.2 ELEMENTOS DE CONFIGURACIÓN (CI)
¨Los elementos de configuración son todos, tanto los componentes pertenecientes
a la infraestructura tecnológica de la organización, como los servicios de TI. Los
cuales pueden ser:
Elementos de configuración de hardware: PCs, impresoras, routers, etc. así como
sus componentes: tarjetas de red, teclados, lectores de CDs.
Elementos de configuración de Software: Sistemas Operativos, aplicaciones.
Elementos de configuración de Documentación: manuales, acuerdos de
niveles de servicio.
65
En resumen, todos los componentes que han de ser gestionados por la
organización TI.¨38
3.2.1 ELEMENTOS DE CONFIGURACIÓN DE HARDWARE
En esta sección se expondrá una lista de los dispositivos de hardware que se
encuentran instalados en la infraestructura tecnológica de Grupo Faro.
Como elementos de configuración, se considerarán los siguientes:
· Desktops.
· Laptops.
· Impresoras.
· Switches.
· Servidores.
· Access Points.
· Routers.
· Interfaces de Red.
· Alimentador de Energía.
3.2.1.1 Desktops
En la Tabla 3. 3, se muestran los ordenadores, administrados por el departamento
de TI de Grupo FARO, con sus respectivas características.
Las Desktops se representan mediante el identificador ¨ DSK ¨.
ID USUARIO PROCESADOR MEMORIA RAM DISCO
DURO
DSK1 Jazmín Armas Intel Core 2 Duo 3.6Ghz 4GB 500 GB
DSK2 Belén Abata Intel Core 2 duo 2.66 GHz 3GB 500GB
DSK3 Alexandra Luje Intel Core 2 duo 2.66 GHz 3GB 500GB
38
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_configuraciones/introduccion_objetivos_g
estion_de_configuraciones/definiciones_gestion_de_configuraciones.php
66
DSK4 Andrea
Zumárraga
Core i3 3,06Ghz, 4 GB 500 GB
DSK5 Tics Intel Pentium III Xeon 2 GB 320 GB
DSK6 Tics Intel Pentium III Xeon 2 GB 320 GB
DSK7 Pasantía Intel Core i3 3 GB 320 GB
Tabla 3. 3 Equipos Desktop administrados por el departamento de TI
3.2.1.2 Laptops
La Tabla 3. 4contiene una lista de todas las computadoras portátiles que se
encuentran en Grupo Faro.
Las Laptops se representan mediante el identificador ¨ LAP ¨.
ID USUARIO PROCESADOR MEMORIA
RAM
DISCO
DURO
LAP1 Hernan Abril Intel core i5- 2410M 2.3Ghz 3GB 640 Gb
LAP2 Stephanie de la
Cruz
Intel Pentium 4 2,2 GHz 2GB 160 GB
LAP3 Elizabeth Tello Intel Core 2 duo 2.66 GHz 3GB 500GB
LAP4 Maria Tobar Intel Core 2 duo 2.66 GHz 3GB 500GB
LAP5 Ana Lucia Tenelema Procesador Intel Core i7 2600 --
3,4GHZ
4GB 1000GB
LAP6 Yolanda Telpiz Intel Core i5-2410M (2.3 GHz 6GB 640GB
LAP7 Sigrid Vásconez Intel Core 2 duo 1 GB 120 GB
LAP8 Daniel Bravo CORE i5 2 GB 500 GB
LAP9 Mireya Villacis Intel Core i3 3 GB 320 GB
LAP10 Estefanía Charvet 2.53 GHz Intel Core i3-380M dual-
core processor
4 GB 500 GB
LAP11 Maria Dolores
Lizarzaburu
Intel core 2 Duo 2 GB 320 GB
LAP12 Daniela de la Torre Intel Core 2 duo 2 GB 250 GB
LAP13 Gabriela Erazo Intel Core 2 duo 3 GB 320 GB
LAP14 Daniel Almeida Intel ® Core ™ 2 1 GB 120 GB
LAP15 Alejandro Moya Intel core duo de 1,6 GHz 4 GB 320 GB
67
ID USUARIO PROCESADOR MEMORIA
RAM
DISCO
DURO
LAP16 Andrea Zumárraga Intel core 2 duo 2 GB 500 GB
LAP17 Mónica Orozco Intel Core 2 Duo 2 GB 320 GB
LAP18 Juan José Herrera Centrino Pentium 4 1,7 GHz 512 MB 80 GB
LAP19 Mabel Andrade Procesador Intel Core i5 2.3Ghz 4 GB 320 GB
LAP20 Julio López Intel core 2 duo 2 GB 320 GB
LAP21 Ma. Carmen Pantoja Intel core duo de 1,6 Ghz 4 GB 320 GB
LAP22 Esteban Tinoco Intel ATOM N450 2 GB 250 GB
LAP23 María Paz Jervis Intel Core 2 Duo 2 GB 320 GB
LAP24 Andrea Ordoñez Intel core duo de 1,6 Ghz 4 GB 320 GB
LAP25 Marcela Morales Intel core duo de 1,6 Ghz 4 GB 320 GB
LAP26 Julio Echeverría Procesador Intel Core i5 2.3Ghz 4 GB 320 GB
LAP27 Alicia Arias Procesador Intel Core i5 2.3Ghz 4 GB 320 GB
LAP28 Josué López Intel Core i3 3 GB 320 GB
LAP29 Paul Medina Procesador Core i7 4 GB 600 GB
LAP30 Jorge Agama Intel ATOM N450 2 GB 250 GB
LAP31 Orazio Bellettini Intel Core i5 2.3Ghz 4 GB 320 GB
LAP32 Alexandra Rivad Intel Core i5 2.3Ghz 4 GB 640 GB
LAP33 Iván Borja Intel Core 2 duo 2 GB 250 GB
LAP34 Paul Salazar Intel Core 2 duo 3 GB 320 GB
LAP35 Francisco Enríquez Intel Core 2 duo 4 GB 500 GB
LAP36 Gabriela Flores Intel Core i3 4 GB 500 GB
LAP37 Anabel Castillo Intel core duo de 1,6 Ghz 4 GB 320 GB
LAP38 DELL Procesador Pentium 1,7 Ghz, 512 MB 60 GB
LAP39 Mabel Andrade 512 MB 40 GB
LAP40 AUDITORIA Intel core 2 duo 1 GB 80 GB
LAP41 AUDITORIA Intel core 2 duo 1 GB 80 GB
LAP42 LIBRE Intel core 2 duo 1 GB 80 GB
Tabla 3. 4 Equipos Laptop administrados por el departamento de TI
68
3.2.1.3 Impresoras
En la Tabla 3. 5 se presentan las impresoras compartidas en red y conectadas
directamente a ciertos equipos de Grupo FARO, además de los usuarios que
tienen acceso a impresión.
ID Modelo Tipo
I1 EPSON LX300 - II Matricial
I2 EPSON L200 Tinta
Tabla 3. 5 Impresoras Matriciales y de tinta administradas por el
departamento de TI
En la se presentan las características de la impresora de red instalada en Grupo
Faro, la cual se comparte mediante TCP/IP para todas las áreas de la
organización.
Las impresoras se representan mediante el identificador ¨ I ¨.
ID Modelo Dirección
I3 Ricoh Aficio MP 171 – B/N 192.168.10.143
I4 Ricoh Aficio MPC 400 – Color 192.168.10.146
Tabla 3. 6 Impresoras en Red administradas por el departamento de TI
3.2.1.4 Switches
En la tabla 3.7 se indican los switches administrados por el departamento de TI de
Grupo FARO.
Los switches se representan mediante el identificados ¨ SWI ¨.
ID Modelo Número de puertos
SWI1 Dlink – DES 1008 A 8
SWI2 Dlink – DES 1008 A 8
SWI3 Cisco SF200 24
Tabla 3. 7 Switches administrados por el departamento de TI
69
3.2.1.5 Servidores
En la Tabla 3.8 se presentan las características de los equipos servidores
administrados por el departamento de TI de Grupo FARO.
Los servidores se representan mediante el identificados ¨ SRV ¨.
ID Tipo Aplicación Procesador RAM Disco
Duro
RAID
SRV1 Físico WEB Server IIS Intel64 Family 6
Model 44 Stepping 2
6 GB 500 GB RAID 1
SRV2 Virtual Active Directory - 2 GB 20 GB -
SRV3 Virtual SQL - 2 GB 20 GB -
SRV4 Físico Servidor archivos Intel Core 2 DUO E
4600 2,4 Ghz
4 GB 500 GB
Tabla 3. 8 Servidores administrados por el departamento de TI
3.2.1.6 Access Points
En la Tabla 3.9 se presentan las características de Access-points administrados
por el departamento de TI de Grupo FARO.
Los Access Points se representan mediante el identificados ¨ AP ¨.
ID Marca Modelo Puertos
LAN
Puertos
WAN
AP1 Trendnet Trendnet 639 GR 4 1
AP2 CISCO WRT 310 N 4 1
Tabla 3. 9 Access Point administrados por el departamento de TI
3.2.1.7 Modem
En la Tabla 3.10 se presentan las características del Modem administrados por el
departamento de TI de Grupo FARO.
70
El Modem se representa mediante el identificados ¨ M ¨.
ID Marca Modelo Puertos
LAN
Puertos
teléfono
M1 Arris TM602G / 115 1 2
Tabla 3. 10 Modem administrado por el departamento de TI
3.2.1.8 Unidades de Almacenamiento
En la tabla 3.11 se presenta una lista de equipos de unidades de almacenamiento
tales como discos duros que se encuentran en las máquinas y que son
administrados por el departamento de TI.
Los dispositivos de disco duro, se representan mediante el identificador ¨ HD ¨.
ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD
HD1 Unidad de disco Hernan Abril 640 Gb
HD2 Unidad de disco Stephanie de la Cruz 160 GB
HD3 Unidad de disco Elizabeth Tello 500 GB
HD4 Unidad de disco Alexandra Luje 500GB
HD5 Unidad de disco Ana Lucia Tenelema 500GB
HD6 Unidad de disco Yolanda Telpiz 1000GB
HD7 Unidad de disco Sigrid Vásconez 120 GB
HD8 Unidad de disco Daniel Bravo 500 GB
HD9 Unidad de disco Mireya Villacis 320 GB
HD10 Unidad de disco Estefanía Charvet 500 GB
HD11 Unidad de disco Maria Dolores Lizarzaburu 320 GB
HD12 Unidad de disco Daniela de la Torre 250 GB
HD13 Unidad de disco Gabriela Erazo 320 GB
ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD
HD14 Unidad de disco Daniel Almeida 120 GB
71
HD15 Unidad de disco Liseth Estevez 500 GB
HD16 Unidad de disco Francisco Delgado 320 GB
HD17 Unidad de disco Alejandro Moya 320 GB
HD18 Unidad de disco Pasante 1 320 GB
HD19 Unidad de disco Andrea Zumárraga 500 GB
HD20 Unidad de disco Diana Bolaños 320 GB
HD21 Unidad de disco Mónica Orozco 320 GB
HD22 Unidad de disco David Avilés 320 GB
HD23 Unidad de disco Juan José Herrera 80 GB
HD24 Unidad de disco Mabel Andrade 320 GB
HD25 Unidad de disco Julio López 320 GB
HD26 Unidad de disco Ma. Carmen Pantoja 320 GB
HD27 Unidad de disco Esteban Tinoco 250 GB
HD28 Unidad de disco María Paz Jervis 320 GB
HD29 Unidad de disco Andrea Ordoñez 320 GB
HD30 Unidad de disco Marcela Morales 320 GB
HD31 Unidad de disco Julio Echeverría 320 GB
HD32 Unidad de disco Alicia Arias 320 GB
HD33 Unidad de disco Josué López 320 GB
HD34 Unidad de disco Paul Medina 600 GB
HD35 Unidad de disco Jorge Agama 250 GB
HD36 Unidad de disco Orazio Bellettini 320 GB
HD37 Unidad de disco Alexandra Rivadeneira 640 GB
HD38 Unidad de disco Guillermo Jimbo 640 GB
HD39 Unidad de disco Iván Borja 250 GB
HD40 Unidad de disco Paul Salazar 320 GB
ID TIPO DE UNIDAD RESPONSABLE CAPACIDAD
HD41 Unidad de disco Francisco Enríquez 500 GB
HD42 Unidad de disco María Gabriela Flores 500 GB
72
HD43 Unidad de disco Anabel Castillo 320 GB
HD44 Unidad de disco DELL 60 GB
HD45 Unidad de disco LIBRE 40 GB
HD46 Unidad de disco LIBRE -- Mabel Andrade 40 GB
HD47 Unidad de disco AUDITORIA 80 GB
HD48 Unidad de disco AUDITORIA 80 GB
HD49 Unidad de disco LIBRE 80 GB
Tabla 3. 11 Unidades de almacenamiento administradas por el
departamento de TI
3.2.1.9 Sistema de Energía Ininterrumpida
En la Tabla 3.12 se presenta un Dispositivo de Energía Ininterrumpida, que se
encuentran en las máquinas y que son administrados por el departamento de TI.
El Dispositivo de Energía Ininterrumpida UPS, se representa mediante el
identificador ¨ UPS ¨.
ID Marca Modelo
UPS1 APC Smart UPS RT 1500
Tabla 3. 12 UPS administrado por el departamento de TI
3.2.2 ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE
En esta sección se expondrá una lista de los dispositivos de software que se
encuentran instalados en la infraestructura tecnológica de Grupo FARO.
Como elementos de configuración, se considerarán los siguientes:
· Herramientas ofimáticas.
· Sistemas Operativos.
· Sistema BPMS Aura Portal.
73
3.2.2.1 Herramientas Ofimáticas
En la Tabla 3.13 se presenta una lista de las herramientas ofimáticas que son
administradas por el departamento de TI.
Las herramientas operativas, se representan mediante el identificador ¨ SW ¨.
ID SOFTWARE NOMBRE SOFTWARE
SW1 Winrar
SW2 Adobe Acrobat Reader
SW3 Microsoft office 2010
SW4 Mozilla Firefox
SW5 Internet Explorer
SW6 Chrome
SW7 Nero
SW8 Adobe Creative Suite
SW9 Antivirus
SW10 Google Apps
SW11 VNC – Virtual Network computing
SW12 Sistema Contable Dbsys
Tabla 3. 13 Herramientas ofimáticas administradas por el Departamento de
TI.
En la Tabla 3.14, se presentan un extracto de las herramientas ofimáticas
especificadas anteriormente y su frecuencia de uso. Las especificaciones para
cada usuario y el formato de la encuesta, se lo puede encontrar en el Anexo 1:
GF-Formato Encuesta ON-LINE.
La tabulación se encuentra en: Anexo 8: GF-Tabulación encuestas ON-LINE.
74
Usuario ID Software Uso
Jazmín
Armas
SW1 Winrar Rara vez
SW2 Microsoft Office 2010 Frecuente
SW3 Mozilla Firefox Ocasional
SW4 Internet Explorer Ocasional
SW5 Chrome Frecuente
SW8 Antivirus Rara vez
SW9 Gmail Frecuente
Tabla 3. 14 Frecuencia de uso de las herramientas ofimáticas administradas
por el departamento de TI.
3.2.2.2 BPMS Aura Portal
¨Aura Portal es un software empresarial diseñado de origen 100% Internet y
constituido por una ‘suite’ (BPMS) o conjunto que contiene 6 productos.¨39
En la Tabla 3.15 se presentan un resumen de las características de la Suite de
Gestión de Procesos Administrativos que se desea implementar en Grupo FARO.
Bussiness Process Management Suit, se representa mediante el identificador
¨BPMS ¨.
ID NOMBRE SOFTWARE
BPMS1 Aura Portal BPM Suite
Tabla 3. 15 Herramientas de BMP administradas por el departamento de TI
3.2.2.3 Sistemas Operativos
La lista de sistemas Operativos administrados por el departamento de TI se
presenta en la Tabla 3.16.
39 http://www.auraportal.com/ES/ES0-PRODUCTS-BPM-CRM.aspx
75
El Sistema Operativo se representa mediante el identificador ¨SO ¨.
