trabajo de grado integraciÓn de la estrategia de … · 2020. 9. 1. · 3.2.3. cascada de metas...

1

TRABAJO DE GRADO

INTEGRACIÓN DE LA ESTRATEGIA DE PROTECCIÓN DE ACTIVOS DE INFORMACIÓN AL PLAN DE RECUPERACIÓN DE DESASTRES DE UNA CASA

DE SOFTWARE BAJO LA NORMA GTC-ISO/TS 22317:2015

WILSON CASTILLO TORRES

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C, MAYO 2020

2

TRABAJO DE GRADO

INTEGRACIÓN DE LA ESTRATEGIA DE PROTECCIÓN DE ACTIVOS DE INFORMACIÓN AL PLAN DE RECUPERACIÓN DE DESASTRES DE UNA CASA

DE SOFTWARE BAJO LA NORMA GTC-ISO/TS 22317:2015

WILSON CASTILLO TORRES

Trabajo de grado presentado para optar al título de Especialista en Seguridad de la Información

Docente: Ing. ALFONSO LUQUE ROMERO

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

BOGOTA D.C

2020

3

Nota de aceptación

______________________________________

______________________________________

______________________________________

Presidente del Jurado

______________________________________

Jurado

______________________________________

Jurado

______________________________________

5

DEDICATORIA

Dedico este gran esfuerzo a todos los especialistas en seguridad de la información que día a día ponen sus conocimientos al servicio de la mejora continua y al desarrollo de las organizaciones, con un sentido abrazo para todos y cada uno que fueron amigos y maestros en esta nueva etapa de mi formación y de mi vida.

Ing. Wilson Castillo Torres. Universidad Distrital Francisco José de Caldas Especialista en Auditoria de Sistemas de Información Universidad Católica de Colombia

AGRADECIMIENTOS

Agradezco al todopoderoso por sus bendiciones en mí, también agradezco a mi madre y mis hermanas por sus enseñanzas y su confianza y a mi padre por su sentido de trabajo, a mi asesor, el Ing. Alfonso Luque, por sus sabios consejos y revisiones, al ingeniero Diego Osorio por ser una escalera para el camino de esta idea, Al ingeniero Jhon Fredy Cardona por sus recomendaciones y el apoyo a un miembro de su equipo en apuros, a los amigos de mis días que siempre permanecen allí y a mi esposa por caminar de la mano y a mi lado en este rumbo y en esta vida.

Ing. Wilson Castillo Torres. Universidad Distrital Francisco José de Caldas Especialista en Auditoria de Sistemas de Información Universidad Católica de Colombia

6

TABLA DE CONTENIDO

1. Introducción 12

2. Generalidades 14

2.1. Línea de Investigación 14

2.2. Planteamiento del Problema 14

2.2.1. Antecedentes del problema 15

2.2.2. Pregunta de investigación 16

2.2.3. Variables del problema 16

2.3. Justificación 16

2.4. Objetivos 18

2.4.1. Objetivo general 18

2.4.2. Objetivos específicos 18

3. Marcos de referencia 18

3.1. Marco conceptual 18

3.2. Marco teórico 20

3.2.1. Componentes del Ciclo PHVA 20

3.2.2. GTC-ISO/TS 22317 22

3.2.3. Cascada de Metas COBIT v5 23

3.2.4. Clasificación de Activos de Información según la Guía 5 para la Gestión de Activos de Información 26

3.3. Marco jurídico 29

3.4. Estado del arte 30

4. Metodología 32

4.1. Fases del trabajo de grado 32

4.2. Instrumentos o herramientas utilizadas 34

4.3. Población y Muestra 34

4.3.1. Población 34

4.3.2. Segmento de la Población 34

4.3.3. Muestra 35

4.4. Alcances y limitaciones 36

4.4.1. Alcance 36

4.4.2. Limitaciones 36

7

5. Desarrollo de la propuesta 36

5.1. Fase 1: Levantamiento de información 37

5.1.1. Historia 38

5.1.2. Organigrama Casa de Software 38

5.1.3. Análisis de los Procesos de la unidad 38

5.2. Fase 2: Análisis y organización del levantamiento de información 40

5.2.1. Recopilación de información a través de encuestas 44

5.2.2. Verificación frente a plan de continuidad de la casa de software 48

5.2.3. Adaptación de Cascada de metas de COBIT para priorización de procesos 48

5.2.3.1. Establecimiento de la cascada de metas 50

5.2.3.2. Matriz Procesos Validados vs Metas Corporativas 52

5.2.3.3. Matriz entre las metas corporativas y las preguntas del gobierno y gestión 53

5.3. Fase 3: Diagnóstico y planteamiento de estrategias de protección 56

5.3.1. Clasificación de Activos de información 57

5.3.2. Valoración de Riesgos identificados hacia los activos 58

5.4. Fase 4: Generación de propuesta y comunicación de los resultados 59

5.4.1. Escenarios de Desastre 59

5.4.2. Procesos Críticos con RTO y RPO 60

5.4.3. Información de recursos necesarios en la estrategia de protección 61

5.4.4. Operación alterna en caso de contingencia 65

5.4.5. Clientes en operación mínima en caso de contingencia 69

5.4.6. Procedimientos antes del incidente 70

5.4.7. Procedimientos durante el incidente 71

5.4.8. Procedimientos después del incidente 73

5.4.9. Proveedores operación crítica 75

5.4.10. Personal operación crítica 76

6. Productos a entregar 79

7. Entrega de Resultados e impactos 79

7.1. Entrega de Resultados e impactos fase 1 79

7.2. Entrega de Resultados e impactos fase 2 79

7.2.1. Totalización procesos habilitadores relacionados con procesos críticos 91

8

7.3. Entrega de resultados e impactos fase 3 92

7.3.1. Clasificación de Activos de información con mayor relevancia para la elaboración de la estrategia conforme a Guía 5 (MinTIC) 92

7.3.2. Resultado de Valoración de Riesgos identificados hacia los activos con nivel de riesgo alto y extremo 93

7.4. Entrega de resultados e impactos fase 4 96

8. Nuevas áreas de estudio 97

9. Conclusiones 97

10. Bibliografía 98

11. Anexos 102

9

LISTA DE FIGURAS

Pág.

FIGURA 1. EL CICLO PHVA Y LA ISO 22301 ............................................................................................................... 21 FIGURA 2. CASCADA DE METAS COBIT V5 .................................................................................................................. 25 FIGURA 3. FASES DEL PROYECTO................................................................................................................................ 33 FIGURA 4. DESARROLLO DE LA PROPUESTA. ................................................................................................................. 37 FIGURA 5. ORGANIGRAMA CASA DE SOFTWARE ............................................................................................................ 38 FIGURA 6. MAPA DE PROCESOS CASA DE SOFTWARE ..................................................................................................... 39 FIGURA 7. RELACIONES EN EL ANÁLISIS DE IMPACTO EN EL NEGOCIO ................................................................................. 43 FIGURA 8. CASCADA DE METAS CASA DE SOFTWARE. .................................................................................................... 51 FIGURA 9. PROCESO DE ANÁLISIS DE IMPACTO EN EL NEGOCIO ........................................................................................ 56 FIGURA 10. ¿CONOCE USTED LOS PROCESOS QUE RIGEN LAS LABORES QUE SE REALIZAN EN LA UEN SALUD? ........................... 80 FIGURA 11. DENTRO DE SU EXPERIENCIA ¿CUÁLES DE ESTOS PROCESOS PUEDEN CONSIDERARSE COMO CRÍTICOS PARA EL

FUNCIONAMIENTO DE LA UEN SALUD? (LAS 3 OPCIONES MÁS IMPORTANTES) ................................................................... 80 FIGURA 12. ¿CUÁLES DE ESTOS PROCESOS APOYAN A SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS IMPORTANTES) ................. 81 FIGURA 13. ¿CONOCE USTED LAS ÁREAS QUE DEBEN EJECUTAR PROCESOS DE APOYO A SU ÁREA DE GESTIÓN? .......................... 81 FIGURA 14. ¿CONOCE USTED LOS SERVICIOS QUE SE PRESTAN DESDE SU ÁREA DE GESTIÓN? ................................................. 82 FIGURA 15. ¿CUÁLES DE ESTOS SERVICIOS SE RELACIONAN DIRECTAMENTE CON SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS

IMPORTANTES) ...................................................................................................................................................... 82 FIGURA 16. ¿CUÁLES DE ESTOS SERVICIOS APOYAN A SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS IMPORTANTES) .................. 83 FIGURA 17. ¿CONOCE USTED LAS ÁREAS QUE DEBEN EJECUTAR LOS SERVICIOS A SU ÁREA DE GESTIÓN? .................................. 83 FIGURA 18. ¿CUÁLES DE ESTOS PRODUCTOS SE RELACIONAN DIRECTAMENTE CON SU ÁREA DE GESTIÓN? (LAS 3 OPCIONES MÁS

IMPORTANTES) ...................................................................................................................................................... 84 FIGURA 19. ¿CONOCE QUE COMPONENTES HACEN PARTE DE LOS PRODUCTOS A LOS CUALES SU ÁREA REALIZA GESTIÓN? ........... 84 FIGURA 20. ¿DE LOS COMPONENTES AQUÍ LISTADOS SELECCIONE LOS QUE APLIQUEN AL PRODUCTO 1? (LAS 3 OPCIONES MÁS

IMPORTANTES) ...................................................................................................................................................... 85 FIGURA 21. ¿DE LOS COMPONENTES AQUÍ LISTADOS SELECCIONES LOS QUE APLIQUEN AL PRODUCTO 2? (LAS 3 OPCIONES MÁS

IMPORTANTES) ...................................................................................................................................................... 85 FIGURA 22. ¿DE LOS COMPONENTES AQUÍ LISTADOS SELECCIONES LOS QUE APLIQUEN AL PRODUCTO 3? (LAS 3 OPCIONES MÁS

IMPORTANTES) ...................................................................................................................................................... 86 FIGURA 23. ¿CONOCE USTED COMO SE PROTEGEN LOS ARCHIVOS, DOCUMENTOS, DISEÑOS O PIEZAS DE CÓDIGO QUE GENERA SU

ÁREA DE GESTIÓN PARA EL DESARROLLO DEL PRODUCTO? ............................................................................................... 86 FIGURA 24. CONOCE LOS AMBIENTES LIGADOS A FABRICACIÓN Y PUESTA EN MARCHA DE PRODUCTOS GENERADOS EN EL ÁREA .... 87 FIGURA 25. DE LOS AMBIENTES SUGERIDOS ¿EN CUALES SE VE INVOLUCRADO EN DESARROLLO DE SUS FUNCIONES? (LAS 3

OPCIONES MÁS IMPORTANTES).................................................................................................................................. 87 FIGURA 26. DE LOS AMBIENTES SUGERIDOS ¿CUÁLES SON LOS AMBIENTES QUE DEBEN SER CLASIFICADOS Y PROTEGIDOS PARA EL

NORMAL FUNCIONAMIENTO DEL ÁREA? (LAS 3 OPCIONES MÁS IMPORTANTES) ................................................................... 88 FIGURA 27. ¿CONOCE USTED COMO SE PROTEGEN LOS AMBIENTES DE FABRICACIÓN EN LOS QUE TRABAJA SU ÁREA DE GESTIÓN? 88 FIGURA 28. ¿CONOCE USTED LOS CONTROLES DISPUESTOS POR EL ÁREA / ORGANIZACIÓN PARA LA PROTECCIÓN DE LOS ACTIVOS DE

INFORMACIÓN? ..................................................................................................................................................... 89 FIGURA 29. DENTRO DE LOS CONTROLES QUE USTED CONOCE / DESEA EN LA ORGANIZACIÓN ¿CUÁLES DE LAS SIGUIENTES OPCIONES

DEBEN INCLUIRSE? (LAS 3 OPCIONES MÁS IMPORTANTES) .............................................................................................. 89

10

LISTA DE TABLAS

Pág.

TABLA 1. ANÁLISIS DE IMPACTO EN EL NEGOCIO EN UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO CON BASE EN LA ISO

223301 .............................................................................................................................................................. 23 TABLA 2. OBJETIVOS DE LA EMPRESA DE COBIT V5 ...................................................................................................... 25 TABLA 3. OBJETIVOS DE LAS TI .................................................................................................................................. 26 TABLA 4. ESQUEMA DE CLASIFICACIÓN POR CONFIDENCIALIDAD. ..................................................................................... 27 TABLA 5. ESQUEMA DE CLASIFICACIÓN POR INTEGRIDAD ............................................................................................... 28 TABLA 6. ESQUEMA DE CLASIFICACIÓN POR DISPONIBILIDAD. ......................................................................................... 28 TABLA 7. TABLA DE PROCESOS .................................................................................................................................. 39 TABLA 8. TABLA DE PROCESOS Y ACTIVOS HALLADOS ..................................................................................................... 41 TABLA 9. PREGUNTAS DE LA ENTREVISTA .................................................................................................................... 44 TABLA 10. IDENTIFICACIÓN DE LA FUNCIÓN DEL NEGOCIO .............................................................................................. 48 TABLA 11. MATRIZ PROCESOS VALIDADOS VS METAS CORPORATIVAS .............................................................................. 52 TABLA 12. MATRIZ ENTRE LAS METAS CORPORATIVAS Y LAS PREGUNTAS DEL GOBIERNO Y GESTIÓN ...................................... 53 TABLA 13 .MUESTRA DE CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN CONFORME A GUÍA 5 (MINTIC) ................................ 57 TABLA 14. MUESTRA DE VALORACIÓN DE RIESGOS IDENTIFICADOS HACIA LOS ACTIVOS ........................................................ 58 TABLA 15. ESCENARIOS DE DESASTRES ....................................................................................................................... 59 TABLA 16. INFORMACIÓN DE PROCESOS CRÍTICOS CON TIEMPO OBJETIVO DE RECUPERACIÓN Y PUNTO DE RECUPERACIÓN OBJETIVO

........................................................................................................................................................................... 60 TABLA 17. RECURSOS NECESARIOS EN LA ESTRATEGIA DE PROTECCIÓN .............................................................................. 61 TABLA 18. OPERACIÓN ALTERNA EN CASO DE CONTINGENCIA .......................................................................................... 65 TABLA 19. CLIENTES EN OPERACIÓN MÍNIMA EN CASO DE CONTINGENCIA .......................................................................... 69 TABLA 20. PROCEDIMIENTOS ANTES DEL INCIDENTE ...................................................................................................... 70 TABLA 21. PROCEDIMIENTOS DURANTE EL INCIDENTE .................................................................................................... 71 TABLA 22. PROCEDIMIENTOS DESPUÉS DEL INCIDENTE ................................................................................................... 73 TABLA 23. PROVEEDORES OPERACIÓN CRITICA ............................................................................................................. 75 TABLA 24. PERSONA OPERACIÓN CRÍTICA .................................................................................................................... 76 TABLA 25. CONTRASTE PROCESOS PUBLICADOS Y PROCESOS EN PLAN DE CONTINUIDAD ...................................................... 90 TABLA 26. TOTALIZACIÓN HABILITADORES CRÍTICOS NECESARIOS PARA LA GENERACIÓN DE LA ESTRATEGIA ............................... 91 TABLA 27. MUESTRA DE ACTIVOS CON CLASIFICACIÓN ALTA .......................................................................................... 92 TABLA 28. RESULTADO DE VALORACIÓN DE RIESGOS IDENTIFICADOS HACIA LOS ACTIVOS CON NIVEL DE RIESGO ALTO Y EXTREMO . 93 TABLA 29. COMPONENTES DE PLANTEAMIENTO DE ESTRATEGIA ...................................................................................... 96

11

LISTA DE ANEXOS

Pág.

ANEXO A. TABLA MATRIZ ENTRE LAS METAS CORPORATIVAS Y LAS METAS RELACIONADAS CON TI ...................................... 102 ANEXO B. TABLA MATRIZ ENTRE LAS METAS DE TI Y LOS PROCESOS DE COBIT V5 ............................................................ 104 ANEXO C. TABLA MATRIZ PUNTOS DE DOLOR ............................................................................................................ 107 ANEXO D. TABLA MATRIZ DIAGNOSTICO DE LA GESTIÓN DE CONCIENCIA ........................................................................ 110 ANEXO E. TOTALIZACIÓN DE TOTALIZACIÓN PROCESOS HABILITADORES RELACIONADOS CON PROCESOS CRÍTICOS ................... 112 ANEXO F. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN CONFORME A GUÍA 5 (MINTIC) .................................................. 115 ANEXO G. VALORACIÓN DE RIESGOS IDENTIFICADOS HACIA LOS ACTIVOS ......................................................................... 119

12

1. INTRODUCCIÓN

Dentro del aseguramiento de la información hay que tomar en cuenta a la misma como un activo más en la organización, donde su alteración o pérdida puede acarrear efectos económicos y reputacionales que puede acabar con el “good will” de toda empresa, dentro del plan para proteger la operación de todo negocio existe el plan de recuperación de desastres como alternativa de protección de la información basándose en el valor real que esta tenga para las operaciones y en coherencia con el apetito de riesgo en la organización frente a incidentes en los que sus datos se encuentren involucrados.

Hoy día, la información no se protege y preserva sólo para que no sea dañada, sino por la importancia y el uso que ésta tiene en todos los ámbitos de la vida. El comercio internacional, las instituciones bancarias y todo tipo de empresas mantienen sus operaciones gracias a que la información fluye a través de todos sus departamentos y áreas. La información se utiliza en cualquier empresa para realizar cuatro tipos de actividades: planeación, dirección, organización y control, las cuales fueron definidas hace más de 100 años por el ingeniero francés Henry Fayol. Lo que significa que la información se preserva para llevar a cabo en forma óptima el proceso administrativo

dentro de cualquier organización, de cualquier tipo de actividad y cualquier tamaño1.

A nivel profesional, las organizaciones, sin importar su naturaleza, al igual que las personas, dependen de alguna manera de la tecnología de la información como una herramienta esencial para lograr sus objetivos de negocio o para poder desarrollar actividades en su vida cotidiana; al mismo tiempo, todos tienen que enfrentarse con una amplia gama de amenazas y vulnerabilidades asociadas a los entornos informáticos de hoy.

En una fábrica de software es muy frecuente el uso y desarrollo de piezas de información encaminadas a la producción de productos y servicios de Software que merecen toda protección en cuanto a su confidencialidad, integridad y disponibilidad dentro de los procesos de análisis, diseño, construcción e implementación de proyectos. Cada uno de los artefactos que se producen en este proceso se constituyen como activos de información que poseen propiedad material e intelectual y redundan en capital intangible de todo negocio de creación y gestión de programas informáticos.

Los riesgos de la información están presentes cuando confluyen dos elementos:

1 BACA, U. G. «Introducción a la seguridad informática» (2016). [En línea]. Available: http://ebookcentral.proquest.com Created from biblioucatolicasp on 2020-04-28 14:46:07.

http://ebookcentral.proquest.com/

13

amenazas y vulnerabilidades. Las cuales están íntimamente ligadas, y no puede haber ninguna consecuencia sin la presencia conjunta de éstas.

