Propuesta Plan Disponibilidad Recuperacion
Propuesta Plan Disponibilidad Recuperacion
Propuesta Plan Disponibilidad Recuperacion
UNIVERSIDAD EAN
FACULTAD DE ESTUDIOS A DISTANCIA
ESPECIALIZACIÓN EN GESTIÓN DE SISTEMAS Y TECNOLOGÍAS DE LA
INFORMACIÓN EN LA EMPRESA
BOGOTA D.C
2012
1
AGRADECIMIENTOS
Al Padre Creador arquitecto del universo por guiar y enviar todo el apoyo
necesario para el desarrollo de este documento.
A mis padres Emma y Carlos y mi Abuela Ana por estar tan pendientes, así
como a mi hermana Ivonne, Martha Martínez y mis hermanos Johan y Hernán
Prieto por su gran motivación y apoyo.
A mis tíos Jairo y Betty mis segundos padres, por sus invaluables consejos.
A nuestros familiares y amigos que de una u otra forma han sido parte de esto.
A mi familia por ser siempre los grandes ángeles que guían y acompañan mi
camino, a mi madre Amanda Camargo por su confianza y amor incondicional y
a todos aquellas personas que hicieron parte de este proyecto en algún
momento.
2
Villalobos, Martha Aldana, por todo su tiempo, gran dedicación e invaluables
aportes, al Ing, Rafael Barros, Ing. Jose Divitt Veloza, Ing Luz Marina, Ing
Cesar Idrobo, Ing. John Porras, y a nuestro amigo el Ing. Henry Díaz por todos
sus grandes aportes.
3
TABLA DE CONTENIDO
ÍNDICE DE TABLAS
.............................................................................................................................
8
ÍNDICE DE ILUSTRACIONES
............................................................................................................
9
OBJETIVOS
.........................................................................................................................................
11
Objetivo General
..............................................................................................................................
11
Objetivos Específicos
.....................................................................................................................
11
1.
INTRODUCCIÓN
.........................................................................................................................
12
2.
JUSTIFICACIÓN
..........................................................................................................................
14
3.
GLOSARIO DE TERMINOS
......................................................................................................
17
4.
DEFINICIONES
...........................................................................................................................
18
4.1.
Recursos Del Sistema
.........................................................................................................
18
4.2.
Amenazas
..............................................................................................................................
19
4.3.
Vulnerabilidades
...................................................................................................................
20
5.
HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDAD
.....................................................
24
6.
INCIDENTE DE SEGURIDAD
...................................................................................................
25
6.1.
Impacto
..................................................................................................................................
25
6.2.
RIESGOS
..............................................................................................................................
26
7.
MARCO TEORICO
......................................................................................................................
26
7.1.
Análisis De Riesgo
...............................................................................................................
26
7.2.
Plan de Continuidad
.............................................................................................................
30
7.3.
Gestión de la disponibilidad O Plan de Disponibilidad
...................................................
31
7.4.
Plan de Recuperación de Desastres
.................................................................................
31
8.
METODOLOGIAS
.......................................................................................................................
32
8.1.
Metodologías para la Medición de Riesgos
.....................................................................
32
8.1.1.
Cramm (Ccta Risk Analysis And Management Method)
.........................................
33
8.1.2.
Metodología Margerit
....................................................................................................
33
9.
SEGURIDAD INFORMÁTICA
....................................................................................................
34
9.1.
Metodologías de Análisis de Seguridad
............................................................................
37
4
9.2.
Etapas de un Análisis De Seguridad
.................................................................................
40
9.2.1.
Etapa de Reconocimiento Pasivo:
..............................................................................
40
9.2.2.
Etapa de Reconocimiento Activo Superficial
............................................................
41
9.2.3.
Etapa de Reconocimiento Activo en Profundidad
....................................................
41
9.2.4.
Etapa de Análisis de Vulnerabilidades
.......................................................................
41
9.2.5.
Etapa de Explotación o Ataque Puro:
........................................................................
41
9.2.6.
Etapa de Consolidación:
..............................................................................................
42
9.2.7.
Etapa de Borrado de Rastro:
.......................................................................................
42
9.2.8.
Etapa de Reporte:
.........................................................................................................
42
10.
TIPOS DE ANALISIS DE SEGURIDAD
.............................................................................
43
10.1.
Vulnerability Assessment:
.................................................................................................
43
10.2.
Penetration Test
.................................................................................................................
44
10.3.
Ethical Hacking
...................................................................................................................
44
10.4.
Seguridad Informática Contexto Latinoamericano y Colombiano
...............................
45
11.
ERP (ENTERPRISE RESOURCE PLANNING) SISTEMAS DE PLANEACIÓN DE
RECURSOS EMPRESARIALES
..................................................................................................