ID NOMBRE SOFTWARE
SO1 Windows XP Professional SP3
SO2 Windows 7 Professional edition
SO3 Windows Server 2008 R2
SO4 Ubuntu versión 10.4
Tabla 3. 16 Sistemas Operativos administrados por el departamento de TI
3.3 DETERMINACIÓN DE REQUERIMIENTOS DE
DISPONIBILIDAD
3.3.1 ANÁLISIS DE IMPACTO EN EL NEGOCIO
Se trata de identificar los diversos eventos que pudieran afectar la continuidad de
sistemas críticos de la información, para ello se realizaron encuestas y entrevistas
al diferente personal que trabaja en Grupo FARO.
El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta
Funciones e Impactos financiero y operacional.
3.3.1.1 Identificar las Funciones y Procesos Críticos de la Organización.
En la Tabla 3.17, se representan las Funciones del negocio40 y Procesos del
negocio41, de las Áreas administrativas de Grupo FARO.
40Un equipo o grupo de personas y las herramientas que usan para llevar a cabo uno o más Procesos o Actividades ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)
41Un Proceso que le pertenece y que lo conduce el Negocio. Un Proceso de Negocio contribuye a la entrega de un producto o Servicio para un Cliente del Negocio. ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)
76
FUNCIÓN DEL NEGOCIO PROCESO DEL NEGOCIO
Dirección ejecutiva Colaboración en el proceso de selección de personal
Levantamiento de fondos
Generación de actas de reuniones
Auxiliar Contable Revisión de cuentas
Revisión, orden y clasificación de archivos
Conciliaciones Bancarias
Cuadrar Proyectos
Secuencia de retenciones
Asistente Financiera - Contable Registro de Facturas
Emisión de cheques
Carga de transferencias
Registro de rembolso de gastos
Asistente Contable Revisión de cuentas
Revisión de documentación física
Realización de conciliaciones bancarias
Revisión del centro de costos
Preparación de carpetas para auditorias
Analista de Reportes Control Presupuestario
Cronograma de Informes Financieros
Informes al donante
Revisión de documentación - respaldo
Revisión y preparación de presupuestos
Coordinadora Financiera -
Contable
Supervisar y Coordinar la ejecución de procesos contables
Obtener y revisar informes financieros
Declaración de Impuestos y similares
Revisión, ejecución mensual del presupuesto institucional
Revisión de informes de donantes
Área de Investigación Revisión de documentos académicos para investigaciones
internas
Organización de temas relacionados con eventos
colaboración con tareas administrativas del Área de
Investigación
77
FUNCIÓN DEL NEGOCIO PROCESO DEL NEGOCIO
Área de Comunicación e
Incidencia Política
Supervisar editorial y publicaciones de GRUPO FARO
Supervisar estándares de calidad de los eventos de GRUPO
FARO
Desarrollo de reuniones estratégicas para el área de
Comunicación
Monitoreo de medios
Relación con públicos externos de comunicación
Revisión y actualización de inventario de Área de
Comunicación
elaboración y actualización de Bases de Datos de contactos
Personal de apoyo operativo
(recepción y mensajería)
Verificar estado tributario de las facturas
Recibir y entregar facturas a sus responsables
Elaborar solicitudes de pago correspondientes al presupuesto
institucional
Elaborar adquisiciones de bienes y/o contrataciones de
servicios
Mantener actualizado el inventario de suministros
Entregar y retirar documentación
Realizar el mantenimiento y apoyar con la limpieza de oficinas
Efectuar cobros y pagos
Realizar trámites en instituciones financieras
Tabla 3. 17 Funciones y procesos de la organización
3.3.1.2 Evaluar el impacto Financiero – Operacional
3.3.1.2.1 Evaluación del impacto financiero
Como se mencionó en el capítulo anterior, el impacto financiero se evaluará
cuantitativamente considerando los siguientes valores:
78
Impacto Ponderación
No produce impacto 1
Bajo impacto 2
Impacto medio 3
Alto Impacto 4
Tabla 3. 18 Ponderación Impacto Financiero
En la Tabla 3.19 se muestra la información del impacto financiero de todas las
áreas del negocio.
El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta
Funciones e Impactos financiero y operacional.
FUNCIÓN
PROCESO
IMPACTO
FINANCIERO
Dirección ejecutiva Colaboración en el proceso de selección de personal 3
Levantamiento de fondos 4
Generación de actas de reuniones 1
Auxiliar Contable Revisión de cuentas 4
Revisión, orden y clasificación de archivos 4
Conciliaciones Bancarias 4
Cuadrar Proyectos 4
Secuencia de retenciones 4
Asistente
Financiera -
Contable
Registro de Facturas 4
Emisión de cheques 4
Carga de transferencias 3
Registro de rembolso de gastos 4
Depósitos, Débitos e ingresos 4
Asistente Contable Revisión de cuentas 4
Revisión de documentación física 4
Realización de conciliaciones bancarias 4
Revisión del centro de costos 4
Preparación de carpetas para auditorias 4
Analista de
Reportes
Control Presupuestario 4
Cronograma de Informes Financieros 3
Informes al donante 4
Revisión de documentación - respaldo 2
Revisión y preparación de presupuestos 4
79
FUNCIÓN
PROCESO
IMPACTO
FINANCIERO
Coordinadora
Financiera -
Contable
Supervisar y Coordinar la ejecución de procesos
contables
4
Obtener y revisar informes financieros 4
Declaración de Impuestos y similares 4
Revisión, ejecución mensual del presupuesto
institucional
3
Revisión de informes de donantes 3
Área de
Investigación
Revisión de documentos académicos para
investigaciones internas
3
Organización de temas relacionados con eventos 3
colaboración con tareas administrativas del Área de
Investigación
2
Área de
Comunicación e
Incidencia Política
Supervisar editorial y publicaciones de GRUPO FARO 3
Supervisar estándares de calidad de los eventos de
GRUPO FARO
4
Desarrollo de reuniones estratégicas para el área de
Comunicación
4
Monitoreo de medios 4
Relación con públicos externos de comunicación 3
Revisión y actualización de inventario de Área de
Comunicación
1
elaboración y actualización de Bases de Datos de
contactos
1
Personal de apoyo
operativo
(recepción y
mensajería)
Verificar estado tributario de las facturas 3
Recibir y entregar facturas a sus responsables 3
Elaborar solicitudes de pago correspondientes al
presupuesto institucional
2
Elaborar adquisiciones de bienes y/o contrataciones
de servicios
3
Mantener actualizado el inventario de suministros 1
Entregar y retirar documentación 4
Realizar el mantenimiento y apoyar con la limpieza de
oficinas
1
Efectuar cobros y pagos 3
Realizar trámites en instituciones financieras
3
80
FUNCIÓN
PROCESO
IMPACTO
FINANCIERO
Administración de
TI
Administración de usuarios 1
Mantenimiento preventivo y correctivo de Servidores. 3
Administración de periféricos 1
Administración de licencias del software del servidor y
periféricos
2
Soporte técnico in situm y remoto. 1
Monitorear el rendimiento del sistema. 1
Mantenimiento del sistema de archivos del servidor
central.
1
Instalación de software y sus actualizaciones. 2
Creación y ejecución de copias de seguridad y
recuperación.
1
Tabla 3. 19 Evaluación del Impacto Financiero
3.3.1.2.2 Evaluación del impacto estratégico
Para la evaluación del impacto estratégico se tomarán en cuenta los siguientes
factores.
· Falta de confiabilidad operacional.
· Satisfacción al usuario.
· Eficacia en el servicio.
En la siguiente tabla, se muestran los valores a ser tomados para dicha
evaluación.
Impacto Ponderación
No produce impacto Ninguno – 1
Bajo impacto Bajo – 2
Impacto medio Medio – 3
Alto Impacto Alto - 4
Tabla 3. 20 Ponderación del Impacto estratégico
En la Tabla 3.21 Se muestra el impacto estratégico de cada proceso en Grupo
FARO.
El formato de las encuestas se encuentran en Anexo 2: GF-Formato encuesta
Funciones e Impactos financiero y operacional.
81
FUNCIÓN
PROCESO Clasificación del impacto estratégico
Falta de
confiabilida
d
operacional
Satisfacció
n a los
usuarios
Eficaci
a del
servici
o
Dirección
ejecutiva
Colaboración en el proceso de selección de
personal
3 4 4
Levantamiento de fondos 4 4 4
Generación de actas de reuniones 2 2 2
Auxiliar
Contable
Revisión de cuentas 4 4 4
Revisión, orden y clasificación de archivos 4 3 4
Conciliaciones Bancarias 3 4 4
Cuadrar Proyectos 3 3 4
Secuencia de retenciones 3 3 4
Asistente
Financiera -
Contable
Registro de Facturas 4 4 4
Emisión de cheques 4 4 4
Carga de transferencias 2 2 3
Registro de rembolso de gastos 4 4 4
Depósitos, Débitos e ingresos 4 4 4
Asistente
Contable
Revisión de cuentas 4 4 4
Revisión de documentación física 4 3 4
Realización de conciliaciones bancarias 4 4 4
Revisión del centro de costos 4 4 4
Preparación de carpetas para auditorias 4 4 4
Analista de
Reportes
Control Presupuestario 4 4 4
Cronograma de Informes Financieros 3 3 4
Informes al donante 4 4 4
Revisión de documentación - respaldo 4 4 4
Revisión y preparación de presupuestos 4 4 4
Coordinadora
Financiera -
Contable
Supervisar y Coordinar la ejecución de
procesos contables
4 4 4
Obtener y revisar informes financieros 4 3 3
Declaración de Impuestos y similares 4 4 4
Revisión, ejecución mensual del presupuesto
institucional
3 3 3
Revisión de informes de donantes 3 3 3
Área de
Investigación
Revisión de documentos académicos para
investigaciones internas
4 4 4
Organización de temas relacionados con
eventos
4 4 4
Colaboración con Área de Investigación 4 4 4
82
FUNCIÓN
PROCESO Clasificación del impacto estratégico
Falta de
confiabilida
d
operacional
Satisfacció
n a los
usuarios
Eficaci
a del
servici
o
Supervisar estándares de calidad de los
eventos de GRUPO FARO
4 4 4
Desarrollo de reuniones estratégicas para el
área de Comunicación
3 3 3
Monitoreo de medios 3 4 4
Relación con públicos externos de
comunicación
3 3 3
Revisión y actualización de inventario de Área
de Comunicación
3 4 4
Elaboración y actualización de Bases de Datos 3 4 4
Personal de
apoyo
operativo
(recepción y
mensajería)
Verificar estado tributario de las facturas 2 3 3
Recibir y entregar facturas a sus responsables 2 3 3
Elaborar solicitudes de pago correspondientes
al presupuesto institucional
2 3 3
Elaborar adquisiciones de bienes 2 3 3
Mantener actualizado el inventario de
suministros
1 2 2
Entregar y retirar documentación 3 3 3
Realizar el mantenimiento y apoyar con la
limpieza de oficinas
2 2 2
Efectuar cobros y pagos 2 3 3
Realizar trámites en instituciones financieras 2 3 3
Administració
n de TI
Administración de usuarios 2 2 3
Mantenimiento preventivo y correctivo de
Servidores.
4 3 4
Administración de periféricos 2 2 3
Administración de licencias del software del
servidor y periféricos
4 4 4
Soporte técnico in situm y remoto. 3 3 4
Monitorear el rendimiento del sistema. 2 2 2
Mantenimiento del sistema de archivos del
servidor central.
2 3 2
Instalación de software y sus actualizaciones. 2 2 3
Creación y ejecución de copias de seguridad y
recuperación.
2 2 3
Tabla 3. 21 Evaluación del impacto estratégico
83
3.3.1.3 Identificación de procesos fundamentales de la organización.
Los resultados mostrados en la Tabla 3.19 y la Tabla 3.21 obtenidos del Impacto
Financiero y el Impacto estratégico, permiten identificar los procesos críticos para
la organización.
En la Tabla 3.22 se muestra la suma de los resultados de Impacto Financiero e
Impacto estratégico, para obtener un criterio de los procesos fundamentales los
cuales deberán cumplir los siguientes criterios:
• En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3,
(impacto alto).
• Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto
medio), ó 4 (impacto alto).
84
.FU
NC
IÓN
PR
OC
ES
O
IMP
AC
TO
FIN
AN
CIE
RO
IMP
AC
TO
ES
TR
AT
ÉG
ICO
SU
MA
F
alta
de
con
fiab
ilid
ad
op
erac
ion
al
Sat
isfa
cció
n a
los
usu
ario
s
Efi
caci
a
del
serv
icio
Dir
ecci
ón
eje
cuti
va
Cola
bo
raci
ón
en
el p
roce
so d
e se
lecc
ión
de
pe
rso
nal
3
3
4
4
1
4
Le
van
tam
ien
to d
e f
ond
os
4
4
4
4
16
Ge
ne
raci
ón
de
act
as d
e r
eun
ion
es
1
2
2
2
7
Au
xilia
r C
on
tab
le
Revi
sió
n d
e c
uen
tas
4
4
4
4
16
Revi
sió
n, o
rde
n y
cla
sific
aci
ón
de
arc
hiv
os
4
4
3
4
15
Con
cilia
cion
es
Ba
nca
rias
4
3
4
4
15
Cua
dra
r P
roye
ctos
4
3
3
4
1
4
Se
cuen
cia
de
rete
nci
on
es
4
3
3
4
14
Asi
sten
te
Fin
anci
era
-
Co
nta
ble
Reg
istr
o d
e F
actu
ras
4
4
4
4
16
Em
isió
n d
e c
he
ques
4
4
4
4
1
6
Carg
a d
e tr
ans
fere
nci
as
3
2
2
3
10
Reg
istr
o d
e re
mb
ols
o d
e g
ast
os
4
4
4
4
16
Dep
ósi
tos,
Débi
tos
e in
gre
sos
4
4
4
4
16
Asi
sten
te C
on
tab
le
Revi
sió
n d
e c
uen
tas
4
4
4
4
16
Revi
sió
n d
e d
ocu
men
taci
ón f
ísic
a
4
4
3
4
15
Rea
liza
ció
n d
e c
onc
iliac
ione
s b
an
cari
as
4
4
4
4
16
Revi
sió
n d
el c
entr
o d
e c
ost
os
4
4
4
4
16
Pre
pa
raci
ón d
e c
arp
eta
s pa
ra a
ud
itori
as
4
4
4
4
16
An
alis
ta
de
Rep
ort
es
Con
tro
l Pre
sup
ues
tario
4
4
4
4
1
6
Cro
no
gra
ma
de
Inf
orm
es
Fin
anci
ero
s 3
3
3
4
1
3
Info
rme
s a
l do
nan
te
4
4
4
4
16
Revi
sió
n d
e d
ocu
men
taci
ón -
re
spal
do
2
4
4
4
14
85
Revi
sió
n y
pre
pa
raci
ón
de
pre
sup
uest
os
4
4
4
4
16
.FU
NC
IÓN
PR
OC
ES
O
IMP
AC
TO
FIN
AN
CIE
RO
IMP
AC
TO
ES
TR
AT
ÉG
ICO
S
UM
A
F
alta
de
con
fiab
ilid
ad
op
erac
ion
al
Sat
isfa
cció
n a
los
usu
ario
s
Efi
caci
a
del
serv
icio
Ob
ten
er
y re
visa
r in
form
es
fina
nci
ero
s 4
4
3
3
1
4
Decl
ara
ció
n d
e Im
pu
esto
s y
sim
ilare
s 4
4
4
4
1
6
Revi
sió
n, e
jecu
ción
me
nsu
al d
el p
resu
pues
to in
stitu
cion
al
3
3
3
3
12
Revi
sió
n d
e in
form
es d
e d
ona
nte
s 3
3
3
3
1
2
Áre
a d
e
Inve
stig
ació
n
Revi
sió
n d
e d
ocum
en
tos
aca
dém
icos
p
ara
in
vest
igac
ione
s
inte
rna
s
3
4
4
4
15
Org
an
iza
ció
n d
e t
emas
rel
aci
ona
dos
co
n e
vent
os
3
4
4
4
15
cola
bo
raci
ón c
on
tare
as a
dmin
istr
ativ
as
de
l Áre
a d
e I
nve
stig
ació
n
2
4
4
4
14
Áre
a d
e
Co
mu
nic
ació
n
e
Inci
den
cia
Po
lític
a
Su
pe
rvis
ar
edi
toria
l y p
ublic
acio
ne
s d
e G
RU
PO
FA
RO
3
4
4
4
1
5
Su
pe
rvis
ar
está
nda
res
de
ca
lida
d
de
lo
s e
ven
tos
de
GR
UP
O
FA
RO
4
4
4
4
16
Desa
rrol
lo
de
re
un
ion
es
est
raté
gic
as
pa
ra
el
áre
a
de
Com
uni
caci
ón
4
3
3
3
13
Mo
nito
reo
de
me
dios
4
3
4
4
1
5
Rela
ció
n c
on
pú
blic
os
ext
ern
os
de
com
uni
caci
ón
3
3
3
3
12
Revi
sió
n y
act
ualiz
ació
n d
e in
ven
tario
de
Áre
a d
e C
omu
nica
ció
n
1
3
4
4
12
ela
bo
raci
ón
y a
ctua
liza
ció
n d
e B
ase
s d
e D
ato
s d
e co
nta
cto
s
1
3
4
4
12
86
.FU
NC
IÓN
PR
OC
ES
O
IMP
AC
TO
FIN
AN
CIE
RO
IM
PA
CT
O E
ST
RA
TÉ
GIC
O
F
alta
de
con
fiab
ilid
ad
op
erac
ion
al
Sat
isfa
cció
n a
los
usu
ario
s
Efi
caci
a
del
serv
icio
SU
MA
Reci
bir
y e
ntr
ega
r fa
ctu
ras
a s
us
resp
onsa
ble
s 3
2
3
3
1
1
Ela
bo
rar
solic
itud
es
de
p
ago
co
rre
spo
ndie
nte
s al
p
resu
pu
est
o
inst
ituci
ona
l
2
2
3
3
10
Ela
bo
rar
adq
uis
icio
nes
de
bie
ne
s y/
o c
ont
rata
cion
es d
e s
erv
icio
s 3
2
3
3
1
1
Ma
nte
ne
r a
ctu
aliz
ado
el i
nve
nta
rio
de
su
min
istr
os
1
1
2
2
6
En
tre
ga
r y
retir
ar
doc
um
en
taci
ón
4
3
3
3
1
3
Rea
liza
r el
ma
nte
nim
ient
o y
ap
oya
r co
n la
lim
pie
za d
e o
ficin
as
1
2
2
2
7
Efe
ctua
r co
bro
s y
pa
gos
3
2
3
3
11
Rea
liza
r tr
ám
ites
en
inst
ituci
one
s fin
anc
iera
s 3
2
3
3
1
1
Ad
min
istr
ació
n
de
TI
Ad
min
istr
aci
ón
de
usu
ario
s 1
2
2
3
8
Ma
nte
nim
ien
to p
reve
ntiv
o y
cor
rect
ivo
de
Se
rvid
ore
s.