Para el desarrollo de lo anterior se propone en este estudio una identificación de los activos de la fábrica de software como parte de la implementación de un análisis de impacto del negocio de la norma GTC-ISO/TS 22317 con el fin de determinar la importancia de estos a través de la clasificación y reconocimiento del valor intangible de componentes de desarrollo, piezas de código, artefactos y entregables con el fin de realizar un estudio del riesgo como factor desequilibrante de la estabilidad de la operación y facilitar una serie de recomendaciones que puedan aplicarse para generar un plan de recuperación de desastres adecuado.

14

2. GENERALIDADES

2.1. LÍNEA DE INVESTIGACIÓN

La línea de investigación que se adopta en el presente proyecto es: “Software inteligente y convergencia tecnológica”.

2.2. PLANTEAMIENTO DEL PROBLEMA

Con el auge de las tecnologías y su aplicación en entornos corporativos todas las organizaciones han generado una serie de información, herramientas y procesos en los cuales el entorno tecnológico está directamente relacionado en la consecución de sus metas, mejoramiento de sus productos y servicios y garantías de la protección de la Información ya sea por propiedad intelectual o desarrollos nuevos, así como lo relacionado a procesos de apoyo en la organización.

Sin embargo, las organizaciones se enfrentan a una serie de eventos, incidentes o amenazas que pueden desarrollarse y afectar directamente la confidencialidad integridad y disponibilidad de la información y de sus elementos tecnológicos involucrados lo que puede llevar a una detención de sus procesos y una afectación en la prestación de su servicio.

Para el caso en particular, la fábrica de software cuenta con una serie de información ligada al desarrollo normal de soluciones enfocadas al sector salud donde puede generarse productos y servicios que puedan considerarse como activos intangibles (información de análisis, diseño, desarrollo, implementación y pruebas donde pueden encontrarse artefactos, piezas de código, entregables e instrumentos de prueba) que deben ser evaluados y valorados con el fin de establecer prioridades de protección permitan un funcionamiento adecuado de sus objetivos de negocio.

Dentro del mercado nacional, la generación de producto de productos de software cuenta con crecimiento importante para el mercado colombiano donde las fábricas de software toman datos asociados al Core de negocio de sus clientes, lo anterior, desde el desarrollo de soluciones que permitan un equilibrio entre el desarrollo de empleo y el cumplimiento de sus objetivos de la fábrica, convirtiéndose en un nicho de mercado en constante crecimiento.

15

El mercado colombiano de Software y Tecnologías de la Información es el cuarto más grande de Latinoamérica, entre los que se encuentran Brasil, México y Argentina. Durante los últimos 10 años en Colombia, el mercado de TI ha crecido a una tasa del 18%; el sector del software ha crecido un 19,1% y los servicios de TI han crecido un 15,4%. Según IDC, la industria ha duplicado sus ventas en los últimos 7 años y, en 2017, alcanzó los 9.500 millones de dólares, repartidos en: hardware (56,5%), servicios informáticos (32,2%), software (11,4%). Colombia presenta una fuerte y creciente demanda interna, siendo los sectores con mayor gasto en TI el sector industrial, el

gobierno, el sector financiero y el sector agrícola2. Razón por la cual las fábricas de software han tomado como umbral de crecimiento el número de clientes adquiridos y fidelizados o el número de ventas realizadas, obviando que el desarrollo de un producto deviene de una serie de elementos que fueron parte en el desarrollo de las soluciones que se lanzan al mercado y la falta o afectación de esto puede afectar el funcionamiento adecuado del negocio generando pérdidas para la organización de tipo reputacional, contractual o económico.

2.2.1. Antecedentes del problema

Según la guía número 5 de MinTIC guía para la gestión de activos de información “La identificación del inventario de activos de información, permite clasificar los activos a los que se les debe brindar mayor protección, pues identifica claramente sus características y rol al interior de un proceso.”3 donde cobra importancia el conocimiento que toda entidad tenga acerca de sus activos de información para realizar una correspondiente estrategia de protección de los mismos ya sea para su preservación o su recuperación.

En la fábrica se realizan productos de software que tiene al sector salud como su objetivo de desarrollo de negocio con el fin de ofrecer soluciones para administración de la historia clínica y demás actividades a desarrollar en los centros de salud según sea su nivel de atención, es aquí donde los elementos previamente mencionados se convierten en activos que pueden ser divulgados, modificados o borrados afectando la integridad de los mismos, revelando información confidencial y sensible para la organización.

2 Velneo, «El desarrollo de software de gestión en Colombia en 2019» (16 01 2019). [En línea]. Available:

https://velneo.es/el-desarrollo-de-software-de-gestion-en-colombia-en-2019/. [Ultimo Acceso: 26 03 2020] 3 Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), «Guía para la gestión de activos de información» (15 03 2016). Pág. 11. [En línea]. Available: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf. [Ultimo Acceso: 26 03 2020]

https://velneo.es/el-desarrollo-de-software-de-gestion-en-colombia-en-2019/

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

16

Como tal, la fábrica hace uso de lo anteriormente mencionado sin realizar clasificación alguna del valor que cada elemento tiene para el desarrollo de soluciones o para el cumplimiento de sus objetivos de negocio, como es el uso de licencias para la elaboración y compilación de programas; motores de base de datos donde se almacenan bases de datos de desarrollo, pruebas y demostraciones, infraestructura tecnológica donde se alojan los recursos para la elaboración de las soluciones, artefactos compilados e información documentada según los procesos de desarrollo limitándose al respaldo de esta y presentando una oportunidad de mejora que permita la elaboración de una estrategia definida para proteger lo citado.

2.2.2. Pregunta de investigación

¿Cómo la formulación de una estrategia de protección de activos de información en una casa de software fortalece la elaboración de un plan de recuperación de desastres (DRP) basada en la norma estándar GTC-ISO 22317?

2.2.3. Variables del problema

● El nivel de prioridad de protección de la información definido por la

organización. ● El análisis del riesgo inherente al que se encuentra expuesto un activo o

componente de información. ● La clasificación de información conforme al levantamiento y la importancia

objetiva determinada.

2.3. JUSTIFICACIÓN

Partiendo de la pregunta de investigación, frente al manejo y descubrimiento de los activos de información para una fábrica de software, se requiere realizar clasificación y valoración de sus activos de información a través de levantamiento de información, encuestas y revisión de sus procesos para valorar la condición de sus creaciones y material de proceso como activos de información, lo que puede redundar en beneficios reputacionales, de seguridad y cumplimiento y generar una estrategia de protección de la información que pueda ser considerada como crítica, de alto valor y definida dentro del esquema de los procesos de la organización Para realizar lo anterior, se hace indispensable realizar un levantamiento de la información con el fin de determinar los procesos y los posibles activos de

17

información que puedan definirse de los mismos, elaborando métodos de recopilación de información tales como encuestas y análisis documental que permita entrever al investigador acerca del conocimiento que los funcionarios tienen con relación a los activos que desarrollan y a los activos existentes, aplicando métodos de gestión y clasificación de la información como activos intangibles tomando como referencia la guía número 5 del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), contrastándola frente a la Norma GTC-ISO/TS 22317 frente al desarrollo de un análisis de impacto en el negocio, elaborado de estos procedimientos realizar una valoración de la información y de los riesgos que pueda tener Asociados donde, finalmente se permita plantear una estrategia de protección de los activos de información que pueda desarrollarse a través de un plan de recuperación de desastres.

De esta manera; se espera con el proyecto determinar, clasificar, valorar y visualizar los riesgos a los que están expuestos los activos de información; teniendo en cuenta los procesos e instrumentos que se encuentran involucrados en el desarrollo de las soluciones de historia clínica y demás productos asociados que ofrece, siendo consistentes con la legislación nacional, con la normativa institucional y con los procesos que se desarrollan. Se busca que el proyecto también sirva como insumo para preparar a la Unidad Estratégica de Negocio y a la Fábrica de Software en el desarrollo de un Plan de Recuperación de Desastres (DRP) que sea adecuado a las necesidades de la misma y a la implementación de instrumentos de clasificación del riesgo tales como el análisis de impacto en el negocio.

Finalmente el desarrollo del proyecto permitirá a la fábrica de software resguardar los activos de información analizada cumpliendo con la base angular de la seguridad de la información (confidencialidad, integridad y disponibilidad) ante cualquier incidente que pueda atentar contra lo clasificado, donde se establezca el valor de la misma y se realicen recomendaciones de recuperación encaminados a generar futuras políticas de gobierno de la información adecuados al valor de la misma, abriendo la oportunidad de generación de nuevos proyectos donde se busque la salvaguarda de los activos y una relación consistente entre el activo y la necesidad de la fábrica de software de proteger Toda información que optimicen el desarrollo de sus soluciones.

18

2.4. OBJETIVOS

2.4.1. Objetivo general

Establecer una estrategia de protección de activos de la información para una fábrica de software que complemente el desarrollo de un plan de recuperación de desastres, tomando como referencia la norma GTC-ISO/TS 22317.

2.4.2. Objetivos específicos

● Identificar los procesos de la organización en estudio por medio de la recopilación de información relacionada con los productos y servicios que se elaboran en la fábrica de software.

● Determinar los activos de información estableciendo la prioridad de los procesos críticos a través de la adaptación de la Cascada de Metas de COBIT v5.

● Realizar clasificación de la información y valoración del riesgo conforme a los procesos de la organización y a la aplicación de lo descrito en la norma GTC-ISO/TS 22317.

● Generar recomendaciones que permitan fortalecer el desarrollo de un plan de recuperación de desastres adecuado a la operación y objeto social de la organización.

3. MARCOS DE REFERENCIA

3.1. MARCO CONCEPTUAL

Con el objetivo de realizar una estrategia de protección que sea adecuada para el área de estudio se debe considerar la información que se genera y almacena en la misma, lo anterior con el fin de definir la información presentada como activo donde Activo “en relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización”. Todos los activos pueden entenderse sujetos a Trazabilidad como “cualidad que permite que

19

todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad”. Estos activos como todo elemento pueden tener vulnerabilidades entendiendo Vulnerabilidad como “debilidad de un activo o control que puede ser explotada por una o más amenazas”.4

Con el objetivo de realizar una evaluación de riesgos que sea adecuada para la empresa debemos considerar la información que se genera o almacena con el fin de definir el riesgo, entendiéndose como el “efecto de la incertidumbre sobre los objetivos”. y el apetito de riesgo como el “nivel y tipo de riesgo que la organización está dispuesta a asumir”5.

Para definir la priorización de los riesgos se puede realizar un análisis del impacto al negocio (BIA) definido como el proceso del análisis de actividades y el efecto que una interrupción del negocio podría tener sobre ellas, que se apoyan en el estudio de las actividades que generan un “conjunto de tareas realizadas por una organización (o en su nombre) que produce o apoya uno o más productos y servicios”, entendidos como “resultados beneficiosos proporcionados por una organización a sus clientes beneficiarios y partes interesadas, por ejemplo, artículos manufacturados, seguros de automóviles y servicio de enfermería para la comunidad”6.

La estrategia de protección de activos tiene como fin proporcionar bases para el desarrollo de un Plan de recuperación de desastres (DRP) el cual forma parte de un plan de continuidad del negocio (BCP) o plan de contingencia de procesos de negocio (BPCP)– el cual describe cómo enfrenta una organización posibles desastres, esto debe estar alineado con la continuidad de negocio que espera la organización para sus activos asumiéndolos como la “capacidad de la organización para continuar con |a entrega de productos o servicios a los niveles predefinidos aceptables después de un evento perjudicial”7. Por lo cual es importante tener en cuenta el análisis de impacto al negocio como un elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre, a diferencia de una

Evaluación de riesgos, “que se enfoca en cómo podría verse afectada una organización a través de la identificación, análisis y valoración de amenazas de

4 Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), «Guía para realizar el Análisis de

Impacto de Negocio BIA», (12 05 2015), pág. 6. [En línea]. Available: https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf. [Ultimo Acceso: 26 03 2020] 5 Icontec, «Norma Técnica Colombiana NTC 5722» de Sistemas de Gestión de Continuidad de Negocio _

Requisitos, Bogotá, Icontec, 2012, pág. 7 6 Icontec, «Norma Técnica Colombiana NTC 5722» de Sistemas de Gestión de Continuidad de Negocio _

Requisitos, Bogotá, Icontec, 2012, págs. 2,6 7 Icontec, «Norma Técnica Colombiana NTC 5722» de Sistemas de Gestión de Continuidad de Negocio _

Requisitos, Bogotá, Icontec, 2012, pág. 7

https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf

20

seguridad con base en su impacto sobre los activos críticos y la probabilidad de ocurrencia, el BIA es un proceso más especializado en la identificación de los tipos de impacto, orientado en conocer qué podría verse afectado y las consecuencias sobre los

procesos de negocio”8.

Por tanto, las bases para el desarrollo de la estrategia de protección mediante un plan de recuperación de desastres se alinean y pueden usarse en el desarrollo de un posterior Sistema de Gestión de Seguridad de la Información (SGSI) visto como un “conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión y de mejora continua”9.

3.2. MARCO TEÓRICO

3.2.1. Componentes del Ciclo PHVA

La norma ISO 22301 y el sistema que detalla sobre la gestión de continuidad del negocio, adapta el ciclo PHVA (planificar, hacer, verificar y actuar). Todo ello da lugar a la planificación, implantación, ejecución, monitorización, evaluación, conservación y mejora constante de la eficiencia del sistema de gestión. A través del Sistema de Gestión de la Continuidad del Negocio (SGCN), la norma ISO-22301, toma todos los componentes de las partes interesadas y los requerimientos para la gestión de la continuidad, que a través de ciertas actuaciones y procesos obtienen

soluciones de continuidad para hacer frente a las necesidades. Los elementos integrantes del modelo son: Planificación: fase que se da a conocer a través de las cláusulas 4, 5, 6 y 7. En este elemento o componente se consideran los principales requisitos dentro del contexto del liderazgo, planeamiento, organización o soporte. Hacer: fase del proceso integrada por la cláusula 8 (evaluación de riesgos, proyecto de control y operativo, métodos de continuidad y business impact análisis).

8 Eset, «Business Impact Analysis (BIA) y la importancia de priorizar procesos» (06 11 2014). [En línea].

Available: https://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/. [Último acceso: 22 10 2019]. 9 MinTIC, «Guía para realizar el Análisis de Impacto de Negocio BIA» (2015). pág. 6. [En línea]. Available: https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf. [Último acceso: 22 10 2019].

https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf

21

Verificar: fase integrada por la cláusula 9 (análisis y evaluación, auditoria y revisión, monitoreo y medición). Actuar: fase que abarca los requisitos de la cláusula 10 (no actuaciones y paciencias correctivas y mejora constante). Este modelo es esencial en la continuidad del negocio para el trabajo cotidiano porque mediante el, se logran los objetivos primordiales:

Actualización del certificado del Sistema de Gestión.

Identificación de posibles cambios en los procedimientos.

Establecimiento en los activos de información de nuevos niveles de riesgos.

Instauración de nuevas tecnologías10.

Figura 1. El ciclo PHVA y la ISO 22301

Fuente: https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf

La Figura 1 muestra la relación entre las cláusulas generales de la norma ISO 22301:2012 y el ciclo PHVA. La idea central de un Sistema de Gestión de Continuidad del Negocio (Business Continuity Management System, BCMS por sus siglas en inglés) es potenciar la capacidad de respuesta organizacional frente a eventos catastróficos que interrumpa la normal provisión de productos y servicios, mediante la implementación de planes de acción denominados Planes de Continuidad del Negocio (Business Continuity Plan, BCP por sus siglas en inglés), salvaguardando el bienestar personal en primer lugar, la rentabilidad económica, imagen, reputación y las actividades de creación de valor.

En virtud de lo antes expuesto, las organizaciones compiten por tener operativa su cadena de suministro, considerando todos los aspectos y recursos necesarios para evitar su paralización y en caso de ocurrir, lograr su oportuno restablecimiento11.

10 ISOTools, «ISO 22301 y su relación con el ciclo PHVA» (09 04 2014). [En línea]. Available:

https://www.isotools.com.co/iso-22301-y-su-relacion-con-el-ciclo-phva/. [Último acceso: 11 03 2020] 11 Revista Espacios, «Modelo de evaluación de gestión de Modelo de evaluación de gestión de norma ISO

22301:2012» (01 08 2017). [En línea]. Available: https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf. [Último acceso: 11 03 2020]

https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf

22

3.2.2. GTC-ISO/TS 22317

La Organización Internacional de Normalización (ISO) a través de la comisión para la redacción de las normas de seguridad, resiliencia y continuidad del negocio, ha publicado la norma ISO 22317 – Business Impact Analysis, la primera norma internacional enfocada únicamente a abordar la elaboración de un Plan de análisis de impacto en el negocio (BIA).

La nueva norma ISO / GTC 22317 supone un gran avance en el mundo de la continuidad del negocio, ofreciéndonos una receta fiable, así como los ingredientes para llevar a cabo de la forma más perfecta posible el análisis de impacto en el negocio (BIA), el Santo Grial para muchos en campo de la industria, y con buena razón, dada la complicación que resulta sumergirse en esta tarea para muchas empresas.

ISO 22317 es una especificación técnica, lo que significa que proporciona contenido técnico detallado sobre la forma de aplicar el proceso de BIA, pero no es auditable. Dicho de otra manera, las organizaciones no pueden certificar la norma ISO 22317.

La norma ISO 22317 debe ser utilizada como un documento independiente y/o complementario a las normas ISO 22301 o ISO 22313 que nos sirva de orientación sobre cómo llevar a cabo el proceso de BIA. ISO 22317 nos guía paso a paso a través del proceso de elaboración del BIA en sus tres secciones principales:

● Pre-requisitos ● Realización de la BIA ● Revisión y Seguimiento

El hilo conductor de esta guía se basa en que “El proceso BIA como análisis de las consecuencias de un incidente perjudicial en la organización. Este análisis nos da como resultado una justificación de los requisitos para la continuidad del negocio”. En otras palabras, nos justifica los requisitos necesarios para la continuidad y recuperación del negocio, así como de sus prioridades, objetivos y metas.

En términos prácticos, la guía nos ayuda a la vinculación de un registro de riesgos con la predicción de escenarios y elaboración de estrategias alineadas al BIA. Esto nos asegura que todo riesgo con alto potencial de impacto es considerado por el plan de continuidad del negocio.

Beneficios de la norma GTC - ISO/TS 22317 ● ISO 22317 nos proporciona una nueva y mejorada definición de BIA ● Ofrece una propuesta de valor para las organizaciones que luchan por ganar

credibilidad (buy-in). ● Identifica los requisitos previos para una organización antes de comenzar el BIA.