3
4
3
4
14
Ad
min
istr
aci
ón
de
pe
rifé
rico
s 1
2
2
3
8
Ad
min
istr
aci
ón
de
lice
nci
as
del
so
ftwa
re d
el s
erv
ido
r y
pe
rifé
ricos
2
4
4
4
1
4
So
po
rte
técn
ico
in s
itum
y r
em
oto
. 1
3
3
4
1
1
Mo
nito
rea
r e
l re
ndi
mie
nto
del
sis
tem
a.
1
2
2
2
7
Ma
nte
nim
ien
to d
el s
iste
ma
de
arc
hiv
os d
el s
erv
ido
r ce
ntra
l. 1
2
3
2
8
Inst
alac
ión
de
so
ftw
are
y s
us a
ctua
liza
cio
nes.
2
2
2
3
9
Cre
aci
ón
y e
jecu
ción
de
cop
ias
de
se
guri
dad
y r
ecu
pe
raci
ón.
1
2
2
3
8
Tab
la 3
. 22
Im
pact
os
Fin
an
ciero
y E
stra
tég
ico.
87
Con los valores obtenidos en la Tabla 3.22, tenemos un criterio más claro de los
procesos críticos y no críticos para el negocio. Por ejemplo el proceso de
Recepción de Facturas posee un valor de 10, el cual en el Área de Recepción se
coloca en el lugar más alto, consecuentemente se lo considera el proceso más
crítico de esta Área, todo lo contrario con el proceso de Recepción de
correspondencia el cual posee un valor de 6 y es el proceso menos crítico.
3.3.1.4 Identificación de Servicios de TI, por procesos del negocio.
En la Tabla 3.23 se especifican las aplicaciones que requieren de tecnología y los
recursos de TI utilizados por las mismas.
FUNCIONES PROCESOS SERVICIOS DE TI
Dirección
ejecutiva
Colaboración en el proceso de selección
de personal
Word
Excel
Correo Electrónico y
mensajería
Impresora
Levantamiento de fondos Excel
Aplicación WEB Give and
Gain
Generación de actas de reuniones Word
Impresora
Auxiliar
Contable
Revisión de cuentas Excel
Correo Electrónico y
mensajería
Impresora
Sistema Contable Dbsys
Revisión, orden y clasificación de archivos Excel
Impresora
Copiadora
Sistema Contable Dbsys
Conciliaciones Bancarias Excel
Carpetas Compartidas Red
FARO
Excel
Correo Electrónico y
88
mensajería
Google Apps (Gdocs,
Gcalendar)
Impresora
Copiadora
Fax - Escáner
Sistema Contable Dbsys
Internet Inalámbrico
Software SRI
Adobe Acrobat Reader
Tabla 3. 23 Procesos del negocio y servicios de TI utilizados
3.3.1.5 Identificación de tiempos máximos de caída (MTD).
Una vez identificados los procesos críticos, procederemos a realizar la
identificación de lo MTDs, el cual es el tiempo máximo sin servicio que una
organización puede soportar y seguir cumpliendo con sus objetivos de negocio.
La Tabla 3.25, representa una estimación de los MTDs, en función de la suma
total de puntos de los impactos financiero y operacional.
Destacando que, entre mayor sea la suma de los puntos del Impacto financiero y
Operacional, el MTD, debe ser menor, debido a que se trata de un proceso crítico
y Tiempo Máximo de Caída debe ser corto.
MTD Escala de
equivalencia
De 1 a 4 horas A
De 5 a 8 horas B
De 9 a 12 horas C
De 13 a 24 horas D
De 25 a 48 horas (Dos días) E
De Dos a Tres días F
De Tres días a 7 días G
Tabla 3. 24 Escala MTD y equivalencia
89
Suma impacto financiero más impacto
estratégico
Escala de equivalencia
16 A
15 A
14 A
13 B
12 B
11 B
10 C
9 D
8 E
7 F
6 G
Tabla 3. 25 Suma de Impactos y escala de equivalencia MTD
En la Tabla 3.26 representaremos los tiempos máximos de caída por cada
proceso de la organización.
FUNCIÓN PROCESO SUMA MTD
Dirección
ejecutiva
Colaboración en el proceso de selección de personal 14 A
Levantamiento de fondos 16 A
Generación de actas de reuniones 7 F
Auxiliar
Contable
Revisión de cuentas 16 A
Revisión, orden y clasificación de archivos 15 A
Conciliaciones Bancarias 15 A
Cuadrar Proyectos 14 A
Secuencia de retenciones 14 A
Asistente
Financiera -
Contable
Registro de Facturas 16 A
Emisión de cheques 16 A
Carga de transferencias 10 C
Registro de rembolso de gastos 16 A
Depósitos, débitos e ingresos 16 A
Asistente
Contable
Revisión de cuentas 16 A
Revisión de documentación física 15 A
Realización de conciliaciones bancarias 16 A
Revisión del centro de costos 16 A
Preparación de carpetas para auditorias 16 A
90
FUNCIÓN PROCESO SUMA MTD
Analista de
Reportes
Control Presupuestario 16 A
Cronograma de Informes Financieros 13 B
Informes al donante 16 A
Revisión de documentación - respaldo 14 A
Revisión y preparación de presupuestos 16 A
Coordinadora
Financiera -
Contable
Supervisar y Coordinar la ejecución de procesos
contables
16 A
Obtener y revisar informes financieros 14 A
Declaración de Impuestos y similares 16 A
Revisión, ejecución mensual del presupuesto institucional 12 B
Revisión de informes de donantes 12 B
Área de
Investigación
Revisión de documentos académicos para
investigaciones internas
15 A
Organización de temas relacionados con eventos 15 A
Colaboración con tareas administrativas del Área de
Investigación
14 B
Área de
Comunicación
e Incidencia
Política
Supervisar editorial y publicaciones de GRUPO FARO 15 A
Supervisar estándares de calidad de los eventos de
GRUPO FARO
16 A
Desarrollo de reuniones estratégicas para el área de
Comunicación
13 B
Monitoreo de medios 12 B
Relación con públicos externos de comunicación 15 A
Revisión y actualización de inventario de Área de
Comunicación
12 B
Elaboración y actualización de Bases de Datos 12 B
Personal de
apoyo
operativo
(recepción y
mensajería)
Verificar estado tributario de las facturas 11 B
Recibir y entregar facturas a sus responsables 11 B
Elaborar solicitudes de pago correspondientes al
presupuesto institucional
10 C
Elaborar adquisiciones de bienes 11 B
Mantener actualizado el inventario de suministros 6 G
Entregar y retirar documentación 13 B
Realizar el mantenimiento y apoyar con la limpieza de
oficinas
7 F
Efectuar cobros y pagos 11 B
Realizar trámites en instituciones financieras 11 B
91
FUNCIÓN PROCESO SUMA MTD
Administració
n de TI
Administración de usuarios 8 E
Mantenimiento preventivo y correctivo de Servidores. 14 A
Administración de periféricos 8 E
Administración de licencias del software del servidor y
periféricos
14 A
Soporte técnico in situm y remoto. 11 B
Monitorear el rendimiento del sistema. 7 F
Mantenimiento del sistema de archivos del servidor
central.
8 E
Instalación de software y sus actualizaciones. 9 D
Creación y ejecución de copias de seguridad y
recuperación.
8 E
Tabla 3. 26 Definición de MTDs
El proceso de Recepción de Facturas se ha definido un MTD de A, lo cual quiere
decir que el proceso no puede sobrepasar su inactividad más de 3 horas, ya que
esto representaría para la organización la pérdida de trabajo y acumulación de
tareas para sus empleados.
El proceso de Recepción de correspondencia, se ha definido un MTD de E, lo
cual quiere decir que el proceso requiere atención por lo menos en 72 horas.
3.3.1.6 Identificación del Tiempo objetivo de recuperación RTO.
A continuación se realizará la determinación del RTO (tiempo máximo permitido
para la recuperación de un Servicio de TI tras una interrupción)42.
En base al RTO, se pueden tener criterios de periodicidad de back-ups, además
de infraestructura requerida para la re-inicialización de las operaciones.
La Tabla 3.27, representa la escala de tiempos determinados para la recuperación
de un Servicio de TI que ha quedado fuera de operación.
42
ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)
92
RTO Escala de equivalencia
De 1 a 3 horas A
De 3 a 8 horas B
De 8 a 24 horas C
De 24 a 48 horas (Dos días) D
De 48 a 72 horas (Tres días) E
Tabla 3. 27 Escala de equivalencia RTO
El RTO, se realizará en primer lugar en los servicios que tienen prioridad, como la
recuperación de actividades en infraestructura de TI.
En la Tabla 3.28 se presenta el RTO en actividades de recuperación de Servicios
de TI.
SERVICIO DE TI RTO
Recuperación servicio Active Directory 6 horas
Recuperación servicio Internet 2 horas
Recuperación correos electrónicos 1 hora
Recuperación BPMs Aura Portal Externamente 3 horas
Antivirus 1 hora
Recuperación servicio Software Contable DBSYS 2 horas
Recuperación de red interna 2 horas
Recuperación Servidor de Archivos 3 horas
Tabla 3. 28 RTO en actividades de recuperación de Servicios de TI
3.3.1.7 Identificación del tiempo de recuperación de trabajo (WRT).
El WRT (Work Recovery Time) es el tiempo que transcurre desde que se recobra
el servicio, hasta que se han recuperado todos los archivos que han sido
perdidos, por lo que, éste será aplicado solamente a las aplicaciones que
almacenen datos.
Es muy importante que la suma de los tiempos del RTO y WRT serán iguales o
menores que el MTD, jamás pueden ser mayores.
93
En la Tabla 3.29, se muestran los tres tiempos MTD, RTO y WRT para las
aplicaciones críticas de TI.
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Dirección
ejecutiva
Colaboració
n en el
proceso de
selección de
personal
1-4 horas Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Levantamie
nto de
fondos
1-4 horas Excel 1 hora 30 minutos
Aplicación WEB Give
and Gain
1 hora -
Generación
de actas de
reuniones
2-3 días Word 1 hora 30 minutos
Impresora 30 minutos -
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Auxiliar
Contable
Revisión de
cuentas
1-4 horas Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Revisión,
orden y
clasificación
de archivos
1-4 horas Excel 1 hora 0
Impresora 30 minutos 0
Copiadora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 0
Conciliacion
es
Bancarias
1-4 horas Excel 1 hora 0
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Google Apps (Gdocs,
Gcalendar)
1 hora -
Impresora 30 minutos -
Copiadora 30 minutos -
Fax - Escáner 30 minutos 0
Sistema Contable Dbsys 1 hora y 30 1 hora
Internet Inalámbrico 1 hora y 30 -
Software SRI 1 hora 0
94
Adobe Acrobat Reader 30 minutos 0
Cuadrar
Proyectos
1-4 horas Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Secuencia
de
retenciones
1-4 horas Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Software SRI 1 hora 1 hora
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Asistente
Financiera -
Contable
Registro de
Facturas
1-4 horas Carpetas Compartidas
Red FARO
30 minutos -
Google Apps (Gdocs,
Gcalendar)
1 hora -
Impresora 30 minutos -
Copiadora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Emisión de
cheques
De 1 a 4
horas
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Carga de
transferenci
as
De 1 a 4
horas
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Google Apps (Gdocs,
Gcalendar)
1 hora -
Impresora 30 minutos -
Copiadora 30 minutos -
Registro de
reembolso
de gastos
De 1 a 4
horas
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Google Apps (Gdocs,
Gcalendar)
1 hora -
95
Impresora 30 minutos -
Copiadora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Depósitos,
Débitos e
ingresos
De 1 a 4
horas
Correo Electrónico y
mensajería
1 hora 30 minutos
Google Apps (Gdocs,
Gcalendar)
1 hora -
Impresora 30 minutos -
Copiadora 30 minutos -
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Asistente
Contable
Revisión de
cuentas
De 1 a 4
horas
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Sistema Contable Dbsys 1 hora y 30 1 hora
Revisión de
documentac
ión física
De 1 a 4
horas
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Copiadora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Realización
de
conciliacion
es
bancarias
De 1 a 4
horas
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Copiadora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Revisión del
centro de
costos
De 1 a 4
horas
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Copiadora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
96
Preparación
de carpetas
para
auditorias
De 1 a 4
horas
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Copiadora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Analista de
Reportes
Control
Presupuesta
rio
De 1 a 4
horas
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Internet Inalámbrico 1 hora y 30 -
Cronograma
de Informes
Financieros
De 5 a 8
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Sistema Contable Dbsys 1 hora y 30 1 hora
Internet Inalámbrico 1 hora y 30 -
Informes al
donante
De 1 a 4
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Copiadora 30 minutos -
Fax - Escáner 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Internet Inalámbrico 1 hora y 30 -
Adobe Acrobat Reader 30 minutos -
Revisión de
documentac
ión -
respaldo
De 1 a 4
horas
Copiadora 30 minutos -
Fax - Escáner 30 minutos -
Revisión y
preparación
de
De 1 a 4
horas
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
97
presupuesto
s
Impresora 30 minutos -
Copiadora 30 minutos -
Fax - Escáner 30 minutos -
Internet Inalámbrico 1 hora y 30 -
Adobe Acrobat Reader 30 minutos -
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Coordinador
a Financiera -
Contable
Supervisar y
Coordinar la
ejecución
de procesos
contables
De 1 a 4
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Google Apps (Gdocs,
Gcalendar)
1 hora -
Impresora 30 minutos -
Copiadora 30 minutos -
Fax - Escáner 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Internet Inalámbrico 1 hora y 30 -
Software SRI 1 hora 1 hora
Adobe Acrobat Reader 30 minutos -
Obtener y
revisar
informes
financieros
De 1 a 4
horas
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Declaración
de
Impuestos y
similares
De 1 a 4
horas
Excel 1 hora 30 minutos
Impresora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Software SRI 1 hora 1 hora
Anexo Transaccional 30 minutos 30 minutos
Revisión,
ejecución
mensual del
presupuesto
institucional
De 5 a 8
horas
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Sistema Contable Dbsys 1 hora y 30 1 hora
Revisión de
informes de
De 5 a 8
horas
Excel 1 hora 30 minutos
Correo Electrónico y 1 hora 30 minutos
98
donantes mensajería
Google Apps (Gdocs,
Gcalendar)
1 hora -
Impresora 30 minutos -
Sistema Contable Dbsys 1 hora y 30 1 hora
Internet Inalámbrico 1 hora y 30 -
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Área de
Investigación
Revisión de
documentos
académicos
para
investigacio
nes internas
De 1 a 4
horas
Word 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Internet Inalámbrico 1 hora y 30 -
Adobe Acrobat Reader 30 minutos -
Organizació
n de temas
relacionado
s con
eventos
De 1 a 4
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Copiadora 30 minutos -
Fax - Escáner 30 minutos -
Internet Inalámbrico 1 hora y 30 -
Colaboració
n con tareas
administrati
vas del Área
de
Investigació
n
De 5 a 8
horas
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Copiadora 30 minutos -
Fax - Escáner 30 minutos -
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Área de
Comunicació
n e
Incidencia
Política
Supervisar
editorial y
publicacion
es de
GRUPO
FARO
De 1 a 4
horas
Word 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Adobe CS5 2 horas 1 hora
Supervisar
estándares
de calidad
de los
De 1 a 4
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Power Point 1 hora 30 minutos
Correo Electrónico y 1 hora 30 minutos
99
eventos de
GRUPO
FARO
mensajería
Impresora 30 minutos -
Copiadora 30 minutos -
Fax - Escáner 30 minutos -
Adobe CS5 2 horas 1 hora
Desarrollo
de
reuniones
estratégicas
para el área
de
Comunicaci
ón
De 5 a 8
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Power Point 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Revisión y
actualizació
n de
inventario
de Área de
Comunicaci
ón
De 5 a 8
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Google Apps (Gdocs,
Gcalendar)
1 hora -
Elaboración
y
actualizació
n de Bases
de Datos de
contactos
De 5 a 8
horas
Word 1 hora 30 minutos
Excel 1 hora 30 minutos
Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Personal de
apoyo
operativo
(recepción y
mensajería)
Verificar
estado
tributario de
las facturas
De 5 a 8
horas
Internet Inalámbrico 1 hora y 30 -
Software SRI 1 hora 1 hora
Recibir y
entregar
facturas a
sus
responsable
s
De 5 a 8
horas
Word 1 hora 30 minutos
Elaborar De 5 a 8 Word 1 hora 30 minutos
100
adquisicion
es de bienes
y/o
contratacion
es de
servicios
horas Correo Electrónico y
mensajería
1 hora 30 minutos
Impresora 30 minutos -
Internet Inalámbrico 1 hora y 30 -
Mantener
actualizado
el inventario
de
suministros
De 3 a 7
días
Excel 1 hora 30 minutos
Impresora 30 minutos -
Entregar y
retirar
documentac
ión
De 5 a 8
horas
Impresora 30 minutos -
Copiadora 30 minutos -
Realizar
trámites en
institucione
s
financieras
De 5 a 8
horas
Copiadora 30 minutos -
FUNCIONES PROCESOS MTD SERVICIOS DE TI RTO WRT
Administraci
ón de TI
Administrac
ión de
usuarios
De 5 a 8
horas
Word 1 hora 30 minutos
Aura Portal 2 horas 1 hora
Mantenimie
nto
preventivo y
correctivo
de
Servidores.
De 1 a 4
horas
Excel 1 hora 30 minutos
Impresora 30 minutos -
Internet Inalámbrico 1 hora y 30 -
Administrac
ión de
periféricos
De 9 a 12
horas
Excel 1 hora 30 minutos
Internet Inalámbrico 1 hora y 30 -
Administrac
ión de
licencias del
software del
servidor y
periféricos
De 1 a 4
horas
Internet Inalámbrico 1 hora y 30 -
Correo Electrónico y
mensajería
1 hora 30 minutos
101
Soporte
técnico in
situm y
remoto.
De 5 a 8
horas
Internet Inalámbrico 1 hora y 30 -
Servidores 2 horas 1 hora
Monitorear
el
rendimiento
del sistema.
De Dos a
Tres días
Internet Inalámbrico 1 hora y 30 -
Servidores 2 horas 1 hora
Mantenimie
nto del
sistema de
archivos del
servidor
central.
De 25 a
48 horas
Carpetas Compartidas
Red FARO
30 minutos -
Correo Electrónico y
mensajería
1 hora 30 minutos
Instalación
de software
y sus
actualizacio
nes.
De 13 a
24 horas
Correo Electrónico y
mensajería
1 hora 30 minutos
Internet Inalámbrico 1 hora y 30 -
Creación y
ejecución
de copias
de
seguridad y
recuperació
n.
De 9 a 12
horas
Internet Inalámbrico 1 hora y 30 -
Servidores 2 horas 1 hora
Tabla 3. 29 MTD, RTO y WRT por proceso de Negocio
3.3.1.8 Análisis del daño a consecuencia de la interrupción de un servicio de TI
En este tema se especifican las consecuencias que se darían a causa de la
interrupción de un servicio o recurso de TI.
En la Tabla 3.30, se muestra el análisis causado por la interrupción de un servicio
de TI.
102
Funciones Proceso Consecuencia
Hardware Impresora No se pueden obtener impresiones de documentos
importantes como oficios y autorizaciones
Scanner La interrupción de este servicio impide la
digitalización de documentos e imágenes
importantes, especialmente para el departamento
administrativo, debido a ello, se retrasan procesos
de envío de información.
Fax La interrupción de este servicio impide la transmisión
telefónica de material escaneado a otro número
telefónico, usado por todas las áreas de Grupo Faro,
para el envío de documentos específicos que solo se
deben enviar mediante este dispositivo.
Copiadora La interrupción de este servicio, impide el
fotocopiado de documentos importantes realizados
en el transcurso del día, así como publicaciones,
papers, etc.
Cableado
Estructurado
La interrupción de este servicio, impide el acceso a
todas las aplicaciones y servicios importantes que se
utilizan en Grupo Faro durante la jornada laboral.
Equipos de
computación
El falla y/o interrupción del hardware de computación
provocan la interrupción de actividades de cualquier
usuario de la organización.
Hardware de
conectividad
El fallo en este equipo activo de la capa física,
provoca la interrupción inmediata del acceso a las
aplicaciones y servicios usados por el personal de
Grupo FARO.
Acceso remoto La interrupción de este servicio, impide el acceso
remoto a los equipos disponibles en Grupo FARO, lo
que retrasa el servicio de Soporte Técnico para
incidentes que pueden ser solucionados con mayor
eficiencia.
Software Disco duro de
Back-up
El daño o la falta de discos duros de back-up
provoca el retraso en la copia de los archivos que se
han especificado para el respaldo.
Microsoft
Office
El daño o falla de este software, provoca un retraso
en la elaboración de documentos de texto, hojas de
cálculo, presentaciones, con todas las
funcionalidades que nos ofrece la plataforma Office.
103
Correo
electrónico
EL daño o falla de este servicio no permite a los
usuarios el envío y la recepción de correos
electrónicos, tanto internos como externos, por
ejemplo el envío de confirmación de reuniones tanto
internas, como con otras ONGs.
Software
contable
La interrupción de este servicio provoca que todos
los procesos contables no tengan continuidad e
impide al Departamento Administrativo realizar sus
funciones.
Aura Portal La interrupción de este servicio impediría el
seguimiento por parte de los usuarios de Grupo
FARO de los procesos que se están por
implementar.
Antivirus La interrupción en este servicio, incrementa el riesgo
a la infección de virus informáticos, lo que provoca
brechas de inseguridad y lentitud en los equipos de
computación.
Tabla 3. 30 Análisis causado por la interrupción de un Servicio TI.
3.3.2 REQUERIMIENTOS DE DISPONIBILIDAD
A continuación en la Tabla 3.31 se especificarán los servicios que ofrece el
departamento de TI de Grupo FARO, en donde, en primer lugar, se tomarán
parámetros como: horas de servicio, tiempos de recuperación, capacidad para
adaptarse, utilidad, mantenimiento.
Tipo de
Servicio
Nombre
del
Servicio
Disponi
bilidad
Tiempo de
recuperaci
ón
Tipo de
Soporte
Utilid
ad
Mantenimie
nto
Responsa
ble
Software Active
Directory
24/7 1 hora Interno Media Semanal Alejandro
Velasco
Internet 24/7 1 hora Interno –
Externo
Alta Semanal Alejandro
Velasco –
Tv Cable
Correo
electrónic
o
24/7 30 minutos Interno –
Externo
Alta Semanal Alejandro
Velasco
Microsoft 24/7 30 minutos Interno Alta Semanal Alejandro
104
Office Velasco
Outlook 24/7 30 minutos Interno Media Semanal Alejandro
Velasco
Aura
Portal
24/7 2 horas Interno –
Externo
Media Semestral Alejandro
Velasco –
Marcelo
Avilés
Antivirus 10/7 30 minutos Interno Media Semestral Alejandro
Velasco
Software
Contable
24/7 20 minutos Interno -
Externo
Alta Diario Alejandro
Velasco –
Soporte
Dbware
Hardware
Tipo de
Servicio
Nombre
del
Servicio
Disponi
bilidad
Tiempo de
recuperaci
ón
Tipo de
Soporte
Utilid
ad
Mantenimie
nto
Responsa
ble
Hardware Impresora 24/7 1 hora Interno –
Externo
Alta Semanal Alejandro
Velasco –
Soporte
Ecuaprint
Copiador
a
24/7 1 hora Interno –
Externo
Alta Semanal Alejandro
Velasco –
Soporte
Ecuaprint
Fax 10/5 1 hora Interno Baja Semanal Alejandro
Velasco –
Soporte
Ecuaprint
Cableado
Estructura
do
24/7 2 horas Interno Alta Semanal Alejandro
Velasco
Equipos
de
computaci
ón
24/7 3 horas Interno –
Externo
Media Semanal Alejandro
Velasco
Hardware
de
24/7 1 hora Interno -
Externo
Alta Mensual Alejandro
Velasco
105
conectivid
ad
Acceso
remoto
24/7 30 minutos Interno Media Cada vez
que se
presenta un
incidente
Alejandro
Velasco
Disco
duro de
Back-up
24/7 30 minutos Interno Media Diario Alejandro
Velasco
Tabla 3. 31 Requerimientos de Disponibilidad y recuperación de los
servicios
3.4 DISEÑO DE LA DISPONIBILIDAD
3.4.1 DESCRIPCIÓN DE LA INFRAESTRUCTURA
3.4.1.1 Elementos de la red
Como se describió anteriormente, los componentes que integran la infraestructura
de la red de Grupo FARO son:
Servidores: Se tienen dos servidores mediante los cuales se gestiona:
Servidor 1
Servidor DHCP
Servidor DNS
Servidor Proxy
Servidor de Datos
Servidor 2
Servidor Virtual SQL
Servidor Virtual Active Directory
Servidor Aura Portal
Servidor WEB Cor Social Francisco de Orellana
Servidor WEB Cor Social Ushahidi GPS
106
Clientes: Se refiere a todos los computadores tanto portátiles, de escritorio, MAC,
que son utilizados por los usuarios de la Red de comunicaciones de Grupo FARO.
Impresoras: Equipos usados para la realizar la impresión de documentos, los
cuales han sido descritos anteriormente.
Equipos Activos: Son elementos que se encargan de generar o modificar las
señales en la capa física, entre los cuales, en la red de Grupo FARO se tienen:
Switch: Se utiliza para la conmutación de paquetes, para aumentar la agilidad en
la transferencia de la información.
Modem: Se utiliza un modem, del proveedor TV Cable, mediante el cual se
obtiene el Internet para la organización.
Access Point: Equipo usado para generar la señal inalámbrica, la cual provee de
internet a la gran mayoría de usuarios de la red.
Equipos Pasivos: Son elementos que se encargan de transmitir las señales en la
capa física, como el cableado estructurado.
Sistemas Operativos: Actualmente se trabajan con los siguientes sistemas
operativos en Grupo FARO.
· Ubuntu 10.8 para el Servidor 1
· Windows Server 2008 R2, para el Servidor 2
· Windows XP, para los clientes
· Windows 7, para los clientes.
Se ha implementado un Servidor Proxy, pero no se han implementado políticas
para la navegación de los usuarios de Grupo FARO.
3.4.1.2 Administración de TI
La organización en la actualidad, únicamente cuenta con herramientas básicas
para la Administración de TI la cual es:
· MAC Scanner
· Iptools
· Nagios
107
Se recomienda, implementar herramientas más profesionales para la
administración de diferentes necesidades como:
Gestión de Inventario, monitoreo de recursos de servidores
Recomendaciones:
· OCS Inventory
· Foglight
· OTRS
3.4.1.3 Respaldo y Almacenamiento
Al momento en la organización se cuenta con los siguientes elementos de
respaldo y almacenamiento.
3.4.1.3.1 Respaldo
Se posee un arreglo de discos RAID 1 (Redundant Array of Independence Disks),
implementado en el servidor HP ProLiant G6, cada disco con 500 Gb de
capacidad.
3.4.1.3.2 Back-up
Se utiliza las tareas automáticas de Windows, para la realización de las copias de
seguridad de los datos.
Para el almacenamiento físico se lo realiza en un disco duro externo HP, de 1
Terabyte de capacidad.
Las unidades de almacenamiento que se posee en cada equipo de trabajo de la
organización.
3.4.1.4 Impresión y Digitalización
Para la impresión y digitalización se utilizan:
Impresora Ricoh Aficio MP 171
Impresora Ricoh Aficio MPC 400 - Color
Impresora EPSON LX300
108
3.4.1.5 Consideraciones para el Hardware y el Software
3.4.1.5.1 Requerimientos de Hardware
Se tienen especificados tres estándares de consideraciones mínimos de
hardware, para servidores, estaciones de trabajo Desktop, estaciones de trabajo
portátil.
Servidores
Requerimientos mínimos para servidores
Procesador Intel® Xeon® E5502 (2 núcleos, 1,86 GHz, 4 MB L3, 80W)
Teclado Teclado HP USB estándar español
Mouse Ratón óptico USB
Memoria RAM 4 GB
Disco duro 500 GB – Arreglo Discos RAID 1
Tabla 3. 32 Requerimientos mínimos para servidores
Estación de trabajo Desktop
Requerimientos mínimos para estación de trabajo Desktop
Procesador Intel® Core™ i3-3240 Processor (3M Cache, 3.40 GHz)43
Teclado Teclado USB español estándar
Mouse Ratón óptico USB
Memoria RAM 4 GB- DDR3 SDRAM
Disco duro 350 GB – Serial ATA 5400 RPM
Monitor Monitor LCD de 19 pulgadas
Tabla 3. 33 Requerimientos mínimos para estación de trabajo Desktop
Estación de trabajo Laptop
Requerimientos mínimos para estación de trabajo Laptop
Procesador Intel® Core™ i5-3570S Processor (6M Cache, 3.80
GHz)
Teclado Teclado español estándar
43http://ark.intel.com/es/products/family/65503/3rd-Generation-Intel-Core-i3-
Processors/desktop
109
Mouse Puntero touchpad
Memoria RAM
4 GB - DDR3 SDRAM
Disco duro 500 GB – Serial ATA – 5400 RPM
Monitor 14.1 "Active Matrix TFT LCD a color
Tabla 3. 34 Requerimientos mínimos para estación de trabajo Laptop
3.4.1.5.2 Especificaciones de Software
Entre las consideraciones de software, tanto para servidores, como para
estaciones de trabajo, se especifican las siguientes:
· Sistema Operativo Servidor.- Windows Server 2008 R2.
· Sistema Operativo Servidor 2.- Ubuntu 10.8.
· Sistema Operativo Estación de Trabajo.- Windows XP Service Pack 3,
Windows 7 Professional.
· Herramientas Ofimáticas.- Microsoft Office 2007.