23

● Describe el proceso detallado de cómo llevar a cabo con eficacia el BIA. ● Propone los resultados del BIA (incluyendo los resultados de cada paso del BIA. ● Proporciona opciones para la recolección de información de los diferentes métodos,

junto con el análisis de ventajas y desventajas de cada método. ● Describe otros usos para los que las organizaciones pueden optar por utilizar la

BIA12.

Tabla 1. Análisis de impacto en el negocio en un sistema de gestión de continuidad de negocio con base en la ISO 223301

ISO 22317 ISO 22301

Introducción 0.3 Componentes del ciclo PHVA en la

presente norma

4.2 Contexto y alcance del programa BC 4. Contexto de la organización

4.3 Roles del programa BC 5.4 Roles organizacionales, responsabilidades

y autoridades 7.2 Competencia

4.4 Compromiso con el programa BC 5. Compromiso

4.5 Recursos del programa BC 7.1 Recursos

5. Realización del análisis de impacto en el

negocio

8.2 Análisis de impacto en el negocio y

evaluación de riesgos

5.8 Paso siguiente. SELECCIÓN DE LA

ESTRATEGIA DE CONTINUIDAD DE

NEGOCIO

8.3 Estrategia de continuidad de negocio

Fuente: Guía Técnica colombiana GTC - ISO/TS 22317 (pág. 19)

3.2.3. Cascada de Metas COBIT v5

Las empresas existen para crear valor para sus partes interesadas. En consecuencia, cualquier empresa—comercial o no — tendrá la creación de valor como objetivo de gobierno. La creación de valor significa obtener beneficios a un coste óptimo de recursos mientras se optimiza el riesgo. Los beneficios pueden tomar muchas formas, p. ej., financieros para empresas comerciales o de servicio público para entidades del

gobierno.

Las empresas tienen muchas partes interesadas, y ‘crear valor’ significa cosas diferentes—y a veces contradictorias—para cada uno de ellos. El gobierno trata sobre

12 ISO 22301 Sistemas de Gestión & Continuidad del Negocio, «ISO 22317 una receta fiable para llevar a cabo

el análisis de impacto en el negocio (BIA)» (22 10 2015). [En línea]. Available: http://normaiso22301.com/iso-22317-una-guia-practica-la-elaboracion-del-bia-business-impact-analysis/. [Último acceso: 11 03 2020]

24

negociación y decisión entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el sistema de gobierno debería tener en cuenta a todas las partes interesadas cuando se tomen decisiones relacionadas con la evaluación de beneficios, riesgos y recursos. Para cada decisión, las siguientes preguntas pueden y deberían hacerse: ¿Para quién son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren?

Las necesidades de las partes interesadas tienen que transformarse en estrategia corporativa practicable, es decir, que se pueda poner en marcha. La cascada de metas de COBIT v5 es el mecanismo para traducir las necesidades de las partes interesadas en metas corporativas específicas, practicables y personalizadas, metas de TI y metas de los catalizadores. Esta traducción permite establecer metas específicas a cualquier nivel y en toda área de la empresa como apoyo a las metas globales y los requerimientos de las partes interesadas.

Paso 1: Los Motivos de las Partes Interesadas influyen en las Necesidades de las Partes Interesadas: Las necesidades de las partes interesadas son influenciadas por una serie de controladores, p. ej., cambios en la estrategia, un entorno de negocio y regulatorio cambiante y nuevas tecnologías.

Paso 2: Las Necesidades de las Partes Interesadas en Cascada hacia Metas Corporativas: Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de metas genéricas corporativas. Estas metas corporativas se han desarrollado utilizando las dimensiones del cuadro de mando integral (CMI. En inglés BSC: Balanced Score Card), y representan una lista de metas utilizadas habitualmente y que una empresa puede definir para sí misma. Aunque esta lista no es exhaustiva, la mayoría de metas específicas de empresa pueden ser mapeadas fácilmente con una o más de las metas corporativas genéricas.

COBIT v5 define 17 metas genéricas, como se muestra en la tabla 2, que incluyen la siguiente información:

Dimensión CMI a la cual se ajusta la meta corporativa

Metas corporativas

Relación con las tres metas de gobiernos principales – obtención de beneficios, optimización de riesgos y optimización de recursos. (‘P’ significa relación principal y ‘S’ relación secundaria, es decir, una relación, menos fuerte)13.

13 COBIT 5, «Proceso catalizadores», (2012) pág. 13, Isaca Framework.

25

Figura 2. Cascada de metas COBIT v5

Fuente: COBIT 5 “Procesos Catalizadores”, pág. 14.

Tabla 2. Objetivos de la empresa de COBIT v5

Fuente: COBIT 5 “Procesos Catalizadores”, pág. 14.

Paso 3: Metas Corporativas en Cascada hacia Metas TI: El logro de las metas corporativas requiere una serie de resultados TI2, representados por las metas relacionadas con TI. TI significa relacionadas con la información y con la tecnología y las metas relacionadas con TI se encuentran estructuradas en las dimensiones del Cuadro de Mando Integral TI (IT BSC). COBIT v5 define 17 metas TI, listadas en la tabla 3.

26

Tabla 3. Objetivos de las TI

Fuente: COBIT v5 “Procesos Catalizadores”, pág. 14.

Paso 4: Metas TI en Cascada hacia Metas de los Catalizadores. Lograr las metas TI requiere la aplicación y uso exitoso de una serie de catalizadores. Estos catalizadores incluyen:

• Principios, políticas y marcos de referencia • Procesos • Estructuras organizativas • Cultura, ética, y comportamiento • Información • Servicios, infraestructuras y aplicaciones • Personas, habilidades y competencias Para cada catalizador se puede definir un conjunto de metas específicas y relevantes en apoyo a las metas TI. En este documento, se proporcionan metas de proceso en las descripciones detalladas de proceso14 .

3.2.4. Clasificación de Activos de Información según la Guía 5 para la Gestión de Activos de Información

La guía 5 para la gestión de Activos de Información elaborada por MinTIC entrega los lineamientos básicos que pueden ser utilizados por los responsables de la seguridad de la información, para poner en marcha la gestión y clasificación de activos de información que son manejados por cada entidad, con el fin de determinar que activos posee la entidad, de cómo deben ser utilizados, los roles y responsabilidades que tienen los funcionarios sobre los mismos y, reconociendo adicionalmente el nivel de clasificación de la información que a cada activo debe dársele15. La clasificación de activos de información tiene como objetivo asegurar que la

14 COBIT 5, «Proceso catalizadores», (2012), Isaca Framework, pág. 15 15 MinTIC, «Guía para la gestión de activos de información» (15 03 2016). pág. 6. [En línea]. Available:

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf, [Ultimo Acceso: 02 05 2020]

27

información recibe los niveles de protección adecuados, ya que con base en su valor y de acuerdo a otras características particulares requiere un tipo de manejo especial.

El sistema de clasificación de la información que podría definirse en la entidad se basa las características particulares de la información, contempla la cultura y el funcionamiento interno y buscando dar cumplimiento a los requerimientos estipulados en el ítem relacionado con la Gestión de Activos de los estándares 27001:2013, ISO 27002, e ISO 27005.

Clasificación de acuerdo con la confidencialidad: La confidencialidad se refiere a que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados, Esta se debe definir de acuerdo con las características de los activos que se manejan en cada entidad, a manera de ejemplo en la guía se definieron tres (3) niveles alineados con los tipos de información declarados en

la ley 1712 del 2014:

Tabla 4. Esquema de Clasificación por Confidencialidad.

Fuente: Guía para la gestión de activos de información, pág. 16.

Clasificación de acuerdo con la integridad: La integridad se refiere a la exactitud y completitud de la información (ISO 27000) esta propiedad es la que permite que la información sea precisa, coherente y completa desde su creación hasta su destrucción. En esta guía se recomienda el siguiente esquema de clasificación de

tres (3) niveles:

28

Tabla 5. Esquema de Clasificación por Integridad


Clasificación de acuerdo con la disponibilidad: La disponibilidad es la propiedad de la información que se refiere a que ésta debe ser accesible y utilizable por solicitud de una persona entidad o proceso autorizada cuando así lo requiera está, en el momento y en la forma que se requiere ahora y en el futuro, al igual que los recursos necesarios para su uso.

En esta guía se recomienda el siguiente esquema de clasificación de tres (3) niveles16:

Tabla 6. Esquema de Clasificación por Disponibilidad.


16 MinTIC, «Guía para la gestión de activos de información» (15 03 2016). págs. 16 - 18. [En línea]. Available:

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf, [Ultimo Acceso: 02 05

2020]

29

3.3. MARCO JURÍDICO

La legislación colombiana incluye una gran variedad de reglamentaciones de rango constitucional y legal, que rigen diversas actividades en cuanto al entorno de la información y la seguridad digital, de las cuales se mencionan las que afectan directamente este proyecto:

Ley 594 de 2000: “La presente ley tiene por objeto establecer las reglas y principios generales que regulan la función archivística del Estado”17.La ley 594 aplica para el proyecto tomando en consideración aspectos relacionados con la gestión, protección y disposición de la información.

Ley estatutaria 1266 de 2008: “Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones” 18 El uso de esta ley aplica regulando el manejo de la información contenida en bases de datos relacionadas con información comercial y financiera como es el objeto del área que será estudiada.

Ley 1273 de 2009: "Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones"19.

Ley 1341 de 2009: “Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones”20.

Decreto 1377 de 2013: Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012 (mediante la cual se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo 1°, tiene por objeto "(...) desarrollar el derecho constitucional que tienen todas las personas

17 Congreso de la República de Colombia, «Ley 594 de 2000», (14 07 2000). [En línea]. Available:

https://www.mintic.gov.co/portal/604/articles-15049_documento.pdf. [Último acceso: 31 03 2020]. 18 Congreso de la República de Colombia, «Ley 1266 de 2008», (31 12 2008). [En línea]. Available:

https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488. [Último acceso: 31 03 2020]. 19 Congreso de la República de Colombia, «Ley 1273 de 2009», (05 01 2009). [En línea]. Available:

https://www.mintic.gov.co/portal/inicio/3705:Ley-1273-de-2009. [Último acceso: 31 03 2020]. 20 Congreso de la República de Colombia, «Ley 1431 de 2009», (30 07 2009). [En línea]. Available:

https://www.mintic.gov.co/portal/inicio/3707:Ley-1341-de-2009. [Último acceso: 31 03 2020].

30

a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma)”21.

Ley 2015 de 2020: Por medio del cual se crea la historia clínica electrónica interoperable y se dictan otras disposiciones como: Objeto, definiciones, diseño, implementación y administración, sujetos, obligados, custodia y guarda”22.

3.4. ESTADO DEL ARTE

A partir del desarrollo de la norma ISO 22317 la cual establece los lineamientos para el Plan de análisis de impacto en el negocio (BIA), se han desarrollado diferentes implementaciones y estudios que orientan a organizaciones de todo tipo de negocio, entre los cuales encontramos la tesis desarrollada por Samuel Pascual en España denominada BUSINESS CONTINUITY PLAN – CONCEPTOS TEÓRICOS Y

SIMULACION PRACTICA elaborado para la Universidad Carlos III de Madrid por Samuel Pascual.

Por medio del cual pretende realizar una aproximación tanto teórica como práctica a los Planes de Continuidad de Negocio empresariales y que concluye “El disponer de un plan de este tipo dotará a la empresa, aparte del plan propiamente dicho, de varias medidas de seguridad tanto de recuperación como preventivas, con las que poder

mitigar los riesgos que puedan afectar a la compañía.

Como conclusiones del proyecto se determinó Nunca se sabe cuándo puede suceder un desastre que afecte de forma crítica a cualquier negocio, y estar preparados para afrontarlo nunca está de más. Incluso, al contrario, la falta de este plan podría conducir a que la Empresa perdiera contratos, prestigio y por tanto valor, al no disponer de algo que los clientes solicitan hoy en día a sus proveedores. El disponer de un plan de este tipo dotará a la empresa, aparte del plan propiamente dicho, de varias medidas de seguridad tanto de recuperación como preventivas, con las que poder mitigar los riesgos que puedan afectar a la compañía.

Teniendo en cuenta que las empresas son entes vivos, y que la tecnología como las amenazas van cambiando y evolucionando a lo largo de los años, tanto los riesgos como

21 Presidencia de la República de Colombia, «Decreto 1377 de 2013», (27 06 2013). [En línea]. Available:

http://www.suin-juriscol.gov.co/viewDocument.asp?ruta=Decretos/1276081. [Último acceso: 31 03 2020]. 22 Congreso de la República de Colombia, «Ley 2015 de 2020», (31 01 2020). [En línea]. Available:

https://dapre.presidencia.gov.co/normativa/normativa/LEY%202015%20DEL%2031%20DE%20ENERO%20DE%202020.pdf. [Último acceso: 31 03 2020].

31

las soluciones propuestas pueden revisarse en el futuro, y podrían adecuarse las medidas de seguridad a los nuevos riesgos, o actualizarse las medidas existentes por evolución tecnológica23.

El proyecto cuyo título es: PLAN DE GESTIÓN DEL PROYECTO ANÁLISIS, DISEÑO, DESARROLLO E IMPLEMENTACIÓN DE UN PLAN DE RECUPERACIÓN DE DESASTRES (DRP) PARA UNA ENTIDAD FINANCIERA elaborado para la Universidad Piloto de Colombia por Ana Milena Cortés y Julián Ríos.

El objetivo general de este proyecto es Analizar, diseñar, desarrollar e implementar el Plan de Recuperación de Desastres (DRP) para la plataforma tecnológica de una Entidad financiera, que permita continuar con la operación de los procesos críticos del negocio ante un evento de contingencia. La metodología que se utilizó para la elaboración del documento es la recomendada por el PMI (Project Management Institute), la cual se utilizó para desarrollar el plan de gestión del proyecto y los planes que lo conforman. Para desarrollar el DRP, se propuso identificar los procesos críticos de la organización, por medio de un análisis de impacto al negocio (BIA – business impact analysis). Posteriormente, se plantea la identificación de los servicios y elementos que soportan estos procesos y cuáles de ellos son faltantes y se deben adquirir para poder implementar un esquema de contingencia. También se propuso la realización de una prueba de contingencia para evaluar el desempeño de las estrategias seleccionadas y, por último, desarrollar un plan de sensibilización y capacitación a todo el personal de la compañía. En este proyecto es de vital importancia la definición de los procesos críticos que se van a recuperar, con base en el análisis del tiempo mínimo que

está dispuesta la organización a no tener disponible ese proceso.

Como conclusiones del proyecto El término desastre generalmente está asociado a una destrucción catastrófica, pero en realidad, una simple falla en el suministro de energía eléctrica puede causar un pequeño desastre en la empresa. Sin un plan de recuperación de desastres (DRP) establecido, la pérdida hasta de un simple disco duro puede convertirse en un problema mayor, consumiendo tiempo valioso para la organización.

Con el desarrollo de este proyecto se establecieron los lineamientos del plan de gestión del proyecto que permitirá llevar a cabo el análisis, diseño, desarrollo y desarrollo de un plan de recuperación de desastres24.

23 PASCUAL, S. «Universidad Carlos III Madrid», «Business Continuity Plan – Conceptos Teóricos y Simulación

Practica» (2015). [En línea]. Available: https://e-archivo.uc3m.es/bitstream/handle/10016/25756/PFC_Samuel_Pascual_Martin.pdf. [Último acceso: 01 11 2019]. 24 CORTÉS, A. y RÍOS G, J E. «Universidad Piloto de Colombia», «Análisis, diseño, desarrollo e implementación

de un plan de recuperación de desastres (DRP) para una entidad financiera» (2012). [En línea]. Available: http://polux.unipiloto.edu.co:8080/00000753.pdf. [Último acceso: 01 11 2019].

32

El proyecto cuyo título es PROPUESTA PARA EL DISEÑO DEL PLAN DE RECUPERACIÓN DE DESASTRES DRP CASO: UNIDAD ADMINISTRATIVA ESPECIAL DE CATASTRO DISTRITAL UAECD elaborado para la Universidad Católica de Colombia por Luisa Barragán y Yamid Puentes.

Este proyecto se realizó con el objetivo de elaborar la propuesta para el diseño del Plan de Recuperación ante Desastres -DRP de la Unidad ajustado a la realidad de la infraestructura tecnológica, con el ánimo de proponer planes de acción que se puedan poner en marcha en caso de un desastre o eventualidad que ponga en riesgo el

desarrollo y continuidad de las actividades que ejecuta la Unidad.

Como recomendaciones del proyecto se obtuvo:

● Se recomienda que el oficial de continuidad y el líder del DRP hagan partícipes del DRP a la alta gerencia, no solo como patrocinadores, sino dejándoles ver la importancia del rol que tienen ellos dentro plan frente a la toma de decisiones.

● Dar a conocer el plan de recuperación ante desastres, no solo a las áreas afectadas sino a todos los usuarios de los servicios de la unidad.

● Es importante conocer el análisis de impacto al negocio, ya que de esta manera se comprenden los tiempos máximos tolerables en que un sistema puede estar sin funcionamiento y la pérdida de información.

● Se recomienda que el tratamiento y el seguimiento de los riesgos se realice de una manera más profunda y concienzuda en las etapas de implementación y mejora continua, puesto que es allí donde se define el apetito por el riesgo y las opciones para el manejo de estos, además esto ayuda a tener un control continuo a los dueños de los procesos y de los riesgos.

● Finalmente es importante conocer óptimamente los riesgos a los que están expuestos los procesos críticos contemplados dentro del DRP, ya que estos son los que disparadores para activar dicho plan25.

●

4. METODOLOGÍA

4.1. FASES DEL TRABAJO DE GRADO

El proyecto se ha estructurado en 4 fases para el cumplimiento de los objetivos las

25 BARRAGÁN N, L. F. Y PUENTES G, Y. «Repositorio Universidad Católica de Colombia», «Propuesta para

el diseño del plan de recuperación de desastres DRP caso: unidad administrativa especial de catastro distrital UAECD» (2016). [En línea]. Available: https://repository.ucatolica.edu.co/bitstream/10983/14044/4/Proyecto%20Final.pdf. [Último acceso: 01 11 2019].

33

cuales son:

Figura 3. Fases del proyecto.

Fuente: Elaboración del autor

Fase 1: Levantamiento de información: En esta fase se realizará el contacto inicial con las áreas sometidas a estudio, realizando análisis de la estructura de la organización e identificación de los procesos documentados en la entidad.

Fase 2: Análisis y organización del levantamiento: Usando como instrumento una encuesta la cual será estructurada para ello y aplicada al área de estrategia y arquitectura, posteriormente se analizarán los resultados y se levantará una identificación de activos de información, se contrastará contra documentos que estén relacionados con el plan de continuidad y se realizará un análisis de la estrategia de adaptación del marco metodológico basado en la elaboración de la cascada de metas propia del marco de referencia COBIT v5, con el fin de comprobar la prioridad de procesos asociados a continuidad de negocio y gestión de activos.

Fase 3: Diagnóstico y planteamiento de estrategia de protección: En esta fase se realizará la clasificación de los activos identificados que permitan su valoración conforme a la Guía 5 de MinTIC y la evaluación de riesgos asociados a los mismos.

Fase 4: Generación de propuesta y comunicación de los resultados: En esta fase se realizará la generación de recomendaciones encaminado a la elaboración de un posible plan de recuperación de desastres tomando como referencia la norma GTC/ISO 22317, realizando la entrega y la comunicación de la estrategia planteada.

34

4.2. INSTRUMENTOS O HERRAMIENTAS UTILIZADAS

Para el desarrollo del presente proyecto se van a utilizar los siguientes instrumentos o herramientas:

● Encuestas (formularios de google) ● COBIT v5 “Proceso catalizadores_ Cascada de Metas”. ● Guía Técnica Colombiana (GTC-ISO/TS 22317) ● Material de procesos y procedimientos del área de tecnología (a los cuales

se tenga acceso) ● Guía 5 MinTIC “Guía para la gestión y clasificación de activos de

información”. ● Herramientas de ofimática

4.3. POBLACIÓN Y MUESTRA

4.3.1. Población

Según datos de Fedesoft, la industria del software en Colombia agrupa a 6.096 empresas que facturan 13,5 billones de pesos al año, creció a una tasa anual promedio extraordinaria del 16,7 por ciento durante los últimos 6 años y representa un 1,6 por ciento del PIB. Estas empresas, que en un 90 por ciento son micro y pequeñas y en un 40 por ciento tienen cinco o menos años de vida, emplean 109.000 personas; y el gremio calcula que el sector presenta 45.000 vacantes.26

4.3.2. Segmento de la Población

Para el presente proyecto, el segmento de población está enfocado en la unidad estratégica de negocios en salud de una casa de software, la cual cuenta con experiencia de 31 años diseñando soluciones tecnológicas para instituciones médicas desarrolladas bajo el cumplimiento de la legislación colombiana, permitiendo integrar la Gestión Clínica, Administrativa, Financiera y Contable de una

26 Revista Semana, «La clave es el “software”» (17 10 2018). [En línea]. Available:

https://www.semana.com/opinion/articulo/industria-del-software-en-colombia-columna-de-esteban-piedrahita/587171. [ultimo acceso: 03 26 2020]

https://www.semana.com/opinion/articulo/industria-del-software-en-colombia-columna-de-esteban-piedrahita/587171

https://www.semana.com/opinion/articulo/industria-del-software-en-colombia-columna-de-esteban-piedrahita/587171

35

institución.

4.3.3. Muestra

Para el proyecto se utilizará el muestreo no probabilístico teniendo en cuenta que se basa en un proceso que no les permite a todos los individuos de una población investigada tener las mismas oportunidades de ser seleccionados. Es decir, este tipo de muestreo predomina a aquellos individuos que al cumplir con cierta cualidad o

característica benefician a la investigación, entonces pueden ser parte de la muestra27.

De los tipos de muestreo no probabilístico se seleccionó el Muestreo por conveniencia, considerando que:

Es una técnica comúnmente usada consistente en seleccionar una muestra de la población por el hecho de que sea accesible. Es decir, los individuos empleados en la investigación se seleccionan porque están fácilmente disponibles y porque sabemos que pertenecen a la población de interés, no porque hayan sido seleccionados mediante un criterio estadístico28.

Específicamente para este proyecto se utilizó el muestreo no probabilístico con el tipo de muestreo por conveniencia por las siguientes razones:

Las personas a las que fue aplicada la encuesta, son cercanas y fueron seleccionadas de acuerdo a sus roles en la organización y en la unidad de negocio.

Tomando en consideración el estudio a realizar y el nivel de ejecución a desarrollar en el presente trabajo, se usa el método de conveniencia para acotar esfuerzo y tiempo de aplicación.

Partiendo del nivel no probabilístico, considerando la desagregación del área y el tamaño de la muestra, no se tiene en cuenta el margen de error para el análisis del desarrollo de la encuesta.

27 Enciclopedia económica, «¿Qué es el muestreo no probabilístico?» (2020). [En línea]. Available:

https://enciclopediaeconomica.com/muestreo-no-probabilistico/. [ultimo acceso: 29 05 2020] 28 Netquest, Muestreo no probabilístico: muestreo por conveniencia» (29 05 2015). [En línea]. Available:

https://www.netquest.com/blog/es/blog/es/muestreo-por-conveniencia. [ultimo acceso: 29 05 2020]

https://enciclopediaeconomica.com/muestreo-no-probabilistico/

36

4.4. ALCANCES Y LIMITACIONES

4.4.1. Alcance

Como alcance del proyecto, se contempla realizar una priorización de procesos de continuidad de negocio de la casa de software que se apoye en la clasificación de los activos identificados considerando a la Unidad Estratégica de Negocios en Salud que se encuentra constituida dentro de la organización. Tomando, como base, la valoración de la información que fuera obtenida dentro de un proceso de priorización compatible con las fases de un análisis de impacto del negocio, de igual forma el proyecto abarca desde la obtención de la información hasta la entrega de la categorización de los riesgos que hayan sido hallados. Entregando una serie de recomendaciones citando su impacto, y determinando el nivel de riesgo inherente.

4.4.2. Limitaciones

Para la elaboración del presente proyecto no se va a desarrollar el análisis de impacto al negocio (BIA) per se, planes aplicables de recuperación de desastres, documentos de arranque que se articulen a planes de continuidad del negocio existentes, o documentos asociados con la implementación del plan.

5. DESARROLLO DE LA PROPUESTA

Para llevar a cabo los objetivos establecidos, en el proyecto se tomará en cuenta una adaptación de los propuesto en la Guía Técnica Colombiana GTC-ISO/TS 22317 “Seguridad de la sociedad. Sistemas de Gestión de la Continuidad del Negocio. Directrices para el Análisis del Impacto del Negocio” y de lo especificado por la ‘Guía para la gestión y clasificación de activos de información’ de MinTIC.

Información de los activos de información: se debe realiza levantamiento de información relacionada con la entidad a la cual se tiene como objetivo del proyecto es aquí donde se debe levantar información de procesos subprocesos descripción de los mismos y un contexto externo e interno de la organización sobre la cual se realizará lo propuesto.

37

Definición: Se realizará la definición de los activos de información donde se pueda percibir una concordancia frente a los procesos del negocio y la familiarización realizada en el área. Figura 4. Desarrollo de la propuesta.

Fuente: Elaboración del autor adaptado de la Guía para la gestión y clasificación de activos de información

5.1. FASE 1: LEVANTAMIENTO DE INFORMACIÓN

Siendo consistentes con la norma GTC- ISO/TS 22317 el éxito de los resultados de un proceso BIA depende de que la organización entienda:

El ambiente externo en el que opera, de manera que pueda lograr su propósito mediante la entrega de sus productos y servicios a sus clientes;

El ambiente operativo interno, incluidos los procesos actividades y recursos, así como el impacto potencial causado por la interrupción en la entrega de productos y servicios y

Las leyes y reglamentos que gobiernan el proceso BIA y la manera como se realiza29

29 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión

de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 2.

38

5.1.1. Historia

Creada en Medellín el 28 de abril de 1989 la Casa de Software es una empresa especializada en proveer soluciones informáticas integrales que apoyen la gestión clínica y administrativa de las Instituciones prestadoras en salud, con más de 30 años de experiencia, en la actualidad cuenta con más de 248 colaboradores entre Ingenieros, Programadores, Médicos, Enfermeras entre otros.

5.1.2. Organigrama Casa de Software

Figura 5. Organigrama casa de software


5.1.3. Análisis de los Procesos de la unidad

Con el objetivo de realizar la definición de los activos de información, se hace necesario determinar cuáles son los procesos que se encuentran involucrados dentro de la casa de software y los elementos que interactúan entre ellos, lo anterior con el fin de determinar posibles activos que se encuentren citados en el establecimiento de estos. Por tal razón, se procede a analizar los procesos que se encuentran constituidos para la Casa de Software, en donde se tendrá en cuenta el establecimiento de cada uno de los mismos la mención a supuestos activos que tengan relación, esto debe contemplar repositorios de información, documentación extraída, sitios de almacenamiento de código, productos generados y componentes de infraestructura.

39

Figura 6. Mapa de procesos casa de software

Fuente: Pagina Institucional

A continuación, se relacionan los procesos encontrados una breve descripción de cada proceso posibles responsables y los activos de información que hayan sido detectados en la lectura de estos. Tabla 7. Tabla de procesos

Proceso Descripción

Arquitectura Encargado de analizar las posibles alternativas una decisión a tomar utilizar un proceso formal que dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión.

Aseguramiento de la calidad de los procesos

Proporciona al personal y a la gerencia una visión objetiva de los procesos a través de la identificación de no conformidades y asegurando la resolución de las mismas.

Control de calidad productos y servicios

Este proceso se encarga de verificar y validar que los productos y servicios de la organización sean liberados con un alto índice de calidad logrando la satisfacción de nuestros clientes.

Diseño, desarrollo Integración y despliegue

Este proceso tiene como propósito diseñar, desarrollar e integrar y desplegar una solución de software con altos estándares de calidad.

Entrenamiento Organizacional Este proceso se encarga de gestionar coordinadamente todas las necesidades y esfuerzos de capacitación que requieran los colaboradores a fin de desarrollar las habilidades necesarias para la ejecución efectiva de sus actividades.

40

Proceso Descripción

Gestión de la Configuración Este proceso tiene como principal objetivo planear Identificar y mantener la integridad en la administración de los ítems de configuración (productos de trabajo de la empresa) tratando líneas base que permitan a la empresa tener puntos de referencias para mantener la coherencia y calidad en los proyectos que se desarrollan.

Gestión de procesos

Este proceso establece y mantiene un conjunto estable de activos de procesos de la organización y estándares del entorno del trabajo, además; planifica, implementa y despliegan las mejoras a dichos procesos.

Gestión de proyectos Ese proceso de escribir aplicación de conocimientos habilidades, herramientas y técnicas de las actividades de los proyectos de tal forma que se cumplan con los requerimientos establecidos dentro de cada proyecto. Esta sección incluye el inicio, planeación, ejecución, monitoreo, control y cierre de un proyecto.

Gestión de recursos físicos No posee Información

Gestión del portafolio de Proyectos

Este proceso permite centralizar y coordinar la dirección de proyectos a cargo del grupo de gerentes de proyectos y garantizar el cumplimiento de los mismos.

Ingeniería de Requisitos Este proceso permite identificar analizar documentar y diseñar y entregar los requerimientos del producto a partir de las necesidades del cliente .

Medición y análisis Este proceso tiene como propósito implementar una metodología que permita asegurar que los objetivos y las actividades de medición y análisis estén alineados con las necesidades de información y objetivos identificados por la dirección mediante la creación uso y modificación de métricas.

Planeación estratégica No posee información

Servicio al cliente No posee información

Toma de decisiones formales Este proceso se encarga de analizar las posibles alternativas a una decisión a tomar utilizando un proceso formal que evalúe dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión

Venta Consultiva No posee información

Transición de la solución No posee información

Infraestructura tecnológica No posee información


5.2. FASE 2: ANÁLISIS Y ORGANIZACIÓN DEL LEVANTAMIENTO DE INFORMACIÓN

Al tener los procesos definidos de la organización y teniendo en cuenta que existen procesos que no han sido documentados aún, se hace importante definir la prioridad que los procesos puedan tener para el negocio y si estos no cuentan con un similar en la estructura organizacional de la Casa de Software.

41

Tabla 8. Tabla de procesos y activos hallados

Proceso Descripción Subprocesos Activos Identificados

Arquitectura Encargado de analizar las posibles alternativas una decisión a tomar utilizar un proceso formal que dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión.

● Arquitectura

● Dimensionamiento

● Definición de la arquitectura

● Revisión

● Entrega

● Repositorio de información

● Repositorio de trazabilidad

Aseguramiento de la calidad de los procesos

Proporciona al personal y a la gerencia una visión objetiva de los procesos a través de la identificación de no conformidades y asegurando la resolución de las mismas.

● Aseguramiento de la calidad de los procesos

● Planeación revisión de adherencia

● Ejecución revisión de adherencia

● Seguimiento y cierre revisión de adherencia

● Herramienta de hallazgos



Este proceso se encarga de verificar y validar que los productos y servicios de la organización sean liberados con un alto índice de calidad logrando la satisfacción de nuestros clientes.

● Planeación

● Pruebas estáticas

● Pruebas dinámicas

● Gestión de hallazgos



● Herramienta de hallazgos


Este proceso tiene como propósito diseñar, desarrollar e integrar y desplegar una solución de software con altos estándares de calidad.

● Diseño de la solución

● Desarrollo de la solución

● Integración y despliegue



● Línea base producto para despliegue

Entrenamiento Organizacional

Este proceso se encarga de gestionar coordinadamente todas las necesidades y esfuerzos de capacitación que requieran los colaboradores a fin de desarrollar las habilidades necesarias para la ejecución efectiva de sus actividades.

● Identificación de las necesidades

● Planeación entrenamiento

● Ejecución y evaluación entrenamiento


Gestión de la Configuración Este proceso tiene como principal objetivo planear Identificar y mantener la integridad en la administración de los ítems de configuración (productos de trabajo de la empresa) tratando líneas base que permitan a la empresa tener puntos de referencias para mantener la coherencia y calidad en los proyectos que se desarrollan.

● Establecimiento de líneas base

● Planeación de la configuración

● Auditoría de la configuración

● Control de la configuración



● Línea base de producto para despliegue

● Repositorio de la configuración

Gestión de procesos

Este proceso establece y mantiene un conjunto estable de activos de procesos de la organización y estándares del entorno del trabajo, además; planifica, implementa y despliegan las mejoras a dichos procesos.

● Definición lineamientos para Procesos

● Análisis y diseño de procesos

● Implementación de proceso

● Mejoramiento continuo

● Herramienta de mejora



Gestión de proyectos Ese proceso de escribir aplicación de conocimientos

● Inicio

● Planeación


42

Proceso Descripción Subprocesos Activos Identificados

habilidades, herramientas y técnicas de las actividades de los proyectos de tal forma que se cumplan con los requerimientos establecidos dentro de cada proyecto. Esta sección incluye el inicio, planeación, ejecución, monitoreo, control y cierre de un proyecto.

● Ejecución

● Monitoreo y Control

● Cierre

● Información contable

● Información legal y administrativa

Gestión de recursos físicos No posee Información No posee Información No posee Información

Gestión del portafolio de Proyectos

Este proceso permite centralizar y coordinar la dirección de proyectos a cargo del grupo de gerentes de proyectos y garantizar el cumplimiento de los mismos.

● Gestión de portafolio de proyectos


● Repositorio de mejoras

Ingeniería de Requisitos Este proceso permite identificar analizar documentar y diseñar y entregar los requerimientos del producto a partir de las necesidades del cliente .

● Análisis de requisitos

● Documentación y entrega de requisitos



Medición y análisis Este proceso tiene como propósito implementar una metodología que permita asegurar que los objetivos y las actividades de medición y análisis estén alineados con las necesidades de información y objetivos identificados por la dirección mediante la creación uso y modificación de métricas.

● Creación de métricas

● Uso de métricas

● Modificación de métricas



Planeación estratégica No posee información No posee información No posee información

Servicio al cliente No posee información No posee información No posee información

Toma de decisiones formales Este proceso se encarga de analizar las posibles alternativas a una decisión a tomar utilizando un proceso formal que evalúe dichas alternativas identificadas frente a criterios establecidos para tomar la mejor decisión

● Toma de decisiones formales



Venta Consultiva No posee información No posee información No posee información

Transición de la solución No posee información

No posee información No posee información

Infraestructura tecnológica No posee información No posee información No posee información

Dentro de los aspectos a desarrollar en el presente proyecto se requiere la toma de decisiones que permita el desarrollo de la priorización de procesos y productos, y la concordancia para la aplicación de la norma GTC-ISO/TS 22317 considerando los siguientes razonamientos:

● Los procesos establecen los objetivos que toda organización deben tener

43

frente a su negocio, lo que indica que todos estos procesos deben ser aprobados en el nivel superior de la Casa de Software

● El nivel superior de la Casa de Software debe tener completa visión de los procesos que se encuentran socializados ya que esto permite evaluarlos y establecer prioridades de operación.

● Como tal el nivel superior de la Casa de Software tiene la potestad de decidir la anulación de Obligaciones ya sean de tipo procesal o contractual según las prioridades que se hayan definido por la organización o por las misma Casa de Software per se.

● El nivel superior de la Casa de Software debe tener estar consciente de los posibles cambios en la operación de la organización ya que estos pueden afectar la aplicación de todo plan de continuidad del negocio según la visión general del mismo.

Dentro de la norma GTC-ISO/TS 22317, estos aspectos deben estar constituidos a través de las relaciones en el análisis del impacto del negocio que pudieran presentarse para la exclusión de productos y proyectos de la Casa de Software, pero cómo puede observarse en la siguiente imagen. Figura 7. Relaciones en el análisis de impacto en el negocio

Fuente: GTC – ISO/TS 22317 Pág. 6

La figura 6, “ilustra la relación entre los diferentes elementos del proceso BIA. El diagrama ilustra que puede haber superposición en los tiempos de estas fases componentes del proceso”30.


de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 6

44

5.2.1. Recopilación de información a través de encuestas

Con el propósito de medir la prioridad de continuidad del negocio frente a los procesos de la Casa de Software se desea establecer un modelo de entrevista que permita medir el conocimiento que la Casa de Software presenta frente los procesos publicados y frente a los objetivos de recuperación y continuidad de sus operaciones.

Para el desarrollo del formato de entrevista se debe tener en cuenta el perfil de funcionarios a los que se les aplicará la entrevista. Tabla 9. Preguntas de la entrevista

Pregunta Descripción Opciones de Respuesta

Nombre Funcionario Describe el nombre del funcionario

que va a elaborar la encuesta.

Nombre de funcionario

Cargo Describe el cargo del funcionario

que va a elaborar la encuesta.

Cargo del funcionario

Área Describe el nombre del área en la

que se desempeña el funcionario.

Área del funcionario

¿Conoce usted los procesos

que rigen las labores que se

realizan en la UEN Salud?

Describe el conocimiento que tiene

el entrevistado frente a los

procesos de la organización.

* SI

* NO

Dentro de su experiencia

¿Cuáles de estos servicios

pueden considerarse como

críticos para el funcionamiento

de la UEN?

Describe desde la experiencia que

tiene el funcionario si tiene

conocimiento de servicios críticos

en la organización.