Es recomendable, mantener actualizado el sistema operativo, tanto en estaciones
de trabajo, como en servidores, debido a que mediante dichas actualizaciones se
reducen vulnerabilidades de seguridad.
3.4.1.6 Consideraciones para la sala principal de equipos de Infraestructura TI
Cada organización debería producir una política de entorno para la ubicación de
equipos, con las normas mínimas acordadas para concentraciones particulares de
equipos. Adicionalmente, los mínimos estándares deben ser acordados para la
protección de edificios que contienen los equipos.
Las siguientes tablas se cubren los principales aspectos que deben ser
considerados, con características de ejemplo.44
Los equipos de Infraestructura, deben permanecer en las mejores condiciones
físicas, como se presenta en la siguiente tabla. 44Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI;
Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental
architectures and standards; 245
110
3.4.1.6.1 Sala principal de equipos
SALA PRINCIPAL DE EQUIPOS
Acceso Entrada segura controlada, uso de combinación/clave, tarjeta
magnética, cámara de video(Si el negocio es crítico y sin
vigilancia)
Ubicación Primera planta siempre que sea posible, sin agua, gas, químicos o
riesgos de incendio dentro de la zona, por encima, por debajo o
adyacente.
Visibilidad No señalización, no ventanas exteriores.
Revestimiento Revestimiento externo: impermeable, hermético, aislamiento
acústico, resistente al fuego (0,5 horas a 4 horas dependiendo
de la criticidad)
Equipo de
Entrega
Deberían tomarse medidas adecuadas para la entrega y
colocación de equipos grandes sensibles.
Piso Interno Sellado
Planta Eléctrica Separada Fuente de alimentación interrumpible (UPS). El suministro
eléctrico y de distribución, unidades de manipulación de aire,
unidades duales y salas de trabajo.
Externo Generador para Data Centers mayores y sistemas críticos para el
negocio.
Tabla 3. 35 Mejores condiciones físicas para Sala principal de Equipos45
En la Tabla 3.36, se muestran las especificaciones para el Cuarto de Servidores o
Equipos.
CUARTO DE SERVIDORES O EQUIPOS
Acceso Entrada controlada, por el uso de combinación/clave, tarjeta
magnética o calve y llave. En algunos casos los equipos pueden
encontrarse en oficinas abiertas en bastidores o gabinetes con llave.
Temperatura Entorno de oficina normal, pero si las habitaciones son cerradas o
bloqueadas se debería proveer una ventilación adecuada.
Humedad Entorno normal de oficina.
45Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI;
Mejores Prácticas para la Provisión del Servicio; versión 3;2007; Appendix E: Environmental
architectures and standards; Table E2; 245
111
Calidad del aire Entorno normal de oficina.
Power Energía continua suministrada con una fuente de poder sustituta –
UPS a la granja de servidores completa.
Piso Falso Recomendación mínima de 3 m entre el suelo y el techo, con todos los
cables asegurados en canalización multi-compartimiento.
Paredes interiores Siempre que sea posible las paredes deben ser resistentes al fuego.
Detección / Prevención
de
incendio
Sistema de detección de incendios/humo normal de oficina, a menos
que existan importantes concentraciones de equipo.
Detectores en el
Entorno
Para humo, energía, con capacidad de alarma sonora
Iluminación
Los niveles normales de iluminación de techo con luces de emergencia
en caso de corte de energía.
Conexión a Tierra Se debe proveer de conexión a tierra a los equipos. Con los botones
de apagado claramente identificados.
Extinguidores de
Fuego
Suficientes extintores de incendio eléctrico con señalización adecuada
y procedimiento.
Vibración Las vibraciones deben ser mínimas dentro de la zona
Interferencia
Electromagnética
Interferencia mínima (1.5V/m campo de fuerza ambiente)
Instalaciones
Todos los equipos e instalaciones eléctricas deben ser
suministrados e instalados por proveedores cualificados y
normas adecuadas de salud y seguridad
Conexiones de Red El equipo de campo debe ser de cable aislado con una capacidad
adecuada para un crecimiento razonable. Todos
los cables deben ser colocados y sujetos a las bandejas de cable
adecuado.
Recuperación de
Desastres
Completamente probado y los planes de recuperación deben
desarrollarse de acuerdo al caso.
Tabla 3. 36 Mejores condiciones físicas para el cuarto de servidores
112
En la Tabla 3.37, se muestran las especificaciones para el entorno de Oficina.
ENTORNO DE OFICINA
Acceso Todas las oficinas deben tener la seguridad de acceso adecuado
según la empresa, la información y el equipo que está contenido
dentro de ellas.
Iluminación,
temperatura,
humedad y calidad
de aire.
Entorno normal, ambiente de la oficina cómoda y
ordenada, conforme a la salud de la organización,
seguridad y medio ambiente
Alimentación de
Energía
Energía continua suministrada con una fuente de poder sustituta –
UPS a la granja de servidores completa.
Piso Falso Recomendada de 3 m mínima entre el suelo y el techo,
con todos los cables asegurados en varios compartimentos.
Detección de
incendios,
prevención y
extintores
Detección de incendios, prevención de humo, sistemas de
detección de incendios, sistemas de alerta de intrusión si
aquí están las principales concentraciones de los equipos.
Suficientes extintores del tipo adecuado, con señalización
adecuada y los procedimientos
Conexiones de Red El espacio de oficinas preferentemente debe tener ser por cable con la
capacidad adecuada para un crecimiento razonable. Todos los cables
deben ser colocados y sujetos a las bandejas de cable adecuado.
Todos los equipos de
red deben estar protegidos en armarios o gabinetes de seguridad.
Recuperación de
Desastres
Completamente probado y los planes de recuperación deben
desarrollarse de acuerdo al caso.
Tabla 3. 37 Mejores condiciones físicas para el entorno de oficina46
3.4.1.7 Análisis de Puntos individuales de fallo de componentes
3.4.1.7.1 Análisis por arboles de Fallos FTA.
• Análisis del Árbol de Fallas es una técnica usada para identificar la cadena
de eventos que llevan a fallar a un servicio de TI.
• Se traza un árbol separado para cada servicio, usando símbolos
booleanos. 46Office of Government Commerce (OGC); ITIL la Llave para la Gestión de los Servicios TI; Mejores Prácticas para la Provisión del Servicio; versión 3; 2007; Appendix E: Environmental architectures and standards; Table E.6; Pag 248
113
• El árbol es atravesado de abajo hacia arriba.
• El Análisis del Árbol de Fallas distingue los siguientes elementos:
• Eventos Básicos – entradas en el diagrama (círculos) tales como
caídas de energía eléctrica y errores del operados. Esos eventos no
son investigados.
• Eventos Resultantes – nodos en el diagrama, resultantes de eventos
anteriores.
• Eventos Condicionales – eventos que sólo ocurren bajo ciertas
condiciones, tales como una falla del aire acondicionado.
• Eventos Disparadores (Trigger Events) - eventos que causan otros
eventos, tales como una desconexión automática del suministro de
corriente iniciada por un UPS.
• Los eventos pueden estar combinados con operaciones lógicas, tales
como:
– Operación AND – El Evento Resultante ocurre si todas las entradas
ocurren simultáneamente.
– Operación OR – El Evento Resultante ocurre si una o más de las
entradas ocurren.
– Operación XOR – El Evento Resultante ocurre si sólo una de las
entradas ocurre.
Operación Inhibir – el evento resultante ocurre si las condiciones de la entrada no
son satisfechas.
A continuación en la figura, se presenta el árbol de fallos con respecto al Internet
fuera de servicio, las demás figuras representando a los otros servicios de TI, se
encuentran en el Anexo 3: GF-Análisis por Árboles de Fallo.
114
Figura 3. 2 Análisis del Árbol de Fallos del Internet fuera de servicio.
En la Figura 3.3 se expone el Árbol de Fallos con respecto al Internet fuera de
servicio.
Básicos Condicionados
· Corte de energía eléctrica Pérdida de Energía
· Fallo de Modem Fallo por parte del ISP
· Mantenimiento de Enlaces
· Fallo en switch Fallo de Hardware de conectividad
interno · Fallo en el Access point
115
Desencadenantes Resultantes
· Pérdida de Energía
Internet fuera de servicio
· Fallo por parte del ISP
· Fallo en el Hardware de
conectividad interno
Podemos observar que el Suceso resultante de Internet fuera de servicio, es
desencadenado por la pérdida de energía, el fallo por parte del ISP, y el fallo en el
Hardware de conectividad.
Además los sucesos básicos afectan inmediatamente a un Suceso Resultante por
ejemplo:
· Si tenemos pérdida de energía, como resultante tendremos Internet fuera
de servicio.
· Si se tiene un fallo en el Modem, enseguida se expone el Internet fuera de
servicio.
3.4.1.7.2 Análisis del impacto de fallo de un componente CFIA
En la Figura 3.3 se indica un diagrama de la red de Grupo FARO, con los
Elementos de Configuración (CI), mencionados anteriormente, mediante los
cuales podemos realizar de una mejor manera el CFIA.
En la Tabla 3.38, contiene una matriz en la cual se representan los Elementos de
Configuración, además de los procesos más críticos para cada Área de la
organización incluyendo el tipo de fallo en la infraestructura.
11
6 IN
FR
AE
ST
RU
CT
UR
A D
E R
ED
– G
RU
PO
FA
RO
Fig
ura
3. 3
D
iag
ram
a d
e R
ed
de
Gru
po
FA
RO
co
n e
spec
ifica
ción
de
CIs
.
11
7
D
E
AX
C
AX
C
AF
C
AF
C
AF
C
AC
A
R
AR
C
FC
C
FC
C
FC
I
C
C
O
TI
TI
CI
Levantamiento de fondos
Revisión de cuentas
Conciliaciones Bancarias
Registro de Facturas
Emisión de cheques
Depósitos, Débitos e ingresos
Realización de conciliaciones bancarias
Control Presupuestario
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
procesos contables
Revisión, ejecución mensual del
presupuesto institucional
Declaración de Impuestos y similares
Revisión de documentos académicos
para investigaciones internas
Supervisar estándares de calidad de los
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
Grupo FARO
Elaborar adquisiciones de bienes y/o
contratación de servicios
Mantenimiento preventivo y correctivo de
Servidores.
Administración de licencias del software
del servidor y periféricos
Su
min
istro
eléctrico
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
UP
S1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
B
B
C1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
M1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
C15
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
R1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
C2
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
11
8 C
I Levantamiento de fondos
Revisión de cuentas
Conciliaciones Bancarias
Registro de Facturas
Emisión de cheques
Depósitos, Débitos e ingresos
Realización de conciliaciones bancarias
Control Presupuestario
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
procesos contables
Revisión, ejecución mensual del
presupuesto institucional
Declaración de Impuestos y similares
Revisión de documentos académicos para
investigaciones internas
Supervisar estándares de calidad de los
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
Grupo FARO
Elaborar adquisiciones de bienes y/o
contratación de servicios
Mantenimiento preventivo y correctivo de
Servidores.
Administración de licencias del software
del servidor y periféricos
C3
A
A
A
A
A
SR
V4
X
X
X
X
X
X
X
C4
A
A
A
A
A
A
A
A
A
SR
V1
X
X
SR
V2
X
X
SR
V3
X
X
X
X
X
X
X
X
X
X
SW
I1 B
B
B
B
B
B
B
B
B
B
B
B
B
B
B
B
B
B
C16
X
A
A
C5
A
AP
1
B
C7
X
X
X
X
11
9 C
I Levantamiento de fondos
Revisión de cuentas
Conciliaciones Bancarias
Registro de Facturas
Emisión de cheques
Depósitos, Débitos e ingresos
Realización de conciliaciones bancarias
Control Presupuestario
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
procesos contables
Revisión, ejecución mensual del presupuesto
institucional
Declaración de Impuestos y similares
Revisión de documentos académicos para
investigaciones internas
Supervisar estándares de calidad de los
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
Grupo FARO
Elaborar adquisiciones de bienes y/o
contratación de servicios
Mantenimiento preventivo y correctivo de
Servidores.
Administración de licencias del software del
servidor y periféricos
I4 B
B
B
B
C6
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
AP
2
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
C17
X
X
X
X
X
X
X
X
X
X
X
X
X
I3
B
B
B
B
B
B
B
B
B
B
B
B
B
C8
X
X
X
X
X
X
X
X
X
X
X
SW
I2
B
B
B
B
B
B
B
B
B
B
B
C9
X
X
DS
K2
X
X
C14
A
I1
X
C10
X
X
X
12
0 C
I Levantamiento de fondos
Revisión de cuentas
Conciliaciones Bancarias
Registro de Facturas
Emisión de cheques
Depósitos, Débitos e ingresos
Realización de conciliaciones bancarias
Control Presupuestario
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
procesos contables
Revisión, ejecución mensual del
presupuesto institucional
Declaración de Impuestos y similares
Revisión de documentos académicos para
investigaciones internas
Supervisar estándares de calidad de los
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
Grupo FARO
Elaborar adquisiciones de bienes y/o
contratación de servicios
Mantenimiento preventivo y correctivo de
Servidores.
Administración de licencias del software
del servidor y periféricos
DS
K3
B
B
B
C11
X
LA
P3
X
C12
X
X
X
LA
P6
X
X
X
C13
X
X
LA
P5
X
X
DS
K1
X
LA
P4
X
LA
P16
X
X
LA
P25
X
SW
1
SW
2
X
X
X
X
X
X
X
12
1 C
I Levantamiento de fondos
Revisión de cuentas
Conciliaciones Bancarias
Registro de Facturas
Emisión de cheques
Depósitos, Débitos e ingresos
Realización de conciliaciones bancarias
Control Presupuestario
Revisión y preparación de presupuestos
Supervisar y Coordinar la ejecución de
procesos contables
Revisión, ejecución mensual del
presupuesto institucional
Declaración de Impuestos y similares
Revisión de documentos académicos para
investigaciones internas
Supervisar estándares de calidad de los
eventos de GRUPO FARO
Supervisión editorial de publicaciones de
Grupo FARO
Elaborar adquisiciones de bienes y/o
contratación de servicios
Mantenimiento preventivo y correctivo de
Servidores.
Administración de licencias del software
del servidor y periféricos
SW
3 A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
SW
4 A
A
A
A
A
A
SW
5
A
A
A
A
A
A
A
A
A
A
A
A
A
SW
6 A
A
A
A
A
A
A
A
A
A
A
A
A
SW
7
SW
8
B
SW
9
X
X
SW
10
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
SW
11
X
X
SW
12
X
X
X
X
X
X
X
X
SW
13
X
Tab
la 3. 38
Ma
triz de
la co
nfigura
ción
del A
nálisis d
el Im
pacto
de
Fa
llo de u
n comp
onen
te d
e G
rup
o FA
RO
122
3.4.1.8 Análisis y gestión de riesgos.
3.4.1.8.1 Método de Análisis y Gestión de Riesgos CRAMM
3.4.1.8.1.1 Valoración de activos
Es el estimado del valor que un proceso u otro activo representa para la empresa.
Este valor es importante para el Análisis del Riesgo.
1 à Muy Bajo
2 à Bajo
3 à Medio
4 à Alto
5 à Muy Alto
La Tabla 3.40 presentada a continuación presenta una lista de los activos de TI,
con su respectiva valoración.
La valoración se la realizó en base a la utilización diaria de los activos de
Tecnologías de Información, conocimiento que se lo ha adquirido empíricamente,
gracias a las actividades de administración de la infraestructura que se las han
realizado durante un año.
Además, también se basó en la tabulación de las encuestas realizadas al
personal administrativo de Grupo FARO, el cual se encuentra en el Anexo 7-GF-
Tabulación encuestas Grupo FARO.
ACTIVO TI VALORACIÓN
Impresora 2
Scanner 3
Fax 2
Copiadora 3
Cableado Estructurado 5
Equipos de computación 5
123
Acceso remoto 4
Disco duro de Back-up 3
Servidores 5
Microsoft Office 4
Correo electrónico 5
Software contable 5
Aura Portal 3
Antivirus 3
Adobe Reader 1
Switch 3
Router 5
Access Point 5
Interfaces de Red 4
Discos Duros 5
Acceso Remoto 2
Tabla 3. 39 Valoración de activos de TI
3.4.1.8.1.2 Identificación y valoración de amenazas
“Amenaza: Cualquier cosa que pueda aprovecharse de una Vulnerabilidad.