* Desarrollo

* Mesa de Servicio

* Implementación

* Infraestructura

* BI

* Innovación

* Preventa

* Infraestructura

* Arquitectura

* Comercial


¿Cuáles de estos productos



de la UEN?



conocimiento de productos críticos


* SCSE

* Service_WEB

* Gestor

* ONE

* Armado de Cuentas

UEN Salud: Unidad Estratégica de Negocios de Salud de la casa de software

45



¿Cuáles de estos procesos



de la UEN?



conocimiento de servicios críticos


* Arquitectura

* Aseguramiento de la calidad de los

procesos

* Control de calidad productos y

servicios

* Diseño, desarrollo Integración y

despliegue

* Entrenamiento Organizacional

* Gestión de la Configuración

* Gestión de procesos

* Gestión de proyectos

* Gestión de recursos físicos

* Gestión del portafolio de Proyectos

* Ingeniería de Requisitos

* Medición y análisis

* Planeación estratégica

* Servicio al cliente

* Toma de decisiones formales

* Venta Consultiva

* Transición de la solución

* Infraestructura tecnológica

Procesos

¿Conoce usted las áreas que

deben ejecutar procesos de

apoyo a su Área de gestión?

Busca establecer con el

entrevistado si conoce las áreas de

procesos que ofrecen apoyo

logístico y/u operativo al área de

negocio.

* SI

* NO

¿Cuáles de estos procesos se

relacionan directamente con su

Área de Gestión?

Describe cuales procesos de

relacionan directamente el área del

funcionario.

* Arquitectura

* Aseguramiento de la calidad de los

procesos

* Control de calidad productos y

servicios

* Diseño, desarrollo Integración y

despliegue

* Entrenamiento Organizacional

* Gestión de la Configuración

* Gestión de procesos

* Gestión de proyectos

* Gestión de recursos físicos

* Gestión del portafolio de Proyectos

* Ingeniería de Requisitos

* Medición y análisis

* Planeación estratégica

* Servicio al cliente

* Toma de decisiones formales

* Venta Consultiva

* Transición de la solución

* Infraestructura tecnológica

46


¿Cuáles de estos procesos

apoyan a su Área de Gestión?

Describe cuáles procesos apoyan

directamente con el área del

funcionario.

*Arquitectura

*Aseguramiento de la calidad de los

procesos

*Control de calidad productos y

servicios

*Diseño, desarrollo Integración y

despliegue

*Entrenamiento Organizacional

*Gestión de la Configuración

*Gestión de procesos

*Gestión de proyectos

*Gestión de recursos físicos

*Gestión del portafolio de Proyectos

*Ingeniería de Requisitos

*Medición y análisis

*Planeación estratégica

*Servicio al cliente

*Toma de decisiones formales

*Venta Consultiva

*Transición de la solución

*Infraestructura tecnológica

Servicios

¿Cuáles de estos Servicios se


Área de Gestión?

Describe cuales servicios de

relacionan directamente el área del

funcionario.

*Desarrollo

*Mesa de Servicio

*Implementación

*Infraestructura

*BI

*Innovación

*Preventa

*Infraestructura

*Arquitectura

*Comercial

¿Cuáles de estos Servicios

apoyan a su Área de Gestión?

Describe cuáles Servicios apoyan

directamente con el área del

funcionario.

* Desarrollo

* Mesa de Servicio

* Implementación

* Infraestructura

* BI

* Innovación

* Preventa

* Infraestructura

* Arquitectura

* Comercial

47


¿Conoce usted las áreas que

deben ejecutar los servicios a

su Área de gestión?


entrevistado si conoce las áreas de

procesos que ofrecen apoyo

logístico y/u operativo al área de

negocio.

* SI

* NO

Productos

¿Cuáles de estos Productos se


Área de Gestión?

Busca establecer cuáles de los

productos son tratados

directamente por el área de gestión

en la labora el entrevistado.

* SCSE

* Service_WEB

* Gestor

* ONE

* Armado de Cuentas

¿Conoce qué componentes

hacen parte de los productos a

los cuales su Área realiza

gestión?

Busca establecer si el entrevistado

conoce los componentes que

componen los productos.

* SI

* NO

¿De los componentes aquí

listados selecciones los que

apliquen al producto 1?


entrevistado cuáles son los

componentes con los que

interactúa su área de negocio.

* BD

* Aplicaciones

* Componentes

* Servidor WEB

* Micro servicios

* Almacenamiento

* Infraestructura Servidores

* Infraestructura Redes

* Código Fuente

¿ De los componentes aquí







*BD

*Aplicaciones

*Componentes

*Servidor WEB

* Micro servicios

*Almacenamiento

*Infraestructura Servidores

*Infraestructura Redes

*Código Fuente

¿ De los componentes aquí







* BD

* Aplicaciones

* Componentes

* Servidor WEB

* Micro servicios

* Almacenamiento

* Infraestructura Servidores

* Infraestructura Redes

* Código Fuente


Ver tabulación realizada de la encuesta en el ítem 7.2 Entrega de Resultados e Impactos Fase2

48

5.2.2. Verificación frente a plan de continuidad de la casa de software

Si una organización tiene demasiados productos y servicios para identificar individualmente, la organización puede agrupar productos y servicios cuando tenga prioridades similares. Por el contrario, puede ser necesario que la organización identifique a los clientes que a pesar de compartir los mismos productos y servicios tengan, diferentes expectativas en cuanto a tiempos de entrega, o su valor difiere para

la organización31. Con el desarrollo de la entrevista de campo se procede a contrastar el plan de continuidad en desarrollo actual contemplado para la organización objeto del estudio, en este se define la Unidad Estratégica de Negocio como macroproceso y es valorado en función a los procesos propios de la casa de software donde se define la criticidad de cada proceso desde el concepto de negocio. Tabla 10. Identificación de la función del negocio

Negocio Proceso Subproceso Nivel de Criticidad

Salud – Casa de Software

Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio

Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio

CRÍTICO

Desarrollo de aplicaciones Desarrollo de aplicaciones CRÍTICO

Aseguramiento de la calidad Aseguramiento de la calidad CRÍTICO

Entrega de desarrollo a clientes

Entrega del paquete al cliente - Despliegue

CRÍTICO

Ventas Ventas MEDIO

Proyectos de implementación Proyectos de implementación MEDIO

Del pedido al recaudo Del pedido al recaudo MEDIO

Fuente: Elaboración del autor por extracción en el documento (Plan de Continuidad Casa de Software)

5.2.3. Adaptación de Cascada de metas de COBIT para priorización de procesos

De acuerdo con la norma GTC-ISO/TS 22317 el proceso BIA prioriza los diferentes

componentes organizacionales de manera que la entrega de productos y servicios se pueda reanudar en un periodo de tiempo predeterminado luego de un incidente de interrupción para la satisfacción de las partes interesadas. Para los propósitos del presente documento y de coherencia con la NTC 5722 (ISO 22301) los productos y servicios son creados por procesos que a su vez están compuestos de actividades.


de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 8 BIA: El análisis de impacto al negocio (Business Impact Analysis o BIA por sus siglas en inglés) es otro

elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre. Fuente: https://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/

49

Los productos y servicios se priorizan primero; así se establecen los parámetros de tiempo y nivel de servicio para la priorización de procesos. Si así lo exige la complejidad de la organización los procesos se pueden separar en sus actividades componentes

para llevar a cabo la priorización32.

Considerando el tiempo de ejecución del proyecto, se decide adaptar el uso de la cascada de metas de COBIT v5 para el desarrollo de la priorización de los procesos tomando en cuenta el éxito de dicha cascada al momento de generar la priorización de habilitadores en procesos organizacionales, con esta se espera suplir parte de las necesidades qué puede ejecutar un análisis de impacto del negocio. (BIA), tomando en cuenta que los procesos críticos a evaluar corresponden a los procesos mínimos de operación con los que puede operar la casa de software, se hace viable el uso de la cascada de metas de COBIT v5 para obtener los procesos habilitadores que refuercen el desarrollo de la estrategia de protección aplicable a la organización. Siendo consistentes a lo descrito en las guías de "COBIT v5 framework”, y relacionado a lo revisado en las guías “COBIT v5 Enabling Processes” y “COBIT v5 Implementation”, el desarrollo del modelo de cascada aplicable al esquema de protección se abordará de la siguiente manera:

Levantamiento de la cascada de metas para la casa de software dirigido a establecer prioridades de protección: La nominación de la cascada de metas hace referencia a las relaciones entre los objetivos misionales del negocio (para el caso, los procesos considerados críticos), frente a los procesos de TI para llegar a los procesos habilitadores, las matrices de la cascada muestran los cruces que definen los puntos y el nivel de relación de cada uno de los objetivos en el desarrollo de las operaciones para la organización.

Levantamiento de los procesos habilitadores para la Casa de Software: Cómo están los procesos habilitadores constituyen el conjunto de actividades que componen entradas y salidas para la obtención de los propósitos establecidos en la gestión de las tecnologías de información para la Casa de Software, esto en miras de asegurar el seguimiento la trazabilidad la realización de planes de mejora y la correspondiente documentación de estos.

Prioridades de protección de la información: con base a los habilitadores priorizados se debe definir la estrategia de protección de los activos de información encaminada al desarrollo de un plan de recuperación de desastres.


de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 5.

50

5.2.3.1. Establecimiento de la cascada de metas

Para el estudio, se debe comprender que cada negocio, como la casa de software, se comprende de forma distinta y la organización puede determinar objetivos y funciones misionales conforme a su realidad actual y a sus objetivos de mercado; cuyo contexto es determinado por factores externos e internos que resaltan al momento de considerar un sistema de gobierno y gestión a la medida. donde los interesados y sus necesidades se convierten en estrategias corporativas factibles para el desarrollo del modelo de negocio.

La cascada de metas es importante, porque permite definir prioridades para la implementación, mejora y aseguramiento del gobierno de TI corporativa basada en metas (estratégicas) de la empresa y el riesgo relacionado. En la práctica, la cascada de metas:

• Define metas y objetivos pertinentes y tangibles a varios niveles de responsabilidad • Filtra la base de conocimiento de COBIT v5, basada en metas corporativas, para

extraer orientación pertinente a incluir en proyectos específicos de implementación, mejora o aseguramiento.

• Claramente identifica y comunica (a veces a nivel muy operativo) la importancia de los catalizadores para alcanzar las metas corporativas

El primer paso que una empresa debiera dar siempre al utilizar la cascada de metas es personalizar el mapeo, teniendo en cuenta su situación específica. En otras palabras, cada empresa debiera construir su propia cascada de metas, compararla con COBIT y después refinarla. Por ejemplo, la empresa puede desear: • Traducir las prioridades estratégicas a “pesos” o importancias específicas para cada una de las metas corporativas. • Validar los mapeos de la cascada de metas, teniendo en cuenta su entorno específico, negocio, etc.33.

33 COBIT 5, «Proceso catalizadores», (2012), Isaca Framework, págs. 15, 16.

51

Figura 8. Cascada de metas Casa de Software.

Nota: Elaboración propia (2018). Fuente: Elaboración del autor

Funciones Misionales de las partes interesadas ● Prestación de productos y servicios tecnológicos focalizados para atender las necesidades del sector salud y

proporcionar una plataforma idónea para el desarrollo de los negocios relacionados.

● Establecer y administrar plataformas que permitan realizar entrega de productos de calidad en los servicios prestados y en los productos generados por la organización.

● Proporcionar tecnología acorde a las necesidades del cliente, teniendo en cuenta su finalidad y el nivel de dependencia que pueda derivarse de su uso.

● Proporcionar un servicio al cliente acorde a las necesidades del sector salud donde los tiempos de atención y la fiabilidad del servicio se presentan como propuesta de valor de la organización para adquisición de futuros contratos Y relacionamiento comercial.

● Realizar el aseguramiento de la propiedad intelectual y garantizar la continuidad del negocio proporcionando la debida protección de lo involucrado en el desarrollo y gestión de producto.

Necesidades de las partes interesadas ● Realizar valoración de los activos de información que se encuentren involucrados en el desarrollo del

producto.

● Realizar protección de los activos involucrados en la creación y despliegue del producto.

● Gestión de posibles riesgos que puedan determinarse a nivel de la casa de software

● Obtención de resultados evidenciado el aumento de contratos y ventas de los productos generados por la casa de Software

Metas Corporativas

Matriz entre las metas corporativas de COBIT

v5 y las preguntas del gobierno y la gestión.

Matriz detallada de las metas de la empresa y

las metas relacionadas con las TI.

Metas relacionadas con TI

Matriz entre las metas relacionadas con las TI

y los procesos relacionados con las TI. Metas de los Habilitadores

52

5.2.3.2. Matriz Procesos Validados vs Metas Corporativas

Tabla 11. Matriz Procesos Validados vs Metas Corporativas

Procesos Validados vs Metas Corporativas

Valo

r d

e las p

art

es i

nte

resad

as d

e l

as

inv

ers

ion

es e

mp

resari

ale

s

Cart

era

de

pro

du

cto

s y

serv

icio

s

co

mp

eti

tivo

s.

Rie

sg

o d

e n

eg

oc

io g

esti

on

ad

o

(salv

ag

ua

rdia

s d

e a

cti

vo

s)

Cu

mp

lim

ien

to d

e l

eyes y

reg

ula

cio

ne

s

exte

rnas.

Tra

ns

pare

nc

ia f

ina

ncie

ra

Cu

ltu

ra d

e s

erv

icio

ori

en

tad

a a

l cli

en

te

Co

nti

nu

ida

d y

dis

po

nib

ilid

ad

del

serv

icio

d

el

neg

oc

io

Resp

ue

sta

ág

iles a

un

en

torn

o d

e

ne

go

cio

cam

bia

nte

.

To

ma

estr

até

gic

as d

e d

ecis

ion

es

ba

sad

as e

n in

form

ació

n.

Op

tim

izació

n d

e c

os

tes d

e p

resta

ció

n d

e

serv

icio

s.

Op

tim

izació

n d

e l

a f

un

cio

na

lid

ad

de

lo

s

pro

ceso

s d

e n

eg

ocio

.

Op

tim

izació

n d

e c

os

tes d

e p

roceso

s d

e

ne

go

cio

.

Pro

gra

mas g

esti

on

ad

os

de c

am

bio

en

el

ne

go

cio

.

Pro

du

cti

vid

ad

op

era

tiva y

de

lo

s

em

ple

ad

os

.

Cu

mp

lim

ien

to c

on

p

olíti

cas In

tern

as

Pers

on

as p

rep

ara

da

s y

mo

tivad

as.

Cu

ltu

ra d

e in

no

vació

n d

e p

rod

ucto

y

ne

go

cio

.

Procesos Validados 9 9 8 9 9 8 9 8 8 8 9 8 8 8 9 8 9

Servicio al cliente 10 8 9 8 10 10 10 8 10 10 9 9 9 10 10 9 10

Desarrollo 8 10 10 10 9 6 9 10 9 9 10 10 10 9 9 10 9

Aseguramiento de la calidad 9 9 6 9 8 9 8 7 7 8 7 6 6 7 7 8 8

Despliegue 7 7 7 8 7 8 7 5 6 6 8 8 8 5 8 6 7

Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP

Con el objetivo de determinar los pesos de las metas corporativas de la organización se realizó valoración de los cuatro procesos resultantes del análisis observado en la fase 2 esto con el fin de asignar valores que permitan validar la importancia de las metas corporativas y proceder al estudio dentro del esquema de la cascada de metas de esta manera se espera contrastar las metas corporativas con las preguntas de gobierno y gestión realizando un promedio entre los cuatro valores generados por cada proceso frente a cada una de las metas corporativas propuestas por el marco de referencia COBIT v5.

53

5.2.3.3. Matriz entre las metas corporativas y las preguntas del gobierno y gestión

Tabla 12. Matriz entre las Metas Corporativas y las Preguntas del Gobierno y Gestión

54


55

En la matriz presentada se realiza validación entre las metas corporativas y las preguntas de gobierno y gestión propuestas por el marco de referencia con el objetivo de esclarecer cuáles son las metas más valoradas por la organización y de esta forma establecer el conjunto de metas a tener en cuenta al momento de realizar el análisis entre las metas corporativas y las metas propuestas o relacionadas para TI. Conforme lo definido en el proyecto de grado denominado “Adaptación de los procesos del marco de referencia Cobit v5 para Pymes del sector salud” realizado en la Universidad Católica de Colombia por los ingenieros Cristina Alarcón Tapiero, Lilis Johana Cantillo, y Wilson Castillo Torres, se realiza el análisis usando el mismo sistema de puntajes propuesto en dicho documento donde se tiene en cuenta los siguientes factores citados a continuación:

Para realizar el análisis usando el sistema de puntajes propuesto se tiene en cuenta los siguientes factores:

Los puntajes asignados a cada pregunta siempre tendrán el valor de 1 y serán medidos en igualdad de condiciones.

Para la realización de este Matriz, se da importancia a las preguntas de gobierno y gestión conforme a las metas corporativas reseñando o asignado el valor de 1 para cada pregunta donde se relaciona con la meta que, considere la organización, puede ayudar a responder dicha pregunta.

Por meta, se debe tener en cuenta que el puntaje máximo corresponde a 10 ya que después de ese valor puede afectar el cálculo.

Para el uso en el presente modelo se parte de la aplicación de las preguntas de gobierno y gestión contra las metas corporativas de COBIT v5.

Tras esta formulación se resalta * la importancia de los procesos “Servicio al cliente, Desarrollo, Aseguramiento de la calidad, Despliegue” previamente descritos por la organización en la entrevista y en el desarrollo de su plan de continuidad del negocio, deben ser tenidos en cuenta para el estudio frente a los objetivos relacionados a la TI, ese puntaje puede variar la importancia y la asignación de prioridad que se le puede entregar a las metas corporativas en el ámbito de las metas relacionadas con las tecnologías de la información razón por la cual se tienen en cuenta estos valores en la siguiente matriz34.

34 ALARCÓN T, C., CANTILLO M, L. J. y CASTILLO T, W. «Adaptación de los procesos del marco de referencia

COBIT v5 para Pymes del sector salud» Trabajo de Grado. Universidad Católica de Colombia. Facultad de

Ingeniería. Programa de Ingeniería de Sistemas. Auditoría de Sistemas de Información. Bogotá, Colombia

(2018). Pág. 125. [En línea]. Available: https://repository.ucatolica.edu.co/handle/10983/22407 true [Ultimo Acceso: 30 04 2020]

56

5.3. FASE 3: DIAGNÓSTICO Y PLANTEAMIENTO DE ESTRATEGIAS DE PROTECCIÓN

De acuerdo con la norma GTC-ISO/TS 22317 el siguiente diagrama explica el proceso BIA, junto con los prerrequisitos y su relación con la identificación de estrategias:

Figura 9. Proceso de análisis de impacto en el negocio

Fuente: GTC – ISO/TS 22317 Pág. iii

Para la elaboración de esta fase en el presente proyecto se tuvieron en cuenta los siguientes estados del proceso de análisis de impacto en el negocio indicado por la norma GTC – ISO/TS 22317:

Estado 2 (Priorización de productos y servicios)

Estado 3 (Priorización de procesos)

Estado 4 (Priorización de actividades)

Estado 5 (Análisis y consolidación)

Con relación al estado 6 (Obtener el respaldo de la alta dirección con relación a los resultados del BIA), este fue consensuado con la organización para desarrollarlo a través de la priorización de procesos, lo anterior con el fin de presentar información suficiente para la selección de la estrategia de continuidad del negocio. Con el fin de reforzar la información de la estrategia seleccionada se debe desarrollar el análisis de impacto en el negocio, el cual no será desarrollado en este proyecto.