Cualquier causa potencial de un Incidente puede ser considerada como una
amenaza.
Por ejemplo, el fuego es una Amenaza que podría explotar la Vulnerabilidad de
las moquetas inflamables. Este término suele usarse en la Gestión de la
Seguridad de la Información y en la Gestión de la Continuidad del Servicio de TI,
pero también se aplica a otras áreas como la Problemas y Gestión de la
Disponibilidad.“47
47ITIL® V3 Glosario, v2.1, 30 de mayo del 2007 (Español Latinoamericano, 25 de noviembre del 2009)
124
Analizando las posibles amenazas que la organización GRUPO FARO está
propensa a tener, se han categorizado los mismos como se muestra a
continuación.
Amenaza Humana:
· Robo.
· Hackers.
· Artefactos explosivos.
· Fugas de gas o agua.
· Incendios.
Amenaza Natural
· Inundaciones.
· Sismos.
· Lluvias torrenciales.
· Incendios.
· Terremotos.
Amenaza Tecnológica
· Sabotaje computacional.
· Acceso al centro de cómputo.
· Escasez de energía.
· Fallas en la red.
· Acceso a la red por parte de personas ajenas a la entidad.
· Falla en los dispositivos de almacenamiento del Servidor.
· Falla en los dispositivos de almacenamiento de las computadoras.
· Fallo en el hardware de los equipos.
· Configuración incorrecta de aplicaciones.
· Sobredimensionamiento de clientes inalámbricos en la red.
· Virus.
· Falla de capacitación de TI.
125
Una vez que los riesgos han sido identificados, se presenta las tablas de
Probabilidad y Vulnerabilidad con sus respectivas probabilidades y
vulnerabilidades asociadas y los riesgos detectados para las posibles amenazas.
El Análisis del Riesgo identifica las amenazas y vulnerabilidades de los activos de
la empresa e indica el nivel de vulnerabilidad de cada activo ante determinadas
amenazas.
3.4.1.8.1.3 Valoración de las amenazas
Para la valoración de las amenazas establece un rango enmarcado en la
probabilidad de ocurrencia de dicha amenaza.
1. Baja probabilidad de ocurrencia.
2. Media baja probabilidad de ocurrencia.
3. Media probabilidad de ocurrencia.
4. Media Alta probabilidad de ocurrencia.
5. Alta probabilidad de ocurrencia.
COD AMENAZA VALOR
AMENAZA
A1 Robo 3
A2 Hackers 3
A3 Artefactos explosivos 2
A4 Fugas de gas o agua 5
A5 Incendios 3
A6 Inundaciones 5
A7 Sismos 2
A8 Lluvias torrenciales 4
A9 Incendios 4
A10 Terremotos 3
A11 Sabotaje computacional 3
A12 Acceso al centro de cómputo 4
126
A13 Escasez de energía 3
A14 Fallas en la red 3
A15 Acceso a la red por parte de personas ajenas a la entidad 3
A16 Falla en los dispositivos de almacenamiento del Servidor 4
A17 Falla en los dispositivos de almacenamiento de las
computadoras
5
A18 Fallo en el hardware de los equipos 5
A19 Configuración incorrecta de aplicaciones 3
A20 Sobredimensionamiento de clientes inalámbricos en la
red.
4
A21 Virus 5
A22 Falla de capacitación de TI 4
Tabla 3. 40 Valoración de amenazas
3.4.1.8.1.4 Identificación de las vulnerabilidades
Para la identificación de las vulnerabilidades48, se toma cada amenaza y se
especifica que debilidad puede aprovechar esta.
AMENAZA CÓDIGO VULNERABILIDAD
Robo V1 Pérdida de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Hackers V2 Pérdida de Equipos
Pérdida de Información lógica
Retraso en trabajo
Artefactos explosivos V3 Pérdida de Equipos
Retraso en trabajo
48Una debilidad que puede ser aprovechada por una Amenaza. Por ejemplo un puerto abierto en el cortafuegos, una clave de acceso que no se cambia, o una alfombra inflamable. También se considera una Vulnerabilidad un Control perdido. Spanish (Latin American) 2011 Glosary
127
AMENAZA CÓDIGO VULNERABILIDAD
Fugas de gas o agua V4 Pérdida de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Incendios V5 Daño de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Inundaciones V6 Daño de Equipos
Pérdida de Información física y lógica
Retraso en trabajo
Sismos V7 Daño de Equipos
Retraso en trabajo
Lluvias torrenciales V8 Daño de Equipos
Retraso en trabajo
Incendios V9 Daño de Equipos
Retraso en trabajo
Terremotos V10 Daño de Equipos
Retraso en trabajo
Sabotaje computacional V11 Retraso en trabajo
Acceso al centro de
cómputo
V12 Pérdida de Información física y lógica
Retraso en trabajo
Escasez de energía V13 Pérdida de Información lógica
Retraso en trabajo
Indisponibilidad de información
Fallas en la red V14 Pérdida de Información lógica
Retraso en trabajo
Indisponibilidad de información
Acceso a la red por parte
de personas ajenas a la
entidad
V15 Pérdida de información confidencial
Falla en los dispositivos
de almacenamiento del
Servidor
V16 Pérdida de Información lógica
Retraso en trabajo
Indisponibilidad de información
128
AMENAZA CÓDIGO VULNERABILIDAD
Falla en los dispositivos
de almacenamiento de las
computadoras
V17 Pérdida de Información lógica
Retraso en trabajo
Indisponibilidad de información personal
Fallo en el hardware de
los equipos
V18 Pérdida de Información lógica
Retraso en trabajo
Indisponibilidad de información
Configuración incorrecta
de aplicaciones
V19 Retraso en trabajo
Sobredimensionamiento
de clientes inalámbricos
en la red.
V20 Retraso en trabajo
Fallo de acceso a la red
Virus V21 Pérdida de Información lógica
Modificación de información lógica
Retraso en trabajo
Falla de Capacitación de
TI
V22 Retraso en trabajo
Tabla 3. 41 Identificación de vulnerabilidades
3.4.1.8.1.5 Valoración de las vulnerabilidades
Para la valoración de las vulnerabilidades establece un rango enmarcado en el
impacto que tendría una amenaza si esta ocurriese.
1. Bajo impacto.
2. Medio Bajo impacto.
3. Medio impacto.
4. Medio Alto impacto.
5. Alto impacto.
129
AMENAZA CÓDIGO VULNERABILIDAD VALORACIÓN
Robo V1 Pérdida de Equipos 5
Pérdida de Información física y
lógica
Retraso en trabajo
Hackers V2 Pérdida de Equipos 4
Pérdida de Información lógica
Retraso en trabajo
Artefactos explosivos V3 Pérdida de Equipos 3
Retraso en trabajo
Fugas de gas o agua V4 Pérdida de Equipos 4
Pérdida de Información física y
lógica
Retraso en trabajo
Incendios V5 Daño de Equipos 5
Pérdida de Información física y
lógica
Retraso en trabajo
Inundaciones V6 Daño de Equipos 4
Pérdida de Información física y
lógica
Retraso en trabajo
Sismos V7 Daño de Equipos 2
Retraso en trabajo
Lluvias torrenciales V8 Daño de Equipos 2
Retraso en trabajo
Incendios V9 Daño de Equipos 3
Retraso en trabajo
Terremotos V10 Daño de Equipos 3
Retraso en trabajo
Sabotaje computacional V11 Retraso en trabajo 2
Acceso al centro de
cómputo
V12 Pérdida de Información física y
lógica
3
Retraso en trabajo
130
Escasez de energía V13 Pérdida de Información lógica 5
Retraso en trabajo
Indisponibilidad de información
AMENAZA CÓDIGO VULNERABILIDAD VALORACIÓN
Fallas en la red V14 Pérdida de Información lógica 4
Retraso en trabajo
Indisponibilidad de información
Acceso a la red por
parte de personas
ajenas a la entidad
V15 Pérdida de información
confidencial
3
Falla en los dispositivos
de almacenamiento del
Servidor
V16 Pérdida de Información lógica 5
Retraso en trabajo
Indisponibilidad de información
Falla en los dispositivos
de almacenamiento de
las computadoras
V17 Pérdida de Información lógica 4
Retraso en trabajo
Indisponibilidad de información
personal
Fallo en el hardware de
los equipos
V18 Pérdida de Información lógica 3
Retraso en trabajo
Indisponibilidad de información
Configuración incorrecta
de aplicaciones
V19 Retraso en trabajo 3
Sobredimensionamiento
de clientes inalámbricos
en la red.
V20 Retraso en trabajo 4
Fallo de acceso a la red
Virus V21 Pérdida de Información lógica 5
Modificación de información
lógica
Retraso en trabajo
Falla de capacitación en
TI
V22 Retraso en trabajo 4
Tabla 3. 42 Valoración de las vulnerabilidades
131
Luego se analizarán las Probabilidades y Vulnerabilidades de cada riesgo
identificado, con lo cual se justificarán las decisiones tomadas.
3.4.1.8.1.6 Evaluación de niveles de riesgos
“Riesgo.- Evento que podría causar daño o pérdidas, o afectar la habilidad de
alcanzar Objetivos. Un Riesgo es medido por la probabilidad de una Amenaza, la
Vulnerabilidad del Activo a esa Amenaza, y por el Impacto que tendría en caso
que ocurriera.”49
A continuación en la Tabla 3.43, la cual es un extracto del Anexo 4: GF-
Evaluación de Riesgos, se presenta la probabilidad de ocurrencia del riesgo,
para uno de los activos más sensibles de Grupo FARO que es el Sistema
Contable.
Para la determinación del riesgo, se han tomado extractos de las tablas:
Tabla 3.39: Valoración de activos TI.
Tabla 3.40: Valoración de amenazas.
Tabla 3.42: Valoración de las vulnerabilidades.
Con dichos datos, se realizó la operación:
Riesgo = Amenaza * Vulnerabilidad.
49 ITIL Spanish (Latin American) 2011 Glossary
ACTIVO VALOR
DEL
ACTIVO
AMENAZA VALOR DE
AMENAZA
VULNERABILIDAD VALOR DE
VULNERABILIDAD
RIESGO
SOFTWARE
CONTABLE
5 A1 3 V1 5 75
5 A2 3 V2 4 60
5 A3 2 V3 3 30
5 A4 5 V4 4 100
5 A5 3 V5 5 75
5 A6 5 V6 4 100
5 A7 2 V7 2 20
5 A8 4 V8 2 40
132
Tabla 3. 43 Evaluación de niveles de riesgos
Como podemos observar en la Tabla 3.43 los valores de niveles de riesgos para
los Activos de Tecnologías de Información de Grupo FARO son altos para
Sistema Contable y bajos para Adobe Reader.
Revisión de Riesgo Software Contable
Como ejemplo tomaremos el caso del valor de riesgo igual a 125, que se basa en
la probabilidad de que la organización tenga una amenaza (A21) Virus
conjuntamente con la vulnerabilidad (V21) Pérdida de información lógica,
Modificación de información lógica, Retraso en el trabajo, este hace
referencia a la probabilidad de un mayor impacto en los procesos del negocio, si
el servidor es propenso a ataques de virus informáticos.
Observamos que las vulnerabilidades con mayor ponderación del software
contable son:
V1: Robo.
V5: Incendios.
V13: Escasez de energía.
V16: Falla en los dispositivos de almacenamiento del servidor.
V21: Virus
5 A9 4 V9 3 60
5 A10 3 V10 3 45
5 A11 3 V11 2 30
5 A12 4 V12 3 60
5 A13 3 V13 5 75
5 A14 3 V14 4 60
5 A15 3 V15 3 45
5 A16 4 V16 5 100
5 A17 5 V17 4 100
5 A18 5 V18 3 75
5 A19 3 V19 3 45
5 A20 4 V20 4 80
5 A21 5 V21 5 125
5 A22 4 V22 4 80
133
Gracias a los datos que se extraen de la Tabla 3.44 Control de riesgos, podemos
observar para este caso específico las actividades que se deben realizar; por
ejemplo, en el caso de Robo, el impacto se reduciría si se toman las siguientes
acciones:
· Contratar seguro contra robo.
· Realizar respaldo de equipos.
· Elaborar políticas de back-up.
Para el valor de riesgo igual a 20, que se basa en la probabilidad tenga una
amenaza de (A7) Sismos conjuntamente con la vulnerabilidad (V7) Daño de
equipos, Retraso en el trabajo, no se debe descartar dicho riesgo, pero de igual
manera, se debe tener en cuenta las opciones de control debido a que si se
tendrá un impacto en los procesos del negocio si ocurriese un Sismo.
3.4.1.8.1.7 Control y opciones de control de riesgos.
La siguiente tabla nos muestra los Riesgos y el control que se les dará.
AMENAZA CONTROL DE RIESGO
Robo Seguro contra robo
Respaldo equipos
Políticas back-up
Hackers Políticas de back-up
Firewall
Monitoreo de Red
Artefactos explosivos Sanciones por negligencia
Fugas de gas o agua Buenas prácticas de ubicación de equipos
Seguro de equipos
Incendios Alarma contra incendios
Seguro contra incendio
Respaldo de elementos de la red
Inundaciones Respaldo de equipos
Sismos Políticas de seguridad
Lluvias torrenciales Seguro de equipos
Buenas prácticas de ubicación de equipos
Incendios Alarma contra incendios
Seguro contra incendio
134
Respaldo de elementos de la red
Terremotos Seguro contra terremotos
Respaldo de equipos
Sabotaje computacional Sanciones por negligencia
Acceso al centro de cómputo Puerta con candado del centro de cómputo
Escasez de energía Planta de energía alterna
Equipos de protección de equipos
Fallas en la red Monitoreo de la red
Mantenimiento de la red
Acceso a la red por parte de personas
ajenas a la entidad
Aumentar seguridad en el acceso a la red
Falla en los dispositivos de
almacenamiento del Servidor
Discos respaldo servidor
Política de Back-up
Falla en los dispositivos de
almacenamiento de las computadoras
Concientización a usuarios
Políticas de Back-up
Fallo en el hardware de los equipos Garantía de equipos
Respaldo de equipos
Hardware back-up
Configuración incorrecta de
aplicaciones
Manual de procedimientos de aplicaciones
Sobredimensionamiento de clientes
inalámbricos en la red.
Access Point extra
Monitoreo de red
Virus Antivirus actualizado
Concientización a usuarios
Políticas de Back-up
Políticas de Seguridad
Falla capacitación en TI Capacitación a usuarios
Tabla 3. 44 Control de riesgos
Las opciones de control de Riesgo se dividen en cuatro categorías
Aceptación del Riesgo.- Reside en aceptar el riesgo, y no tomar acciones para
evitarlo.
Anulación del Riesgo.-Consiste en reducir el riesgo a niveles tolerables.
Reducción del Riesgo.- Reside en reducir el riesgo a niveles tolerables.
Transferencia de Riesgo.- Consiste en escalar el riesgo a otra entidad
especializada en el mismo.
135
En la siguiente tabla se las ha organizado en función a cada Amenaza y su control
de riesgo.
AMENAZA CONTROL DE RIESGO OPCIÓN DE CONTROL
Robo Seguro contra robo Transferencia del riesgo
Respaldo equipos Reducción del riesgo
Políticas back-up Reducción del riesgo
Hackers Políticas de back-up Reducción del riesgo
Firewall Reducción del riesgo
Monitoreo de Red Reducción del riesgo
Artefactos explosivos Políticas de seguridad Reducción del riesgo
Fugas de gas o agua Seguro de equipos Transferencia del riesgo
Incendios Alarma contra incendios Reducción del riesgo
Seguro contra incendio Transferencia del riesgo
Respaldo de elementos de la
red
Reducción del riesgo
Inundaciones Seguro contra inundaciones Anulación del riesgo
Respaldo de equipos Reducción del riesgo
Sismos Seguro contra terremotos Transferencia del riesgo
Respaldo de equipos Reducción del riesgo
Lluvias Torrenciales Respaldo de equipos Reducción del riesgo
Incendios Alarma contra incendios Reducción del riesgo
Seguro contra incendio Transferencia del riesgo
Respaldo de elementos de la
red
Reducción del riesgo
Sabotaje computacional Sanciones por negligencia Reducción del riesgo
Recalentamiento de equipos Seguro técnico de equipos Transferencia del riesgo
Mantenimiento preventivo Reducción del riesgo
Escasez de energía Planta de energía alterna Anulación del riesgo
Equipos de protección de
equipos
Reducción del riesgo
Fallas en la red Monitoreo de la red Reducción del riesgo
Mantenimiento preventivo de
la red
Reducción del riesgo
Acceso a la red por parte de
personas ajenas a la entidad
Aumentar seguridad en el
ingreso a solo personal
autorizado
Anulación del riesgo
136
AMENAZA CONTROL DE RIESGO OPCIÓN DE CONTROL
Falla en los dispositivos de
almacenamiento del Servidor
Discos respaldo servidor Reducción del riesgo
Política de Back-up Reducción del riesgo
Respaldo de información on
line
Reducción del riesgo
Falla en los dispositivos de
almacenamiento de las
computadoras
Concientización a usuarios Reducción del riesgo
Políticas de Back-up Reducción del riesgo
Fallo en el hardware de los
equipos
Garantía de equipos Reducción del riesgo
Respaldo de equipos Reducción del riesgo
Hardware back-up Reducción del riesgo
Configuración incorrecta de
aplicaciones
Manual de procedimientos de
aplicaciones
Anulación del riesgo
Sobredimensionamiento de
clientes inalámbricos en la
red.
Access Point extra Anulación del riesgo
Monitoreo de red Reducción del riesgo
Virus Antivirus actualizado Reducción del riesgo
Concientización a usuarios Reducción del riesgo
Políticas de Back-up Reducción del riesgo
Políticas de Seguridad Reducción del riesgo
Falla capacitación en TI Capacitación a usuarios Reducción del riesgo
Tabla 3. 45 Opciones de control de Riesgos
3.5 DISEÑO DE LA RECUPERACIÓN
En esta sección se especificará el proceso previo que se seguirá para mejorar los
niveles de recuperación del servicio, además que se desarrollará una explicación
breve de las medidas, las métricas y los procesos empleados para la
recuperación.
Las copias de seguridad son una forma de protección de datos tal que permiten la
recuperación de la información (ya sean datos o aplicaciones) en el caso de:
Pérdida del equipamiento informático (o hardware), debido a desastres naturales,
fallos de disco, errores de operación del sistema.
137
De igual importancia que la protección física del equipamiento es la protección de
los medios empleados para realizar las copias de seguridad.
3.5.1 MEDIDA DE RECUPERACIÓN DE INCIDENTE
En la tabla 3.46, se especifican las medidas de recuperación para cada servicio
que se tiene en la organización.
Nombre del Servicio Medida de recuperación
Active Directory · Tener un respaldo de las bases de datos de
usuarios del dominio.
· Tener un servidor Virtual con Active Directory
de Back-up
Internet · Disponer de dispositivos de internet portables
para las áreas críticas del negocio.
· Cambio del dispositivo entregado por el
proveedor.
· Definir las vías de contacto directo con los
proveedores (teléfono convencional, teléfono
celular, correo electrónico)
Correo electrónico · Configurar el correo electrónico en el
computador, mediante POP3.
· Elaborar una política de respaldo semanal del
archivo de correos en medios externos.
· Elaborar un nuevo archivo de correo si este
sobrepasa el 1Gb.
Microsoft Office · Contar con el instalador de la versión
software instalado.
· Establecer copias de seguridad automáticas
de los archivos creados en Microsoft Office
Outlook · Contar con el instalador de la versión
software instalado.
Aura Portal · Contar con un respaldo del instalador con la
versión empleada para el servidor.
· Contar con manuales de instalación y
configuración del servidor y clientes.
· Tener un respaldo de las Bases de datos de
usuarios del sistema, configuraciones de
procesos, etc.
138
· Disponer de un servidor virtual de remplazo
con todas las configuraciones realizadas.
·
Nombre del Servicio Medida de recuperación
Antivirus · Contar con un respaldo del instalador.
· Disponer de un archivo con las
actualizaciones de las bases de datos del
antivirus.
Software Contable · Disponer de un respaldo del instalador y las
configuraciones pertinentes.
· Contar con manuales de instalación y
configuración del servidor y clientes.
· Tener un respaldo de las bases de datos,
tanto en un medio externo, como en línea.
Impresora · Escalar al proveedor solicitando el arreglo
inmediato del dispositivo.
Copiadora · Escalar al proveedor solicitando el arreglo
inmediato del dispositivo.
Fax · Escalar al proveedor solicitando el arreglo
inmediato del dispositivo.
Cableado Estructurado · Disponer del diagrama detallado de la red.
· Poseer suministros de respaldo como: Jacks,
ponchadora, cable CAT 5e.
Equipos de computación · Disponer de equipos de contingencia.
· Mantener actualizado el inventario y según el
mismo coordinar los equipos con
disponibilidad
Hardware de conectividad · Disponer de hardware de infraestructura de TI
extra.
Acceso remoto · Disponer de un inventario de direcciones IP
organizado y actualizado.
Disco duro de Back-up · Disponer de un disco duro aparte, y en un
lugar distinto al cuarto de equipos.
Tabla 3. 46 Medidas de recuperación de incidentes
En la tabla 3.47, se muestra un extracto de la tabla 3.31: Requerimientos de
disponibilidad y recuperación de los servicios, mediante la cual, obtenemos
información como: Tiempo de recuperación y responsable de la recuperación.
139
Nombre del
Servicio
Tiempo de
recuperación
Tipo de
Soporte
Responsable
Active Directory 1 hora Interno Alejandro Velasco
Internet 1 hora Interno –
Externo
Alejandro Velasco – Tv
Cable
Correo
electrónico
30 minutos Interno –
Externo
Alejandro Velasco
Microsoft Office 30 minutos Interno Alejandro Velasco
Outlook 30 minutos Interno Alejandro Velasco
Aura Portal 2 horas Interno –
Externo
Alejandro Velasco –
Marcelo Avilés
Antivirus 30 minutos Interno Alejandro Velasco
Software
Contable
20 minutos Interno -
Externo
Alejandro Velasco –
Soporte Dbware
Impresora 1 hora Interno –
Externo
Alejandro Velasco –
Soporte Ecuaprint
Copiadora 1 hora Interno –
Externo
Alejandro Velasco –
Soporte Ecuaprint
Fax 1 hora Interno Alejandro Velasco –
Soporte Ecuaprint
Cableado
Estructurado
2 horas Interno Alejandro Velasco
Equipos de
computación
3 horas Interno –
Externo
Alejandro Velasco
Hardware de
conectividad
1 hora Interno -
Externo
Alejandro Velasco
Acceso remoto 30 minutos Interno Alejandro Velasco
Disco duro de
Back-up
30 minutos Interno Alejandro Velasco
Tabla 3. 47 Servicios de Ti, tiempo de recuperación y responsables.
140
3.5.2 MÉTRICAS DE RECUPERACIÓN
Determinar los servicios sensibles de TI y el tiempo de recuperación los mismos.
A continuación en la Tabla 3.48 se muestran parámetros los cuales serán
evaluarán en función del tiempo.
Parámetro Especificación Tiempo
Tiempo de adquisición de un
servidor con similares
características al afectado.
Tiempo transcurrido, desde
que se solicita el servidor al
proveedor, hasta que el mismo
es entregado
3 días
Tiempo de instalación y
configuración de Aplicaciones en
Servidor.
Tiempo transcurrido, desde
que se inicializa la instalación
del Sistema Operativo en
servidor utilizado por Grupo
FARO, hasta la finalización y
comprobación de su correcto
funcionamiento
2 días
Tiempo de instalación y
configuración de software en
equipos de usuarios
Tiempo transcurrido, desde
que se recibe una notificación
de instalación hasta la
finalización y comprobación de
su correcto funcionamiento de
los sistemas operativos
descritos en la Tabla 2.4
5 horas
Tiempo de Instalación y
configuración de impresoras
Tiempo transcurrido, desde
que se recibe la impresora por
parte del proveedor, hasta que
está se encuentra instalada y
habilitada para todos los
usuarios de la organización
4 horas
Tiempo de instalación y
configuración del BPMS Aura
Portal
Tiempo transcurrido, desde
que se inicializan las
instalaciones, hasta que el
servicio se encuentra
levantado y probado.
2 días
Tiempo de Obtención de back-ups Tiempo transcurrido, desde
que se inicia con la obtención
de back-ups, hasta la
3 horas
141
finalización y comprobación de
la información respaldada en el
disco externo.
Tiempo para instalación y
configuración del Software
Contable
Tiempo transcurrido, desde
que se inicializan las
instalaciones del Software
Contable, hasta que el servicio
se encuentra activado y
probado.
3 horas
Tiempo para el diseño e
implementación de una red LAN
exclusiva para el Área
Administrativa
Tiempo transcurrido desde el
diseño de la red LAN, hasta la
implementación y pruebas de
la misma
5 días
Tiempo para la implementación de
Access Points extras.
Tiempo transcurrido, desde la
adquisición del Access point
hasta la instalación y pruebas
del mismo.
5 días
Tabla 3. 48 Métricas de recuperación.
3.5.3 RESPALDO O BACK-UP
A continuación se especifica un extracto del Anexo 5: GF-Política de Back-up.
3.5.3.1 Aspectos de las copias de seguridad.
Ámbito de aplicación.-El sistema del que se pretende realizar copias de
seguridad está formado por un servidor de aplicaciones (Aura Portal) y diversos
puestos de trabajo.
Tipo de Datos.- El tipo de datos de los cuales se realizará el back up serán los
documentos empleados por cada usuario.
Periodicidad
Las copias de respaldo se las realizará cada día, a las 13h00.
142
Elección del soporte para el backup
Las copias se van a realizar en tres soportes distintos:
· Disco duro Servidor particionado con RAID 1.
· Disco duro externo HP 500Gb.
· Backup remoto.
Los archivos serán respaldados cada día entre las 12h30 y las 13h00 en el disco
duro externo.
Método empleado
El método empleado será incremental y absoluto.
Ubicación final de las copias.
La ubicación final de los dispositivos de backup y alternativamente los medios de
almacenamiento debe realizarse en una zona alejada respecto de la sala de
equipamiento informático.
Responsables
Administrador de TI será el encargado de realizar las copias de seguridad así
como de llevar a cabo la comprobación de la integridad de los datos.
3.5.4 GESTIÓN DE SISTEMAS
En la sección 3.4.1.2 se especifican las herramientas usadas actualmente, y las
recomendadas a implementar en la organización, como por ejemplo.
· MAC Scanner.
· OCS Inventory
.
143
3.5.5 RESTAURACIÓN DEL SERVICIO
Para la restauración del servicio, se tomará en cuenta los datos especificados
anteriormente en la Tabla 3.31 Requerimientos de Disponibilidad y recuperación
de los servicios, y en la Tabla 3.48 Métricas de recuperación.
Se mantendrá el criterio de que para que un incidente sea cerrado, el servicio
debe ser instalado y se ha restablecido el funcionamiento normal de los procesos
del negocio.
Si la restauración del servicio se lo realiza por personal externo, se debe probar
mediante un checklist el correcto funcionamiento de los servicios restablecidos,
para que dicho personal pueda realizar las correcciones necesarias de ser el
caso.
Se realizará una prueba con interrupciones específicas a un servicio crítico,
obteniendo la información de la Tabla 3.22 - Mantenimiento preventivo y
correctivo de servidores.
Como podemos observar el siguiente extracto de la Tabla 3.22, se observa que la
suma de los impactos financiero y estratégico es de 14 (nivel alto).
Impacto
financiero
Impacto Operacional
Falta de
confiabilidad
operacional
Satisfacción a
los usuarios
Eficacia
del
servicio
SUMA
Mantenimiento preventivo y correctivo de Servidores.
3 4 3 4 14
Además, obtenemos información de la Tabla 3.31 Requerimientos de
Disponibilidad y recuperación de los servicios, mediante la cual tenemos
información clara para este servicio crítico de:
144
Tiempo de recuperación : 3 horas
Tipo de soporte : Interno y Externo
Responsable : Alejandro Velasco
Nombre del Servicio
Disponibilidad Tiempo de recuperación
Tipo de Soporte
Utilidad Mantenimiento Responsable
Equipos de computación
24/7 3 horas Interno – Externo
Media Semanal Alejandro Velasco
A continuación se muestra un extracto de la Tabla 3.29: MTD, RTO y WRT por
proceso de Negocio. Observamos que por ejemplo las herramientas que usamos
para realizar el mantenimiento son Excel, Impresora e Internet Inalámbrico, y
tenemos un tiempo de 1 a 4 horas, para tenerlo operativo nuevamente.
PROCESOS MTD SERVICIOS DE
TI
RTO WRT
Mantenimiento preventivo y
correctivo de Servidores.
De 1 a 4
horas
Excel 1 hora 30 min
Impresora 30 min -
Internet
Inalámbrico 1 h y 30 -
El Mantenimiento preventivo y correctivo de los servidores, se lo realiza
principalmente para mantener el Servicio de Internet Activo, debido a esto, se
puede observar en la Figura 3.2 Análisis del Árbol de Fallos del Internet fuera de
servicio, los procedimientos de soporte in situm a seguir.
145
Mediante el Análisis del Árbol de fallos, la persona encargada del soporte en la
organización puede basarse en el mismo para reducir los tiempos de respuesta
ante un incidente, en este caso, se procederá a revisar:
a) Fallo de hardware de conectividad interno.
a. Fallo en el Switch, (SW1)
b. Fallo en el Access Point, (AP1) ó (AP2)
b) Fallo por parte del ISP.
a. Mantenimiento de enlaces, (C1 , C15, C2, C3, C4, C16, C5, C6,
C17)
b. Fallo modem, (M1)
c) Pérdida de Energía.
a. Corte de energía eléctrica, (Suministro eléctrico)
A continuación se muestra un extracto de la Tabla 3.38 Matriz de la configuración
del Análisis del Impacto de Fallo de un componente de Grupo FARO, en la cual
podemos observar los componentes antes mencionados y el grado de impacto de
los mismos.
146
Al tener claramente definidos los elementos de configuración, y el impacto hacia
el proceso, se deben tomar en cuenta los backups del elemento de configuración
a llevar, por ejemplo.
SWI1 : Se tiene un respaldo alternativo, no inmediato
AP1 : Se tiene un respaldo alternativo no inmediato
AP2 : La falla de este elemento, provocará inoperatividad del servicio.
M1 : La falla de este elemento, provocará inoperatividad del servicio.
Suministro eléctrico : La falla de este elemento, provocará
inoperatividad del servicio.
CI Mantenimiento preventivo
y correctivo de Servidores.
Suministro eléctrico X
UPS1 B
C1 X
M1 X
C15 A
R1 X
C2 A
SRV4 X
SRV1 X
SRV2 X
SRV3 X
SWI1 B
C16 A
C5 A
AP1 B
C6 X
AP2 X
C17 X
I3 B
SW2 X
SW3 A
147
SW4 A
SW5 A
SW6 A
SW9 X
SW10 X
SW11 X
En la Tabla 3.46, medidas de recuperación de incidentes, podemos disponer de
las mismas para este caso:
Internet
· Disponer de dispositivos de internet portables para las áreas críticas del
negocio.
· Cambio del dispositivo entregado por el proveedor.
· Definir las vías de contacto directo con los proveedores (teléfono
convencional, teléfono celular, correo electrónico).
Se puede contactar al proveedor mediante:
a) Formulario de contacto, ingresando a la siguiente dirección electrónica:
http://www.grupotvcable.com.ec/grupo/contacto_corporativo
b) Teléfono convencional : 6004111
Para la atención como cliente corporativo, debemos presentar el RUC
de la empresa: 1791975081001.
Cableado Estructurado
· Disponer del diagrama detallado de la red.
· Poseer suministros de respaldo como: Jacks, ponchadora, cable CAT 5e.
Back up o respaldo
Si mientras ocurre el incidente, tenemos información que necesitamos recuperar,
nos debemos guiar en la sección 3.5.3 de este documento: Respaldo o Back-up.
En este caso las medidas de recuperación serían:
a) Verificar información en el Servidor de Archivos.
b) Verificar información en el Disco Duro Externo de la organización.
c) Verificar información en el respaldo on-line.