57

5.3.1. Clasificación de Activos de información

Al identificar los activos de cada proceso se puede determinar qué es lo más importante que cada entidad y sus procesos poseen (sean bases de datos, unos archivos, servidores web o aplicaciones claves para que la entidad pueda prestar sus servicios). Así la Casa de Software puede saber qué es lo que debe proteger para garantizar tanto su funcionamiento interno como su funcionamiento externo, aumentando así su confianza en el uso del entorno digital35. Estos activos fueron identificados con relación a los procesos priorizados y concordantes con los resultados obtenidos en la adaptación de metas de COBIT v5. La clasificación de activos se realizó conforme a la Guía 5 para la gestión y clasificación de activos de información elaborada por MinTIC, ver la tabla completa en Anexo F. Clasificación de Activos de información conforme a Guía 5 (MinTIC)

Tabla 13 .Muestra de Clasificación de Activos de información conforme a Guía 5 (MinTIC)

Valor Clasificación

3 Alto

2 Medio

1 Bajo

Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad

Valor Corporativo

Valor Final Estimado

ACT1 Control de calidad productos y servicios

Repositorio de Información

Información almacenada en plataforma centralizada

Información Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.

2 3 2 2 2


Repositorio de trazabilidad

Versiones de código

Información Repositorio donde se almacena las versiones del desarrollo y piezas de código.

2 3 3 3 3


35 Departamento Administrativo de la función pública (DAFP), «Guía para administración del riesgo y el diseño de controles en entidades públicas» (10 2018). pág. 21. [En línea]. Available: https://www.funcionpublica.gov.co/documents/418548/34150781/Gu%C3%ADa+para+la+administraci%C3%B3n+del+riesgo+y+el+dise%C3%B1o+de+controles+en+entidades+p%C3%BAblicas+-+Riesgos+de+gesti%C3%B3n%2C+corrupci%C3%B3n+y+seguridad+digital+-+Versi%C3%B3n+4+-+Octubre+de+2018.pdf/68d324dd-55c5-11e0-9f37-2e5516b48a87?t=1542226781163&download=true [Ultimo Acceso: 06 05 2020]

58

5.3.2. Valoración de Riesgos identificados hacia los activos

La evaluación del riesgo permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de una organización; de esta forma es posible distinguir entre los riesgos Bajos, Moderados, Medios, Altos y Extremos y fijar las prioridades de las acciones requeridas para su tratamiento.

Para facilitar la calificación y evaluación a los riesgos, se generó la tabla presentada anteriormente donde se contempla un análisis cualitativo realizado en conjunto con la entidad, para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad)36. Ver la tabla completa en Anexo G. Valoración de riesgos identificados hacia los activos.

Tabla 14. Muestra de Valoración de riesgos identificados hacia los activos

Valor probabilidad Nivel probabilidad Valor Impacto Nivel Impacto Valor Riesgo Nivel Riesgo

5 Casi seguro 5 Extremo 5 Extremo

4 Probable 4 Alto 4 Alto

3 Posible 3 Medio 3 Medio

2 Improbable 2 Moderado 2 Moderado

Código Riesgo

Nombre del Activo

Descripción Activo

Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo Probabilidad

de Ocurrencia

Impacto

Impacto Total

Nivel de Riesgo

Inherente Reputacional Información

Legal

Financiero

ACT10 Versiones de código

Sistema de Información

Repositorio donde se almacena las versiones del desarrollo y piezas de código.

Abuso de derechos

Ausencia de control de cambios eficaz

Posible abuso de derechos por ausencia de control de cambios eficaz en las versiones de código provocando pérdida de la integridad de la pieza desarrollada.

3 4 4 3 4 4 Al Alto

Fuente: Elaboración propia

36 Departamento Administrativo de la función pública, «DAFP», «Guía para administración del riesgo» (09 2011). pág. 30. [En línea]. Available: https://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa-8182-eb99e8c4f3ba [Ultimo Acceso: 05 06 2020]

https://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa-8182-eb99e8c4f3ba

59

5.4. FASE 4: GENERACIÓN DE PROPUESTA Y COMUNICACIÓN DE LOS RESULTADOS

5.4.1. Escenarios de Desastre

El escenario de desastre es la representación de la interacción de los diferentes factores de riesgo (peligro y la vulnerabilidad), en un territorio y en un momento dado. Significa una consideración pormenorizada de las amenazas (peligros) y vulnerabilidades y, como metodología, ofrece una base para la toma de decisiones sobre la intervención en

reducción, revisión y control de riesgo37.

Tabla 15. Escenarios de Desastres

Escenario Descripción Indicación de activación de acciones de recuperación

Limitación parcial o pérdida total de servicios

Todo incidente que pueda ocasionar daños importantes en cualquiera de los equipos críticos de los servicios de la Organización y como resultado éste se encuentra inoperable, total o parcialmente.

Gerencia fábrica de software

Incidentes con proveedores de servicios de la organización

Todo incidente que pueda causar fallas o interrupciones de los servicios entregados por terceros. (ejemplo: telefonía, internet, Data Center, Colocation, Almacenamiento de datos), afectando directamente los servicios proporcionados por la organización.

Gerencia fábrica de software

Limitación en el funcionamiento de los servicios dispuestos por la Dirección Corporativa y/o Centro de Computo inoperable

Todo incidente que ocasione una pérdida parcial de los equipos o de los servicios instalados allí, inhabilitando la operatividad del Centro de Cómputo.

Dirección Corporativa

Acceso limitado a las instalaciones con limitación de Personal o evacuación del edificio (Datacenter operativo)

Todo incidente que ocasione que el personal no tenga acceso a las instalaciones, ya sea por incidentes internos o externos o por disposiciones corporativas o gubernamentales, con Centros de Cómputo sin afectación y con funcionalidad plena.


Acceso limitado a las instalaciones con Limitación de Personal o evacuación del edificio (Datacenter caído)

Todo incidente que ocasione que el personal no tenga acceso a las instalaciones, ya sea por incidentes internos o externos o por disposiciones corporativas o gubernamentales, con Centros de Cómputo afectados y funcionalidad limitada o nula.


Fuente: Elaboración del autor.

De acuerdo con la norma GTC-ISO/TS 22317 para un ejercicio a nivel de un proceso

o actividad los objetivos se deberían enfocar en la identificación de los recursos requeridos y en el orden, viabilidad y tiempo máximo disponible para recuperación, para lograr la recuperación requerida de producto y la entrega del servicio38.

37 Centro Nacional de Estimación, Prevención y Reducción del Riesgo de Desastres (CENEPRED), «Escenario

de riesgos» (01 2019). pág. 3. [En línea]. Available: https://www.indeci.gob.pe/wp-content/uploads/2019/01/fil20160516082630.pdf [Ultimo Acceso: 2020/05/06] 38 Icontec, «Guía Técnica Colombiana GTC- ISO/TS 22317» de Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 24.

https://www.indeci.gob.pe/wp-content/uploads/2019/01/fil20160516082630.pdf

https://www.indeci.gob.pe/wp-content/uploads/2019/01/fil20160516082630.pdf

60

5.4.2. Procesos Críticos con RTO y RPO

De acuerdo con la norma GTC-ISO/TS 22317 para cada grupo de productos y

servicios, la alta dirección debería decidir y documentar lo siguiente:

El tiempo después del cual la falla en la entrega de productos o servicios se convierte en inaceptable para la organización debido a que los impactos ya mencionados amenazan su supervivencia o hacen que ya no pueda cumplir sus objetivos.

las razones por las cuales se ha identificado este período de tiempo con referencia a los impactos crecientes a lo largo del tiempo39

Tabla 16. Información de procesos críticos con tiempo objetivo de recuperación y punto de recuperación objetivo

Proceso Subproceso RTO RPO Nivel de Criticidad

Responsable de definir maniobras de DRP

Servicio al cliente Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio

4 H 1 D CRÍTICO Jefe estrategia y arquitectura


Desarrollo de aplicaciones 16 H 1 D CRÍTICO Jefe estrategia y arquitectura


Aseguramiento de la calidad 16 H 1 D CRÍTICO Jefe estrategia y arquitectura


Entrega del paquete al cliente - Despliegue

16 H 1 D CRÍTICO Jefe estrategia y arquitectura

Venta Consultiva Ventas 10 D 1 D MEDIO Jefe estrategia y arquitectura

Gestión de proyectos Proyectos de implementación 10 D 1 D MEDIO Jefe estrategia y arquitectura

Transición de la Solución

Del pedido al recaudo 10 D 1 D MEDIO Jefe estrategia y arquitectura


Para el caso de este proyecto los tiempos desarrollados de RTO y RPO surgen de la priorización de los procesos misionales frente a la prestación del servicio y fueron determinados y adheridos por la organización.


de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA), Bogotá, Icontec, 2012, pág. 10 RTO: Tiempo Objetivo de Recuperación, tiempo meta posterior a un incidente para la reanudación de la entrega de un producto o servicio. Fuente: Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 20). RPO: Punto Objetivo de Recuperación, punto en el cual la información usada por una actividad se debe restaurar para posibilitar que la actividad se reanude. Fuente: Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 20).

61

5.4.3. Información de recursos necesarios en la estrategia de protección

En este ítem se realizó la documentación del tiempo objetivo de respuesta y el punto objetivo de respuesta según el proceso, el recurso, el tipo de archivo.

Unidad Descripción

H Hora

D Días

S Semana Tabla 17. Recursos necesarios en la estrategia de protección

Proceso Recurso Tipo

Activo Descripción RTO RPO



Información

Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.

4 H 1 D




4 H 1 D


Herramienta de Hallazgos


Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.

4 H 1 D


Bases de datos - Ambiente de Pruebas

Información

Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.

4 H 1 D

62





Software

Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.

4 H N/A


Servidores - Ambiente de Pruebas

Software Software encargado de ordenar y controlar los procesos relacionado con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.

4 H N/A



Información

Repositorio de consulta y actualización de documentos donde se almacena la documentación de desarrollo y de los procesos de negocio que han sido documentados, de igual forma también se encuentra el script de funcionamiento del desarrollo a realizar.

4 H 1 D


Infraestructura Software

Consola con rutinas e interpretación para creación de programas y piezas de software, este puede contener lógica de negocio e información obtenida desde el repositorio de trazabilidad del producto.

4 H N/A


Repositorio de Trazabilidad



4 H 1 D


Línea base producto para despliegue

Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas.

4 H 1 D



Información Repositorio donde se almacena las versiones del desarrollo y piezas de código que han sido definidas para integración y despliegue de la solución producto.

4 H 1 D


Bases de datos - Ambiente de Desarrollo

Información


4 H 1 S

63





Software

Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información. En desarrollo es usado para realizar ajustes de Stored Procedures y optimización de consulta y actualización de registros.

4 H N/A


Servidores - Ambiente de Desarrollo

Software

Software encargado de ordenar y controlar los procesos relacionados con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.

4 H N/A

Servicio al cliente Herramienta de Tickets


Sistema donde se consignan los tickets solicitados por los clientes del desarrollo y del programa, estos son consultados por desarrollo y servicio al cliente.

4 H 1 D

Servicio al cliente Herramienta de Hallazgos



4 H 1 D

Servicio al cliente Línea base producto para despliegue


4 H 1 D

Servicio al cliente Base de datos - Ambiente de Demos

Información

Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente usado para presentación de producto a clientes y posibles compradores de la solución conteniendo información cercana a la real

8 H 1 S

Servicio al cliente Servidores - Ambientes de Demos

Software

Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.

8 H 1 S

64

Proceso Recurso Tipo Activo Descripción RTO RPO

Infraestructura Tecnológica

Ofimática Servicio

Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.

24 H N/A


Infraestructura Hardware

Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos

4 H N/A


Infraestructura Hardware

Elementos que permiten la conectividad de equipos y software para comunicación interna y funcionamiento de herramientas usadas en los procesos de la casa de software.

4 H N/A


Infraestructura Servicio

Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet.

4 H N/A


65

5.4.4. Operación alterna en caso de contingencia

En este ítem, se realizó la documentación de la estrategia de operación recomendada según el proceso, el recurso, tipo de activo y la sede corporativa.

Tabla 18. Operación alterna en caso de contingencia

Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?

Herramienta de Tickets


Sede Medellín

Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN.



Sede Bogotá




Sede Medellín




Sede Bogotá



Hardware Sede Medellín



Hardware Sede Bogotá


Base de datos - Ambiente de Demos

Información Sede Medellín



Información Sede Bogotá


66

Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?

Servidores - Ambientes de Demos

Software Sede Medellín



Software Sede Bogotá




Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios.












Sede Medellín




Sede Bogotá




Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios







67

Proceso Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?



Software Sede Bogotá Servicio Operado por Proveedor Home Office o Instalaciones del proveedor de servicio / Conexión VPN a los servicios




Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN



Información Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN


Infraestructura Software Sede Medellín

Acceso remoto en la modalidad de HOME OFFICE / conexión VPN


Infraestructura Software Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / conexión VPN




Sede Medellín





Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN



Hardware Sede Medellín




Hardware Sede Bogotá Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN





68

Proceso Recurso Tipo Activo Sede Estrategia General de Operación Alterna ¿Cómo se podría operar?



















Software Sede Bogotá


Infraestructura Tecnológica Ofimática Servicio Sede Medellín

Uso de Office 365 para respaldo de información

Infraestructura Tecnológica Ofimática Servicio Sede Bogotá

Uso de Office 365 para respaldo de información

Infraestructura Tecnológica Infraestructura Hardware Sede Medellín


Infraestructura Tecnológica Infraestructura Hardware Sede Bogotá


Infraestructura Tecnológica Infraestructura Servicio Sede Medellín

Conexión VPN bajo múltiples protocolos para dividir la carga de empleados que se encuentran conectando al sistema

Infraestructura Tecnológica Infraestructura Servicio Sede Bogotá

Conexión VPN bajo múltiples protocolos para dividir la carga de empleados que se encuentran conectando al sistema


69

5.4.5. Clientes en operación mínima en caso de contingencia

En este ítem, se realizó la documentación de los elementos o recursos que son necesarios para operar en contingencia, lo anterior teniendo en cuenta cada estrategia definida previamente.

Tabla 19. Clientes en operación mínima en caso de contingencia

Proceso Estrategia

RECURSOS

Software o Servicio de TI Archivos Personas Locaciones Equipo Cómputo



Servicio VPN, Cliente de Oracle, Cliente de Informix, SQL Workbench, Enterprise Architech, Office 365, configuración del servicio de internet local.

Documento contraseñas, archivos de configuración

Ver capitulo - Personas de operación Critica

HOME OFFICE

Equipo proporcionado por el proveedor



Servicio VPN, Visual Studio, Power Builder 126, Cliente de Oracle, Cliente de Informix, SQL Workbench, Enterprise Architect, Configuración del servicio de Internet Local, Office 365.



HOME OFFICE

Uso de Portátil como equipo asignado de trabajo

Servicio al cliente


Servicio VPN, Visual Studio, Power Builder 126, Cliente de Oracle, Cliente de Informix, SQL Workbench, Enterprise Architect, Configuración del servicio de Internet Local, Office 365.



HOME OFFICE

Uso de Portátil como equipo asignado de trabajo


70

5.4.6. Procedimientos antes del incidente

En este ítem, se realizó la definición de las tareas que se deben realizar y que les permitan estar preparados, para operar con la estrategia definida durante la contingencia.

Tabla 20. Procedimientos antes del incidente

Proceso Estrategia Tarea Documento requerido

Responsable

Servicio al cliente


Mantener actualizado el documento de contraseñas

Documento contraseñas

Líder del proceso



Mantener actualizado protocolo de operación en contingencia

Protocolo de Contingencia

Líder de contrato

Servicio al cliente


Mantener actualizado el documento de contraseñas

Documento contraseñas

Líder del proceso


71

5.4.7. Procedimientos durante el incidente

En este ítem, se realizó la definición de las tareas que se deben realizar, durante la operación en la contingencia.

Tabla 21. Procedimientos durante el incidente

Proceso Estrategia Tarea Responsable

Servicio al cliente


Notificar el Inicio de la operación en contingencia

Líder del proceso

Servicio al cliente


Verificar el listado de actividades en proceso y priorizar el desarrollo de las mismas

Líder del proceso

Servicio al cliente


Verificar el acceso a los recursos necesarios para operar

Equipo de Recuperación Designado

Servicio al cliente


Inicio del desarrollo de las actividades





Líder de contrato




Líder de contrato

72





Equipo de Recuperación del Proveedor




Líder del proceso




Líder del proceso



Verificar el acceso a los recursos necesarios para operar







73

5.4.8. Procedimientos después del incidente

En este ítem, se realizó la definición de las tareas que se deben realizar desde la salida de la contingencia hasta la recuperación de las operaciones.

Tabla 22. Procedimientos después del incidente


Servicio al cliente Acceso remoto en la modalidad de HOME OFFICE / uso de Office 365 para respaldo de información / conexión VPN

Notificar el retorno a la operación norma

Líder del proceso


Verificar las actividades en proceso

Líder del proceso


Priorizar inicio de la operación

Líder del proceso



Equipo de Recuperación designado




Líder del contrato

74





Líder del contrato




Líder del contrato








Líder del proceso




Líder del proceso




Líder del proceso






75

5.4.9. Proveedores operación crítica

En este ítem, se realizó la definición de los proveedores que se involucran directamente con la operación de contingencia, donde se debe definir la estrategia de recuperación determinado. Tabla 23. Proveedores operación critica

Proceso Nombre

Proveedor Servicio que presta

Principal Tipo de Contrato

Persona de contacto

Dirección Teléfono fijo

Celular e-mail ESTRATEGIA

Servicio al cliente

IT3 Colocation Principal Servicios Plataforma Sysaid

Sede principal

4570400 3001234567 [email protected]

Estrategia del proveedor


SQASAS - Calidad del Software

Calidad de Software

Principal Servicios Coordinadora SQASAS

Ubicación cliente

7917155 N/A N/A Ejecutar el proceso con personal interno de la casa de software


mailto:[email protected]


76

5.4.10. Personal operación crítica

En este ítem, se realizó la definición de las personas que se involucran directamente con la operación de contingencia, donde se debe definir rol principal y alterno. Tabla 24. Persona operación crítica

Proceso Rol en contingencia

Ubicación en contingencia

Cargo Funciones Principales

Nombre Teléfono Correo Electrónico Estrategia Suplir el Rol

Servicio al cliente

Principal Casa Ingeniero de Soporte

Mesa de Servicio, Analista de aplicaciones clínicas

Funcionario1

Celular 1

[email protected] Capacitación continua del rol principal al rol suplente

Servicio al cliente

Principal Casa Ingeniero de Desarrollo

Desarrollador de aplicaciones administrativas

Funcionario 2 Celular 2 [email protected] Capacitación continua del rol principal al rol suplente

Servicio al cliente


Mesa de Servicio, Analista de aplicaciones administrativas



Principal Casa Ingeniero de Infraestructura

Administrador de plataforma VMWare interna


Servicio al cliente




Servicio al cliente

Principal Casa Ingeniero de Desarrollo

Desarrollador de aplicaciones clínicas



77


Cargo Funciones Principales Nombre Teléfono Correo Electrónico Estrategia Suplir el Rol

Casa Ingeniero de Soporte


Funcionario 7 Celular 7 [email protected] Apoyo en caso de ausencia del rol principal Apoyo en caso de sobrecarga al rol principal

Casa Ingeniero de Infraestructura

Administrador de plataforma VMWare interna






Mesa de Servicio, Analista de aplicaciones clínicas


Casa Ingeniero de Desarrollo






Casa Analista Funcional

Diseñar aplicaciones clínicas











78


Cargo Funciones Principales Nombre Teléfono Correo Electrónico Estrategia Suplir el Rol




Casa Analista Funcional Diseñar aplicaciones administrativas



















Envío de paquetes de producto


Casa Analista Funcional Diseñar aplicaciones administrativas, envío de paquetes



79

6. PRODUCTOS A ENTREGAR

Se entregará los siguientes documentos:

Análisis de cascada de metas elaborado conforme a marco de referencia COBIT v5

Documento con la clasificación de los activos de información

Documento de valoración del riesgo

Documento con recomendaciones para generar el DRP

Documento de proyecto de grado para entrega a la universidad

Artículo en formato IEEE para entrega a la universidad.

7. ENTREGA DE RESULTADOS E IMPACTOS

Como resultado se plantea definir los activos de alto valor para la organización, estableciendo los riesgos a los cuales pueden verse asociados los activos.

7.1. ENTREGA DE RESULTADOS E IMPACTOS FASE 1

Se realizó un análisis de la estructura de la organización de acuerdo a la información compendiada, definiendo la historia de la Casa de Software y analizando los procesos que constituyen los objetivos del negocio encontrando que procesos como Servicio al cliente, Gestión de recursos físicos, Planeación estratégica, Venta consultiva, Transición de la solución e Infraestructura tecnológica no se encuentran documentados, razón por la cual no se definen activos de información desde la documentación del proceso.


Se realiza la familiarización con los funcionarios a través de la entrevista, la cual arroja los siguientes resultados:

80

Figura 10. ¿Conoce usted los procesos que rigen las labores que se realizan en la UEN Salud?


En la figura 10, se determina que el 100% de los encuestados conoce los procesos que rigen las labores que se realizan en la Unidad Estratégica de Negocios en Salud (UEN Salud). Figura 11. Dentro de su experiencia ¿Cuáles de estos procesos pueden considerarse como críticos para el funcionamiento de la UEN Salud? (Las 3 opciones más importantes)


En la figura 11, se determina que para los encuestados los 3 procesos críticos más importantes para UEN Salud son: Servicio al cliente, Diseño, desarrollo, integración y despliegue, Arquitectura y el que consideran menos importante es Gestión del portafolio de proyectos.

81

Figura 12. ¿Cuáles de estos procesos apoyan a su Área de Gestión? (Las 3 opciones más importantes)


En la figura 12, se determina que para los encuestados los 3 procesos más importantes que apoyan su área de gestión son: Arquitectura, Diseño, desarrollo, integración y despliegue, y Gestión de la Configuración y los que consideran menos importantes son: entrenamiento organizacional, Gestión de procesos, Gestión de recursos físicos, Gestión del portafolio de proyectos, Medición y análisis, Planeación estratégica, Toma de decisiones formales y Transición de la solución. Figura 13. ¿conoce usted las áreas que deben ejecutar procesos de apoyo a su área de gestión?


En la figura 13, se determina que el 90% de los encuestados SI conoce los procesos apoyo a su área de gestión, mientras que el 10% de los encuestados no los conoce.

82

Figura 14. ¿Conoce usted los servicios que se prestan desde su área de gestión?


En la figura 14, se determina que el 100% de los encuestados conoce los procesos que los servicios que se prestan desde su área de gestión. Figura 15. ¿Cuáles de estos Servicios se relacionan directamente con su Área de Gestión? (Las 3 opciones más importantes)


En la figura 15, se determina que para los encuestados los 3 servicios más importantes que se relacionan directamente con su Área de Gestión son: Desarrollo, Infraestructura, y Arquitectura y los que consideran menos importantes son: Business Intelligent, Preventa y Administrativa.

83

Figura 16. ¿Cuáles de estos Servicios apoyan a su área de Gestión? (Las 3 opciones más importantes)


En la figura 16, se determina que para los encuestados los 3 servicios más importantes que se apoyan su Área de Gestión son: Infraestructura, Desarrollo y Bases de datos y el que consideran menos importante es: Administrativa. Figura 17. ¿conoce usted las áreas que deben ejecutar los servicios a su Área de gestión?


En la figura 17, se determina que el 100% de los encuestados conoce las áreas que deben ejecutar los servicios a su Área de gestión.

84

Figura 18. ¿Cuáles de estos Productos se relacionan directamente con su Área de Gestión? (Las 3 opciones más importantes)


En la figura 18, se determina que para los encuestados los 3 productos más importantes que se relacionan directamente con su Área de Gestión son: Service Clinical Suite Enterprise, Service WEB, y Gestor y el que consideran menos importantes es: One. Figura 19. ¿Conoce que componentes hacen parte de los productos a los cuales su Área realiza gestión?


En la figura 19, se determina que el 100% de los encuestados conoce que componentes hacen parte de los productos a los cuales su área realiza gestión.

85

Figura 20. ¿De los componentes aquí listados seleccione los que apliquen al producto 1? (Las 3 opciones más importantes)


En la figura 20, se determina que para los encuestados los 3 componentes que aplican para el producto 1 son: BD, Servidor Aplicaciones y Servidor Componentes y los que consideran menos importantes son: Servidor Micro servicios, Infraestructura de Almacenamiento, Infraestructura de Servidores, Infraestructura de Redes. Figura 21. ¿De los componentes aquí listados selecciones los que apliquen al producto 2? (Las 3 opciones más importantes)


En la figura 21, se determina que para los encuestados los 3 componentes que aplican para el producto 2 son: BD, Servidor Componentes y Servidor Aplicaciones los que consideran menos importantes son: Infraestructura de Almacenamiento y Repositorio de código fuente.

86

Figura 22. ¿De los componentes aquí listados selecciones los que apliquen al producto 3? (Las 3 opciones más importantes)


En la figura 22, se determina que para los encuestados los 3 componentes que aplican para el producto 3 son: BD, Servidor Aplicaciones y Servidor Componentes y el que consideran menos importante es: Repositorio de código fuente. Figura 23. ¿Conoce usted como se protegen los archivos, documentos, diseños o piezas de código que genera su área de gestión para el desarrollo del producto?


En la figura 23, se determina que el 70% de los encuestados SI conoce como se protegen los archivos, documentos, diseños o piezas de código que genera su área de gestión para el desarrollo del producto, mientras que el 30% de los encuestados no los conoce.

87

Figura 24. Conoce los ambientes ligados a fabricación y puesta en marcha de productos generados en el área


En la figura 24, se determina que el 80% de los encuestados SI conoce los ambientes ligados a fabricación y puesta en marcha de productos generados en el área, mientras que el 20% de los encuestados no los conoce. Figura 25. De los ambientes sugeridos ¿en cuales se ve involucrado en desarrollo de sus funciones? (las 3 opciones más importantes)


En la figura 25, se determina que para los encuestados los 3 ambientes que se ven involucrados en el desarrollo de sus funciones son: Ambiente de desarrollo, Ambiente de calidad y Ambiente de demostración.

88

Figura 26. De los ambientes sugeridos ¿Cuáles son los ambientes que deben ser clasificados y protegidos para el normal funcionamiento del área? (las 3 opciones más importantes)


En la figura 26, se determina que para los encuestados los 3 ambientes que deben ser clasificados y protegidos para el funcionamiento normal del área son: Ambiente de desarrollo, Ambiente de calidad y Ambiente de demostración. Figura 27. ¿Conoce usted como se protegen los ambientes de fabricación en los que trabaja su área de gestión?


En la figura 27, se determina que el 70% de los encuestados SI conoce como se protegen los ambientes de fabricación en los que trabaja su área de gestión, mientras que el 23% de los encuestados no los conoce.

89

Figura 28. ¿Conoce usted los controles dispuestos por el área / organización para la protección de los activos de información?


En la figura 28, se determina que el 70% de los encuestados SI conoce como se protegen los ambientes de fabricación en los que trabaja su área de gestión, mientras que el 23% de los encuestados no los conoce. Figura 29. Dentro de los controles que usted conoce / desea en la organización ¿Cuáles de las siguientes opciones deben incluirse? (Las 3 opciones más importantes)


En la figura 29, se determina que para los encuestados los 3 controles que deben incluir en la organización son: Ambiente de desarrollo, Ambiente de calidad y Ambiente de demostración.

90

Dado lo anterior se procede a comparar los procesos reportados por el plan de Continuidad con los procesos publicados por la entidad, ya que estos fueron usados para el levantamiento de información desarrollo de la entrevista de campo, por tal motivo se procede a levantar el contraste con los procesos definidos como críticos por el plan de continuidad y los procesos similares que se encuentren publicados y definir los procesos a trabajar en el desarrollo del presente documento. Tabla 25. Contraste Procesos publicados y Procesos en Plan de Continuidad

Proceso validado Proceso Publicado

Proceso definido en Plan de continuidad como críticos

Observación

Servicio al cliente Servicio al cliente Soporte a Clientes (2do y 3er Nivel) - Mesa de Servicio

Se debe definir el proceso para validar la concordancia con lo definido en el plan de continuidad

Desarrollo Diseño, desarrollo, integración y despliegue

Desarrollo de aplicaciones

Se recomienda definir el desarrollo dentro

Aseguramiento de la calidad


Aseguramiento de la calidad

Se debe definir si se hace referencia al control de calidad de los productos y servicios o al aseguramiento de la calidad de los procesos

Despliegue Diseño, desarrollo, integración y despliegue

Entrega de desarrollo a clientes

Se recomienda definir la entrega de desarrollo como parte del proceso de ‘Diseño, desarrollo, integración y despliegue’


91

7.2.1. Totalización procesos habilitadores relacionados con procesos críticos

Tabla 26. Totalización habilitadores críticos necesarios para la generación de la estrategia

PUNTAJES

CA

SCA

DA

PU

NTO

S D

E

DO

LOR

DIA

GN

OST

ICO

D

E G

ESTI

ÓN

DE

CO

NC

IEN

CIA

Asigne un Peso a cada Criterio de Calificación: 3 2 1

PROCESOS COBIT 5 VALOR 1 VALOR 2 VALOR 3 PUNTAJE TOTAL

Evaluar, Orientar y Supervisar

EDM02 Asegurar la entrega de beneficios 5 3 3 24 5

EDM04 Asegurar la optimización de recursos 4 4 5 25 5

Alinear, Planificar y Organizar

APO01 Gestionar el marco de gestión de TI 5 3 5 26 5

APO02 Gestionar la estrategia 5 5 4 29 5

APO05 Gestionar el portafolio 4 4 5 25 5

Construcción, Adquisición e Implementación

BAI08 Gestionar el conocimiento 3 1 5 16 3

BAI09 Gestionar los activos 2 1 5 13 3

BAI10 Gestionar la configuración 3 1 3 14 3

Entregar, Dar servicio y Soporte

DSS04 Gestionar la continuidad 5 2 5 24 5


Al realizar la cascada de metas propuesta por COBIT v5 se logró priorizar los procesos como habilitadores que deben ser tenidos en cuenta en el planteamiento de la estrategia dirigida a la concepción de un plan de recuperación de desastres donde se demuestra que la organización prioriza la gestión de la continuidad dentro de los habilitadores importantes dentro de la estrategia, de igual forma se evidencia la conciencia relacionada con la gestión de los activos involucrados; el instrumento de la cascada de metas permite elaborar una descripción de los procesos que deben ser tenidos en cuenta al momento de plantear una estrategia de protección, razón por la cual y siendo consistentes con la norma GTC-ISO/TS 22317, ya que permite identificar productos y servicios que deben ser gestionados desde la estrategia ofreciendo una herramienta base para determinar las categorías y criterios de impactos.

92


7.3.1. Clasificación de Activos de información con mayor relevancia para la elaboración de la estrategia conforme

a Guía 5 (MinTIC)

Tabla 27. Muestra de Activos con Clasificación Alta

Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo






2 3 3 3 3

ACT10 Diseño, desarrollo Integración y despliegue





3 3 3 3 3





3 3 2 3 3


Al realizar la valoración de activos conforme a lo especificado por la guía de clasificación de información #5 de MinTIC se logró presentar una forma estándar para comprender la importancia de la información para la organización, coadyuvando al cumplimiento de la priorización de productos y servicios, principalmente, con el aseguramiento de la continuidad de la misma, siendo consistente con lo especificado por la Norma GTC-ISO/TS 22317, el caso aplicado toma como base la determinación de activos dirigidos a los objetivos del negocio.

93

7.3.2. Resultado de Valoración de Riesgos identificados hacia los activos con nivel de riesgo alto y extremo

Tabla 28. Resultado de valoración de riesgos identificados hacia los activos con nivel de riesgo alto y extremo






1 Raro 1 Bajo 1 Bajo

Código Riesgo

Nombre del Activo

Descripción Activo


de Ocurrencia

Impacto

Impacto Total

Nivel de Riesgo Inherente

Reputacional Información

Legal

Financiero

ACT1


Información


Daño por agua

Almacenamiento sin protección

Posible daño del hardware de almacenamiento por humedad, debido a la falta de mantenimiento del aire acondicionado, afectando la integralidad, secuencialidad, disponibilidad y oportunidad de la plataforma almacenada

3 3 4 3 4 4 Al Alto

ACT1


Información


Falla del equipo A

Susceptibilidad a las variaciones de voltaje

Posible daño del servidor con misión plataforma por caídas constantes de fluido eléctrico Afectando al integridad de la información y la disponibilidad de los mismos

2 3 4 3 4 4 Al Alto

94

Código Riesgo

Nombre del Activo

Descripción Activo


de Ocurrencia

Impacto

Impacto Total



Legal

Financiero


Información


Mal funcionamiento del equipo A

Ausencia de copias de respaldo

Posible daño por mal funcionamiento del equipo afectando la integridad y la disponibilidad de la información por ausencia de copias de respaldo afectando el punto de recuperación objetivo, ocasionando retrasos en el desarrollo de proyectos de desarrollo.

5 3 4 3 4 4 Ex Extremo

ACT8 Arquitectura de la aplicación

Información

Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.

Divulgación Copia no controlada

Posible pérdida de confidencialidad de la información de vida a la emisión de copias no controladas que puede ocasionar presentación de propiedad intelectual y fugas de información.

3 4 3 4 5 4 Al Alto




Abuso de derechos



3 4 4 3 4 4 Al Alto

ACT19 Estructura de la base de datos

Información


Corrupción de los datos


Posible pérdida de integridad y capacidad de recuperación por ausencia de copias de respaldo de la información y estructura de la base de datos del ambiente de demostración, ocasionando afectación en las funciones comerciales y de preventa con repercusiones financieras y de reputación como producto.

4 5 4 3 4 4 Al Alto

95

Código Riesgo

Nombre del Activo

Descripción Activo


de Ocurrencia

Impacto

Impacto Total

Nivel de Riesgo

Inherente Reputacional

Información

Legal

Financiero

ACT21 Ofimática en Nube

Servicio


Uso no autorizado del equipo

Uso incorrecto de software y hardware

Se afecta la disponibilidad, integridad y confidencialidad del programa Office de los usuarios administrativos, debido a que el office en los equipos de cartera fue descargado de forma fraudulenta, por los bajos controles en tecnología y descarga de la compañía, afectando el uso del hardware y los equipos del área de cartera, deteniendo la recuperación de las cuentas de los servicios domiciliarios.

3 4 3 5 4 4 Al Alto

ACT22 Correo en Nube

Servicio

Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube

Divulgación

Tráfico sensible sin protección

Perdida de la confidencialidad de la información por posible tráfico de información sensible provocado por envío de información sin encriptación desde el servidor de correo de la organización

3 4 4 4 3 4 Al Alto

ACT23 Servidores Hardware


Destrucción o daño del equipo o los medios

Ausencia de esquemas de reemplazo

Perdida de disponibilidad por destrucción o daño del equipo a falta de un esquema de reemplazo del mismo provocando apagado de recursos de servidor ligados a la afectación de almacenamiento y host de virtualización


Fuente: Elaboración del autor. El análisis de Riesgos permitió definir la probabilidad e impacto frente a lo evidenciado en la organización siendo consistente con el planteamiento de una estrategia de protección a los activos involucrados en la prestación de los servicios de la organización , lo anterior considerando que el impacto de los incidentes sobre los activos se encuentra estrechamente relacionados con la velocidad de recuperación de los servicios para cumplir con los objetivos de negocio, conforme a lo estipulado en la GTC-ISO/TS 22317 donde supone que la organización debe preparase para cualquier incidente relacionado con interrupción.

96


Se realiza planteamiento de estrategia de protección proponiendo la generación de un plan de recuperación de desastres (DRP) tomando en cuenta la necesidad de continuidad dentro de la priorización de sus procesos.

Se realiza generación de la propuesta tomando en cuenta los siguientes componentes de la estrategia:

Tabla 29. Componentes de planteamiento de estrategia

Componente Estrategia Descripción Ubicación en el Documento

Escenarios de desastre Escenarios simulados propuesto que iniciaran labores de recuperación de desastres.

5.4.1 Escenarios de desastre

Información de procesos críticos con RTO Y RPO

Información de procesos donde se definen puntos y tiempos objetivos de recuperación (RPO y RTO) para los procesos en estudio.