148
3.6 CONSIDERACIONES DE SEGURIDAD
Para las consideraciones de seguridad, se han establecido los siguientes
parámetros los cuales han sido un extracto de las consideraciones de seguridad
presentes en el Estándar Internacional ISO/IEC 17799.
A continuación se presenta un extracto del Anexo 6: GF-Política de Seguridad.
3.6.1 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS
· Toda adquisición de tecnología informática se efectuará a través del
personal de la Administración de Informática.
· La adquisición de Bienes de Informática en GRUPO FARO, quedará sujeta
a los lineamientos establecidos en este documento.
3.6.1.1 Capacidades
Se deberá analizar si satisface la demanda actual con un margen de holgura y
capacidad de crecimiento para soportar la carga de trabajo del área.
Para la adquisición de Hardware se observará lo siguiente:
· Los equipos complementarios deberán tener una garantía mínima de un
año y deberán contar con el servicio técnico correspondiente en el país.
· La marca de los equipos o componentes deberá contar con presencia y
permanencia demostrada en el mercado nacional e internacional, así como
con asistencia técnica y refaccionaria local. Tratándose de
microcomputadores, a fin de mantener actualizada la arquitectura
informática de GRUPO FARO.
· Los dispositivos de almacenamiento, así como las interfaces de
entrada / salida, deberán estar acordes con la tecnología de punta vigente,
tanto en velocidad de transferencia de datos, como en procesamiento.
149
Las impresoras deberán apegarse a los estándares de Hardware y Software
vigentes en el mercado y en GRUPO FARO, corroborando que los suministros
(cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a
un solo proveedor.
3.6.2 GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO
La instalación del equipo de cómputo, quedará sujeta a los siguientes
lineamientos:
· Los equipos para uso interno se instalarán en lugares adecuados,
lejos de polvo y tráfico de personas.
· La Administración de Informática, así como las áreas operativas
deberán contar con un croquis actualizado de las instalaciones eléctricas
y de comunicaciones del equipo de cómputo en red.
3.6.2.1 Seguridad de la información.
La información almacenada en medios magnéticos se deberá inventariar,
anexando la descripción y las especificaciones de la misma, clasificándola en dos
categorías:
· Información de interés de la organización.
· Información de interés exclusivo de alguna área en particular.
En caso de información vital para el funcionamiento del área, se deberán tener
procesos colaborativos, así como tener el respaldo diario de las modificaciones
efectuadas, rotando los dispositivos de respaldo y guardando respaldos
históricos semanalmente.
3.6.2.2 Gestión interna de soporte
Es obligación de la Administración de Informática vigilar que el equipo de cómputo
se use bajo las condiciones especificadas por el proveedor y de acuerdo a las
funciones del área a la que se asigne.
150
Se establecen los siguientes lineamientos:
· Mantener claves de acceso que permitan el uso solamente al personal
autorizado para ello.
· Verificar la información que provenga de fuentes externas a fin de
corroborar que esté libre de cualquier agente contaminante o perjudicial
para el funcionamiento de los equipos.
3.6.3 PLAN DE CONTINGENCIAS INFORMÁTICAS
La Administración de Informática creará para los departamentos un plan de
contingencias informáticas que incluya al menos los siguientes puntos:
· Continuar con la operación del área con procedimientos informáticos
alternos.
· Tener los respaldos de información en un lugar seguro, fuera del lugar en
el que se encuentran los equipos.
· Contar con un instructivo de operación para la detección de posibles
fallas, para que toda acción correctiva se efectúe con la mínima
degradación posible de los datos.
3.6.3.1 Estratégias Informáticas
La estrategia informática de GRUPO FARO está orientada hacia los siguientes
puntos:
· Estandarización de hardware, software base, utilitarios y estructuras de
datos.
· Manejo de proyectos conjuntos con las diferentes áreas.
3.6.4 SEGURIDAD FÍSICA Y DE ENTORNO
Sólo al personal autorizado le está permitido el acceso a las instalaciones donde
se almacena la información confidencial de GRUPO FARO.
151
Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en
las instalaciones donde se almacena la información confidencial, y durante un
período de tiempo justificado.
3.6.4.1 Identificadores de usuario y contraseñas
· Todos los usuarios con acceso a un sistema de información o a una
red informática, dispondrán de una única autorización de acceso
compuesta de identificador de usuario y contraseña.
· Ningún usuario recibirá un identificador de acceso a la Red de
Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no
acepte formalmente la Política de Seguridad vigente.
3.6.5 QUEDA PROHIBIDO
· El uso de estos recursos para actividades no relacionadas con el
propósito del negocio, o bien con la extralimitación en su uso.
· Introducir en los Sistemas de Información o la Red Corporativa contenidos
obscenos, amenazadores, inmorales u ofensivos.
3.6.5.1 Software
Todo el personal que accede a los Sistemas de Información de GRUPO FARO
debe utilizar únicamente las versiones de software facilitadas y siguiendo sus
normas de utilización.
3.6.5.2 Recursos de red
De forma rigurosa, ninguna persona debe:
· Conectar a ninguno de los Recursos, ningún tipo de equipo de
comunicaciones (Ej. módem) que posibilite la conexión a la Red
Corporativa.
· Conectarse a la Red Corporativa a través de otros medios que no sean los
definidos.
152
3.6.5.3 Conectividad a internet
La autorización de acceso a Internet se concede exclusivamente para
actividades de trabajo. Todos los colaboradores de GRUPO FARO tienen las
mismas responsabilidades en cuanto al uso de Internet.
El acceso a Internet se restringe exclusivamente a través de la Red establecida
para ello, es decir, por medio del sistema de seguridad con cortafuegos
incorporado en la misma.
3.6.6 ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD
Debido a la propia evolución de la tecnología y las amenazas de seguridad, y a
las nuevas aportaciones legales en la materia, GRUPO FARO se reserva el
derecho a modificar esta Política cuando sea necesario. Los cambios realizados
en esta Política serán divulgados a todos los colaboradores de GRUPO FARO.
3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD
INFORMÁTICA.
Los beneficios de un sistema de seguridad con políticas claramente concebidas
bien elaboradas son inmediatos, ya que GRUPO FARO trabajará sobre una
plataforma confiable, que se refleja en los siguientes puntos:
· Aumento de la productividad.
· Aumento de la motivación del personal.
· Compromiso con la misión de la compañía.
· Mejora de las relaciones laborales.
· Ayuda a formar equipos competentes.
3.7 MANTENIMIENTO DEL PLAN
Entre las consideraciones del Mantenimiento del plan tenemos las siguientes:
· Periodicidad y responsabilidad.
· Monitoreo de la gestión de disponibilidad.
153
· Actualización de requisitos de disponibilidad.
· Métodos y técnicas usados para la gestión de disponibilidad.
3.7.1 PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS
3.7.1.1 Periodicidad
La periodicidad se basa en los siguientes eventos
· Cada vez que se implemente un nuevo servicio.
· Cambios en procesos del negocio.
· Posterior a un incidente.
· Cada cuatro meses.
3.7.1.2 Responsabilidad
Administrador de Tecnologías de Información de Grupo FARO.
3.7.1.3 Involucrados
Administrador de Tecnologías de Información, Subdirección General.
3.7.2 MONITOREO Y GESTIÓN DE DISPONIBILIDAD
Se recomienda optimizar el uso de las herramientas ya existentes:
· MAC Scanner.
· Iptools.
· Nagios.
Además de implementar otras herramientas gratuitas para el monitoreo de Red
como:
· “OCS Inventory.- Open Computers and Software Inventory Next Generation
es una solución de gestión técnica de los activos de TI.”50
50http://www.ocsinventory-ng.org/en/
154
· “OTRS.- Es la suite de código abierto líder en innovación de servicios, que
incluye Help Desk, una solución para la gestión de servicios de IT (ITSM)
compatible con ITIL®, así como la plataforma tecnológica de soporte.”51
3.7.3 ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD
Si se desean actualizar los requisitos de disponibilidad, se deben tomar en
cuenta:
Incidentes
· Fallos en la recuperación del servicio.
· Aumento o disminución de elementos de configuración del servicio los
cuales son cualquier componente que necesite ser gestionado con el
objeto de proveer un Servicio de TI.
· Cambio en los procedimientos utilizados para la gestión de incidentes.
Infraestructura
La elaborar de la infraestructura debe ser elaborado acorde a los objetivos del
negocio, priorizando los procesos que si se interrumpen dejarían gran cantidad de
pérdidas a la organización.
Riesgos
En el Análisis de Riesgos, se deben identificar y valorar las amenazas y
vulnerabilidades de los nuevos servicios acorde a lo indicado.
Recuperación
En el diseño de la recuperación se deben garantizar los procesos necesarios para
la recuperación de los servicios y la puesta en marcha de las operaciones con
normalidad lo más pronto posible, en caso del fallo de los mismos.
51http://www.otrs.com/es/
155
Seguridad
En las consideraciones de seguridad, se deben realizar cambios a las políticas,
una vez que se den cambios en las regulaciones del negocio.
3.7.4 MÉTODOS Y TÉCNICAS
Los métodos a implementarse serán los siguientes:
· CFIA.
· FTA.
156
CAPÍTULO 4
CONCLUSIONES Y RECOMENDACIONES
La elaboración del plan de disponibilidad para la ONG Grupo FARO, ha dado
como resultado las siguientes conclusiones y recomendaciones.
4.1 CONCLUSIONES
· Es de suma importancia interactuar personalmente con los usuarios para la
realización del levantamiento de las actividades y las herramientas de TI
utilizadas, además de la explicación de los criterios acerca de los impactos
tanto financieros como operacionales.
· Los datos de requerimientos de disponibilidad se han obtenido, gracias al
trabajo de un año en la administración de las tecnologías de información en
Grupo FARO, en un trabajo conjunto entre el departamento de TI,
Subdirección y Dirección Administrativa-Financiera.
· La reducción de riesgo, es la opción de control de riesgos más empleada
debido a la naturaleza de las amenazas de Tecnologías de Información.
· La reducción del impacto que tendrían las vulnerabilidades en la
organización se produce, debido a que con el conocimiento acerca de las
opciones de control de riesgo, se pueden tomar decisiones claras y
oportunas para la reducción del impacto.
· Dentro de las diferentes técnicas del análisis de puntos individuales de
fallos, se puede verificar que la energía eléctrica y la conectividad son
Elementos de Configuración.
· El levantamiento de información de todos los elementos de configuración
157
de la organización es un indicador esencial para la propuesta de mejoras
de la infraestructura, debido a que con estos datos se tiene una visión real
del inventario de los activos de TI y sus características.
· El impacto en la falla de cualquier Elemento de Configuración (CI),
administrado por el Área de Tecnologías de la información, afectará
directamente a los procesos del negocio y por ende a las actividades de los
usuarios de la organización.
· Por medio del plan de disponibilidad se ha podido identificar los procesos
más relevantes que afecten a los objetivos de la organización y poder
ejecutar las acciones más efectivas en lo que se refiere a respaldar la
información y retomar las actividades.
4.2 RECOMENDACIONES
· La Gestión de Disponibilidad debe implementarse con una clara etapa de
socialización a los usuarios de la red de comunicaciones, debido a que es
una tarea conjunta con el área de Tecnologías e Información.
· Se debe concientizar a los usuarios de la Red de Comunicaciones acerca
de los impactos financieros como operativos causados por la falta de
disponibilidad, y como la colaboración de cada uno de los usuarios puede
aportar a lograr los objetivos del negocio.
· Se recomienda relacionar la gestión de disponibilidad con los diferentes
disciplinas de Gestión de Tecnologías de Información acordes a la
organización tales como:
· Gestión de continuidad del Servicio.
· Gestión de nivel de Servicio.
158
· Se recomienda tomar en cuenta los controles de riesgo especificados en el
Plan de Disponibilidad para así disminuir el tiempo de ejecución del servicio
ante una amenaza.
· Se recomienda el uso de las herramientas de monitoreo indicadas, para
conocer el estado de la infraestructura como dato importante en caso que
ocurra un incidente.
· Se recomienda, la revisión y actualización del presente plan de
disponibilidad, cada vez que un equipo ingresa al parque tecnológico de
Grupo FARO, o a su vez, si se implementan nuevas aplicaciones que sean
utilizadas por los usuarios de la red.
· Se recomienda, en base a los datos obtenidos en el presente plan,
disponer de un respaldo tanto de hardware como de software, para
incrementar el tiempo de recuperación de equipos y aplicaciones.
· Se recomienda el uso del presente documento, para lo solución rápida y
oportuna de los incidentes presentados en la organización, para lo cual se
puede tomar referencia el subcapítulo 3.5 Restauración del servicio, donde
se ha tomado un ejemplo práctico acerca de los lineamientos a seguir en
caso de la presencia de un incidente.
159
BIBLIOGRAFÍA
Artículos y direcciones electrónicas.
[1] http://www.itescam.edu.mx/principal/sylabus/fpdb/recursos/r21988.PDF
[2] http://www.rediris.es/difusion/eventos/foros-
seguridad/fs2012/archivo/analisis_riesgos_upct.pdf
[3] http://es.scribd.com/doc/52679391/Analisis-de-Arboles-de-Falla-FTA
[4] http://www.itsmsolutions.com/newsletters/DITYvol1iss5.htm
[5] http://www.nhbarcelona.com/area-
cliente/ejercicios/presentacion_configuracion_itil_servicios_ti.pdf
[6] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf
[7] http://www.sisteseg.com/files/Microsoft_Word_METODOLOGIA_PLAN_RE
CUPERACION_ANTE_DESASTRES_DRP.pdf
[8] http://wikidrp.wikispaces.com/file/view/ANTEPROYECTO_V6%5B1%5D.pdf
[9] http://www.dspace.espol.edu.ec/bitstream/123456789/10384/1/D-42408.pdf
[10] http://bibdigital.epn.edu.ec/bitstream/15000/952/1/CD-1411.pdf
[11] http://www.acis.org.co/fileadmin/Base_de_Conocimiento/X_JornadaSegu
ridad/ConferenciaDougglasHurtado.pdf
[12] http://www.sisteseg.com/files/Microsoft_PowerPoint_PLANES_DE_CON
TINUIDAD_NEGOCIO_V_3.0.pdf
[13] http://www.sisteseg.com/files/Microsoft_Word_BIA_BUSINESS_IMPACT
_ANALYSIS.pdf
[14] http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
[15] http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponi
bilidad/vision_general_gestion_de_la_disponibilidad/vision_general_gestion_
de_la_disponibilidad.php
[16] http://www.seriosoft.com/Blog-espagnol/?p=10&page=2
[17] http://www.cpciba.org.ar/archivos/adjuntos/seguridad.pdf
160
Libros
[18] G. Andrade, “Gerencia de Servicios para procesos de Tecnología”, Quito,
2012.
[19] Office of Government Commerce (OGC), “ITIL la Llave para la
Gestión de los Servicios TI. Mejores Prácticas para la Provisión del
Servicio versión 3”, EEUU, 2007.
[20] J. Jiménez, “ITIL® V3 Glosario, v2.1”, EEUU, 2009.
[21] V.J Bon y A. Koltho, “Fundamentos de la Gestión de Servicios de TI:
Basada en ITIL, Volumen 3”, EEUU, 2009.
Tesis
[22] RAMÍREZ Giovanny, “Desarrollo de un sistema para la gestión de
cambios en la infraestructura de TI, aplicado a un caso de estudio”, Febrero
2008.
[23] BAÑOS Eduardo, CARRERA Pamela, “Elaboración del plan de
disponibilidad de ti para la Empresa Reliance”, Septiembre 2010.
[24] LEIVA Ana Lucia, “Desarrollo del plan de continuidad del negocio para el
departamento de TI de una empresa farmacéutica”, Febrero 2008.
161
ANEXOS
· Anexo 1: GF-Formato Encuesta ON-LINE.
· Anexo 2: GF-Formato encuesta Funciones e Impactos financiero y
operacional.
· Anexo 3: GF-Análisis por Árboles de Fallo.
· Anexo 4: GF-Evaluación de Riesgos.
· Anexo 5: GF-Política de Back-up.
· Anexo 6: GF-Política de Seguridad.
· Anexo 7: GF-Tabulación encuestas Grupo FARO.
· Anexo 8: GF-Tabulación encuestas on-line.
· Anexo 9: GF-Documento de satisfacción Grupo FARO.