5.4.2 Información de procesos críticos con RTO Y RPO

Información de recursos necesarios en la estrategia de protección

Información de procesos donde se definen puntos y tiempos objetivos de recuperación (RPO y RTO) para los procesos en estudio

5.4.3 Información de recursos necesarios en la estrategia de protección

Operación Alterna en caso de contingencia

Define la estrategia general de operación alterna

5.4.4.Operación Alterna en caso de contingencia

Clientes en Operación Mínima en caso de contingencia

Define la configuración mínima de los clientes que se encuentran en operación alterna

5.5.5 Clientes en Operación Mínima en caso de contingencia

Procedimientos antes del incidente

Describe las actividades a consideran antes de la ocurrencia de un incidente

5.4.6 Procedimientos antes del incidente

Procedimientos durante el incidente

Describe las actividades a consideran durante la ocurrencia de un incidente y su correspondiente activación de contingencia

5.4.7 Procedimientos durante el incidente

Procedimientos después del incidente

Describe las actividades a consideran después de contingencia y eventos para retornar a la operación

5.4.8 Procedimientos después del incidente

Proveedores Operación Crítica

Describe los proveedores descritos que deben apoyar labores de contingencia y eventos para retornar a la operación

5.4.9 Proveedores Operación Crítica

Personas Operación Crítica

Describe las personas mínimas requeridas que deben apoyar labores de contingencia y eventos para retornar a la operación

5.4.10 Personas Operación Crítica


97

8. NUEVAS ÁREAS DE ESTUDIO

Dentro de las nuevas áreas a explorar, se propone a la organización la implementación del análisis del impacto en el negocio considerando que cuenta con la suficiente complejidad para reforzar la estrategia generada, lo anterior dentro de un marco de mejora continua que permita realizar actualizaciones en la clasificación de activos, reforzar conceptos en el análisis de riesgos y obtener nuevas percepciones en la elaboración del plan de recuperación de desastres

9. CONCLUSIONES

Adaptar la cascada de metas de COBIT v5 sirve como herramienta de contraste y tamizaje para realizar priorización de procesos previamente constituidos, si bien es cierto que no reemplaza la implementación de un análisis de impacto del negocio si sirve para establecer la base de una estrategia de protección de activos de información adecuada para los procesos de negocio.

Con el análisis de riesgos, se logró verificar la importancia del activo teniendo en cuenta las amenazas y vulnerabilidades a las que está expuesto, de igual forma estimar la importancia de lo mínimo con que debe contra la estrategia de protección para proteger los activos contemplados en los procesos.

Con la clasificación de activos de información se logró brindar un nivel de tratamiento a cada tipo de activo, esto con el fin de proteger su integridad, confidencialidad y disponibilidad, además de usar guías propuestas por el gobierno de Colombia que sirvan para constatar la preservación de activos intangibles en organizaciones de diversa naturaleza

La estrategia de protección incorporada al plan de recuperación de desastres (DRP) permite que la organización logre definir componentes que puedan estar involucrados desde una posición holística a la tecnología y encausar la importancia de sus equipos, herramientas e información para dar un tratamiento adecuado y constituirlo como parte integral de un esquema de continuidad del Negocio.

98

10. BIBLIOGRAFÍA

ALARCÓN T, C., CANTILLO M, L. J. & CASTILLO T, W. (2018). Adaptación de los

procesos del marco de referencia COBIT v5 para Pymes del sector salud. Bogotá, Colombia. Facultad de Ingeniería. Programa de Ingeniería de Sistemas. Trabajo de Grado (Especialización Auditoría de Sistemas de Información). Universidad Católica de Colombia. Recuperado el 30 de 04 de 2020. Obtenido de: https://repository.ucatolica.edu.co/handle/10983/22407

BACA, U. G. (2016). Introducción a la seguridad informática. Created from biblioucatolicasp on 2020-04-28 14:46:07 Obtenido de: http://ebookcentral.proquest.com

BARRAGÁN N, L. F. & PUENTES G, Y. (2016). Propuesta para el diseño del plan de recuperación de desastres DRP caso: unidad administrativa especial de catastro distrital UAECD. Trabajo de Grado (Especialización Seguridad de la Información). Universidad Católica de Colombia. Recuperado el 01 de 11 de 2019. Obtenido de: https://repository.ucatolica.edu.co/bitstream/10983/14044/4/Proyecto%20Final.pdf

Centro Nacional de Estimación. Prevención y Reducción del Riesgo de Desastres (CENEPRED). (01 2019). Escenario de riesgos. (pág. 3). Recuperado el 06 de 05 de 2020, Obtenido de: https://www.indeci.gob.pe/wp-content/uploads/2019/01/fil20160516082630.pdf

COBIT v5. Procesos catalizadores. Isaca Framework. Estados unidos. (2012). pág. 13

COBIT v5. Procesos catalizadores. Isaca Framework. Estados unidos. (2012). págs. 15, 16

COBIT v5. Procesos catalizadores. Isaca Framework. Estados unidos. (2012). pág. 15

Congreso de la República de Colombia. (14 de 07 de 2000). Ley 594 de 2000. Recuperado el 31 de 03 de 2020, Obtenido de: https://www.mintic.gov.co/portal/604/articles-15049_documento.pdf

Congreso de la República de Colombia. (31 de 12 de 2008). Ley 1266 de 2008. Recuperado el 31 de 03 de 2020. Obtenido de: https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488

Congreso de la República de Colombia. (30 de 07 de 2009). Ley 1431 de 2009. Recuperado el 31 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/portal/inicio/3707:Ley-1341-de-2009

Congreso de la República de Colombia. (05 de 01 de 2009). Ley 1273 de 2009. Recuperado el 31 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/portal/inicio/3705:Ley-1273-de-2009

http://ebookcentral.proquest.com/

99

Congreso de la República de Colombia. (31 de 01 de 2020). Ley 2015 de 2020. Recuperado el 31 de 03 de 2020. Obtenido de: https://dapre.presidencia.gov.co/normativa/normativa/LEY%202015%20DEL%2031%20DE%20ENERO%20DE%202020.pdf

CORTÉS A, A. M., & RIOS G, J. E. (2012). Análisis, diseño, desarrollo e implementación de un plan de recuperación de desastres (DRP) para una entidad financiera. Trabajo de Grado (Especialización Gerencia de Proyectos) Universidad Piloto de Colombia. Recuperado el 01 de 11 de 2019. Obtenido de: http://polux.unipiloto.edu.co:8080/00000753.pdf

Departamento Administrativo de la función pública. (09 2011). Guía para administración del riesgo (pág. 30). Recuperado el 06 de 05 de 2020. Obtenido de: https://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa-8182-eb99e8c4f3ba

Departamento Administrativo de la función pública. (10 2018). Guía para administración del riesgo y el diseño de controles en entidades públicas (pág. 21). Recuperado el 06 de 05 de 2020. Obtenido de: https://www.funcionpublica.gov.co/documents/418548/34150781/Gu%C3%ADa+para+la+administraci%C3%B3n+del+riesgo+y+el+dise%C3%B1o+de+controles+en+entidades+p%C3%BAblicas+-+Riesgos+de+gesti%C3%B3n%2C +corrupci%C3%B3n+y+seguridad+digital+-+Versi%C3%B3n+4+-+Octubre +de+2018.pdf/68d324dd-55c5-11e0-9f37-2e5516b48a87?t=1542226781163 =&download=true

Enciclopedia económica. (2020). ¿Qué es el muestreo no probabilístico? Recuperado el 29 de 05 de 2020. Obtenido de: https://enciclopediaeconomica.com/muestreo-no-probabilistico/

Eset. (06 de 11 de 2014). Business Impact Analysis (BIA) y la importancia de priorizar procesos. Recuperado el 22 de 10 de 2019. Obtenido de: https://www.welivesecurity.com/la-es/2014/11/06/business-impact-analysis-bia/

Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directrices para el Análisis de Impacto en el Negocio (BIA) (pág. 2). Bogotá: Icontec

Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directices para el Análisis de Impacto en el Negocio (BIA) (pág. 5). Bogotá: Icontec

Icontec. (18 de 10 de 2017). Guía Técnica Colombiana GTC- ISO/TS 22317. En Seguridad de la Sociedad. Sistemas de Gestión de la Continuidad de Negocio _ Directices para el Análisis de Impacto en el Negocio (BIA) (pág. 6). Bogotá: Icontec.

100




Icontec. (2012). Norma Técnica Colombiana NIC 5722. En Sistemas de Gestión de Continuidad de Negocio _ Requisitos (págs. 2,6). Bogotá: Icontec.

Icontec. (2012). Norma Técnica Colombiana NIC 5722. En Sistemas de Gestión de Continuidad de Negocio _ Requisitos (pág. 2). Bogotá: Icontec.

Icontec. (2012). Norma Técnica Colombiana NTC 5722. En Sistemas de Gestión de Continuidad de Negocio (pág. 7). Bogotá: Icontec.

Icontec. (2012). Norma Técnica Colombiana NTC 5722. En Sistemas de Gestión de Continuidad de Negocio _ Requisitos (págs. 2,6). Bogotá: Icontec.

ISO 22301 Sistemas de Gestión & Continuidad del Negocio. (22 de 10 de 2015). ISO 22317 una receta fiable para llevar a cabo el análisis de impacto en el negocio (BIA). Recuperado el 11 de 03 de 2020. Obtenido de: http://normaiso22301.com/iso-22317-una-guia-practica-la-elaboracion-del-bia-business-impact-analysis/

ISOTools. (09 de 04 de 2014). ISO 22301 y su relación con el ciclo PHVA. Recuperado el 11 de 03 de 2020. Obtenido de https://www.isotools.com.co/iso-22301-y-su-relacion-con-el-ciclo-phva/

ISOTools . (28 de 05 de 2019). ISO 9001 y el ciclo PHVA. Recuperado el 20 de 10 de 2019. Obtenido de https://www.nueva-iso-9001-2015.com/2019/05/ciclo-phva-en-iso-9001/

Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC). (12 de 05 de 2015). Guía para realizar el Análisis de Impacto de Negocio BIA (pág. 6). Recuperado el 26 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf

MinTIC. (15 de 03 de 2016). Guía para la gestión de activos de información. (pág. 11) Recuperado el 26 de 03 de 2020. Obtenido de: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

101

MinTIC. (15 03 2016) . Guía para la gestión de activos de información. (págs. 16 - 18). Recuperado el 02 de 05 de 2020. Obtenido de: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

Netquest. (29 05 2015). Muestreo no probabilístico: muestreo por conveniencia.

Recuperado el 29 de 05 de 2020. Obtenido de: https://www.netquest.com/blog/es/blog/es/muestreo-por-conveniencia.

PASCUAL M, S. (10 de 2015). Business Continuity Plan – Conceptos Teóricos y

Simulación Practica. Leganez, España. Trabajo de Grado (Pregrado en Ingenieria Técnica en Informatica de Gestión). Universidad Carlos III Madrid. Recuperado el 01 de 11 de 2019. Obtenido de: https://e-archivo.uc3m.es/bitstream/handle/10016/25756/PFC_Samuel_Pascual_Martin.pdf

Presidencia de la República de Colombia. (27 de 06 de 2013). Decreto 1377 de 2013. Recuperado el 31 de 03 de 2020. Obtenido de: http://www.suin-juriscol.gov.co/viewDocument.asp?ruta=Decretos/1276081

Revista Espacios. (01 de 08 de 2017). Modelo de evaluación de gestión de Modelo de evaluación de gestión de norma ISO 22301:2012. Recuperado el 11 de 03 de 2020. Obtenido de: https://www.revistaespacios.com/a17v38n54/a17v38n54p03.pdf

Revista Semana. (17 de 10 de 2018). La clave es el "software". Recuperado el 26 de 03 de 2020. Obtenido de: http://www.semana.com/opinion/articulo/industria-del-software-en-colombia-columna-de-esteban-piedrahita/587171

Velneo. (16 de 01 de 2019). El desarrollo de software de gestión en Colombia en 2019. Recuperado el 26 de 03 de 2020. Obtenido de: https://velneo.es/el-desarrollo-de-software-de-gestion-en-colombia-en-2019/.

102

11. ANEXOS

Anexo A. Tabla Matriz entre las Metas Corporativas y las Metas relacionadas con TI

103


104

Anexo B. Tabla Matriz entre las metas de TI y los procesos de COBIT v5

106


107

Anexo C. Tabla Matriz Puntos de dolor

109


110

Anexo D. Tabla Matriz Diagnostico de la Gestión de Conciencia

111


112

Anexo E. Totalización de Totalización procesos habilitadores relacionados con procesos críticos

114


115

Anexo F. Clasificación de Activos de información conforme a Guía 5 (MinTIC)

Valor Clasificación 3 Alto

2 Medio

1 Bajo






Información Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.

2 3 2 2 2





2 3 3 3 3



Información de hallazgo



2 2 3 3 3



Estructura de la base de datos

Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.

2 3 2 2 2



Motor de la base de datos

Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.

1 2 2 2 2

116





Sistema operativo

Software Software encargado de ordenar y controlar los procesos relacionas con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.

1 2 2 1 1




Información Repositorio de consulta y actualización de documentos donde se almacena la documentación de desarrollo y de los procesos de negocio que han sido documentados, de igual forma también se encuentra el script de funcionamiento del desarrollo a realizar.

3 2 2 3 3



Arquitectura de la aplicación

Información Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.

3 2 2 3 3


Infraestructura Programa desarrollo de aplicaciones

Software Consola con rutinas e interpretación para creación de programas y piezas de software, este puede contener lógica de negocio e información obtenida desde el repositorio de trazabilidad del producto.

2 2 2 2 2





Repositorio donde se almacena las versiones del desarrollo y piezas de código. 3 3 3 3 3



Servidor Archivos


2 2 2 2 2





3 3 2 3 3

117






Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.

2 3 2 2 2




Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información. En desarrollo es usado para realizar ajustes de Stored Procedures y optimización de consulta y actualización de registros.

2 2 3 2 2



Sistema operativo

Software Software encargado de ordenar y controlar los procesos relacionas con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.

2 2 2 1 2

ACT16 Servicio al cliente


Información de Tickets


Sistema donde se consignan los tickets solicitados por los clientes del desarrollo y del programa, estos son consultados por desarrollo y servicio al cliente.

2 3 3 2 2



Información de hallazgo



3 2 2 3 3



Servidor Archivos

Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas. 2 2 3 2 2




Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente usado para presentación de producto a clientes y posibles compradores de la solución conteniendo información cercana a la real

2 2 3 3 3

118

Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad

Valor Corporativo





Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.

2 3 3 2 2

ACT21 Infraestructura Tecnológica

Ofimática Ofimática en Nube

Servicio Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.

2 2 3 3 3


Ofimática Correo en Nube

Servicio Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube

3 2 2 3 3


Infraestructura Servidores Hardware Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos

2 2 3 2 2


Infraestructura Redes Hardware Elementos que permiten la conectividad de equipos y software para comunicación interna y funcionamiento de herramientas usadas en los procesos de la casa de software

2 2 2 2 2


Infraestructura VPN Servicio Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet.

3 2 2 2 2


119

Anexo G. Valoración de riesgos identificados hacia los activos






1 Raro 1 Bajo 1 Bajo

Código Riesgo

Nombre del Activo

Descripción Activo

Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo

Probabilidad de

Ocurrencia

Impacto Impacto Total

Nivel de Riesgo


Información Legal

Financiero

ACT1 Información almacenada en plataforma centralizada

Información


Daño por agua

Almacenamiento sin protección

Posible daño del hardware de almacenamiento por humedad, debido a la falta de mantenimiento del aire acondicionado, afectando la integralidad, secuencialidad, disponibilidad y oportunidad de la plataforma almacenada

3 3 4 3 4 4 Al Alto

120

Código Riesgo

Nombre del Activo

Descripción Activo

Tipo Activo Amenaza Vulnerabilidades Redacción del

Riesgo

Probabilidad

de Ocurrencia

Impacto

Impacto Total


Reputacional Información Legal

Financiero

ACT1


Información


Falla del equipo A

Susceptibilidad a las variaciones de voltaje

Posible daño del servidor con misión plataforma por caídas constantes de fluido eléctrico Afectando al integridad de la información y la disponibilidad de los mismos

2 3 4 3 4 4 Al Alto


Información



Descarga y uso no controlados de software

Posible corrupción de los datos por descarga y uso no controlados de software afectando la integridad y la confidencialidad del código, ocasionando reprocesos en el desarrollo de piezas de código y generación de código basura.

3 3 4 2 3 3 Me

Medio

121

Código Riesgo

Nombre del Activo

Descripción Activo


Riesgo

Probabilidad de

Ocurrencia

Impacto

Impacto Total

Nivel de Riesgo


Información

Legal

Financiero

ACT3 Información de hallazgo



Saturación del sistema de información A, D

Habilitación de servicios innecesarios

Posible saturación del sistema de información por habilitación de servicios innecesarios afectando la integridad y la disponibilidad y oportunidad de respuesta del sistema de información por consulta de información no requerida

2 2 4 3 2 3 Me Medio

ACT8 Arquitectura de la aplicación

Información

Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.

Divulgación Copia no controlada

Posible pérdida de confidencialidad de la información de vida a la emisión de copias no controladas que puede ocasionar presentación dé propiedad intelectual y fugas de información.

3 4 3 4 5 4 Al Alto

122

Código Riesgo

Nombre del Activo

Descripción Activo


Riesgo

Probabilidad de

Ocurrencia

Impacto

Impacto Total

Nivel de Riesgo

Inherente Reputacional Información

Legal

Financiero




Abuso de derechos



3 4 4 3 4 4 Al Alto

ACT19 Estructura de la base de datos

Información




Posible pérdida de integridad y capacidad de recuperación por ausencia de copias de respaldo de la información y estructura de la base de datos del ambiente de demostración, ocasionando afectación en las funciones comerciales y de preventa con repercusiones financieras y de reputación como producto.

4 5 4 3 4 4 Al Alto

123

Código Riesgo

Nombre del

Activo

Descripción Activo


de Ocurrencia

Impacto

Impacto Total

Nivel de Riesgo


Información Legal

Financiero

ACT21 Ofimática en Nube

Servicio


Uso no autorizado del equipo

Uso incorrecto de software y hardware

Se afecta la disponibilidad, integridad y confidencialidad del programa Office de los usuarios administrativos, debido a que el office en los equipos de cartera fue descargado de forma fraudulenta, por los bajos controles en tecnología y descarga de la compañía, afectando el uso del hardware y los equipos del área de cartera, deteniendo la recuperación de las cuentas de los servicios domiciliarios.

3 4 3 5 4 4 Al Alto

ACT22 Correo en Nube

Servicio

Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube

Divulgación Tráfico sensible sin protección

Perdida de la confidencialidad de la información por posible tráfico de información sensible provocado por envío de información sin encriptación desde el servidor de correo de la organización

3 4 4 4 3 4 Al Alto

124

Código Riesgo

Nombre del Activo

Descripción Activo


Riesgo

Probabilidad de

Ocurrencia

Impacto

Impacto Total



Legal

Financiero

ACT23 Servidores Hardware


Destrucción o daño del equipo o los medios

Ausencia de esquemas de reemplazo

Perdida de disponibilidad por destrucción o daño del equipo a falta de un esquema de reemplazo del mismo provocando apagado de recursos de servidor ligados a la afectación de almacenamiento y host de virtualización



trabajo de grado integraciÓn de la estrategia de … · 2020. 9. 1. · 3.2.3. cascada de metas...

Documents