60
11.1.
Mercado de los ERP
..........................................................................................................
61
11.2.
Características de Los ERP
.............................................................................................
62
11.3.
Estructura de un ERP
........................................................................................................
63
11.4.
Tipos de Sistemas ERP
....................................................................................................
66
11.4.1.
Sistema ERP Propietario
...........................................................................................
66
11.4.1.1.
Ventajas de un ERP Propietario
............................................................................
67
11.4.1.2.
Desventajas de un ERP Propietario
.....................................................................
67
11.4.2.
Sistemas ERP Opensource O De Software Libre
..................................................
68
11.4.2.1.
Ventajas de un ERP Opensource
.........................................................................
69
11.4.2.2.
Desventajas de un ERP Opensource
...................................................................
70
11.4.3.
Sistema ERP Modalidad Saas (La Nueva Tendencia)
.........................................
70
11.4.3.1.
Ventajas de un ERP Modalidad SAAS
.................................................................
71
11.4.3.2.
Desventajas de Un ERP SAAS
.............................................................................
72
11.5.
Tabla Comparativa Entre Tipos de Software
.................................................................
73
5
11.6.
ERP y Cloud Computing
...................................................................................................
75
11.7.
Evolución del Mercado Global ERP
................................................................................
78
12.
NORMATIVIDAD Y SEGURIDAD
...........................................................................................
82
12.1.
Estándares y Regulaciones de Seguridad de Información
..........................................
84
12.2.
ISO (International Organization For Standardization)
...................................................
84
12.2.1.
ISO27000
.....................................................................................................................
85
12.2.2.
ISO/IEC 27001
............................................................................................................
91
12.2.3.
COBIT 4.1
....................................................................................................................
94
13.
MARCO METODOLOGICO
.....................................................................................................
99
13.1.
Análisis A Nivel Estructural de la Gerencia de Innovación y Desarrollo TIC
............
99
Análisis Estructural Universidad EAN
..........................................................................................
99
13.2.
Procesos y Planes de Contingencia Utilizados Por La Dirección De Innovación Y
Desarrollo Tic, Ante Cualquier Ataque O Desastre.
.................................................................
107
13.3.
Digital Ware- Proveedor de ERP- SEVEN
...................................................................
107
13.3.1.
Filosofía de Digital Ware
..........................................................................................
108
13.3.2.
Seven-ERP (Universidad EAN)
.............................................................................
109
13.3.3.
Requerimientos de Funcionamiento Generales
...................................................
110
13.3.4.
A nivel de Software
...................................................................................................
111
13.3.5.
A nivel de Hardware
.................................................................................................
111
13.3.6.
Beneficios de la Utilización del Sistema SEVEN- ERP
.......................................
112
13.3.8.
SEVEN E- Administrativa
........................................................................................
114
13.3.10.
SEVEN E- Finanzas
..............................................................................................
118
13.3.11.
SEVEN E-Comercial
..............................................................................................
122
13.3.12.
SEVEN E- General
.................................................................................................
125
13.4.
APLICACIÓN DE BIA (BUSINESS IMPACT ANALYSIS) A LA DIRECCIÓN DE
INNOVACIÓN Y DESARROLLO TIC.
........................................................................................
126
13.4.1.
Análisis de Riesgos
..................................................................................................
127
13.4.2.
Análisis de Resultados y BIA
.................................................................................
174
13.5.
ENTREGABLES
...............................................................................................................
185
13.5.1.
PLAN DE CONTINUIDAD Y RECUPERACIÓN DE DESASTRES
...................
185
13.5.2.
PLAN DE DISPONIBILIDAD
...................................................................................
190
6
14.
CONCLUSIONES
................................................................................................................
193
15.
RECOMENDACIONES
......................................................................................................
194
16.
BIBLIOGRAFÍA
....................................................................................................................
196
7
ÍNDICE DE TABLAS
Tabla 1 Comparativa entre Tipos de Software - Fuente Elaboración Propia
............................
73
Tabla 2 Normas ISO 27000 - Fuente ISO 27000 - Fuente Elaboración Propia
........................
91
Tabla 3 Metodologías Análisis de Riesgos - Fuente Elaboración Propia
.................................
129
Tabla 4 Proceso de Planificación - Fuente Elaboración Propia
.................................................
130
Tabla 5 Actividades – Tareas - Fuente Elaboración Propia
.......................................................
133
Tabla 6 Catalogo valoración de activos - Fuente Elaboración Propia
....................................
139
Tabla 7 Amenaza Denegación de Servicio en los activos - Fuente Elaboración Propia
........
145
Tabla 8 - Catalogo Valoración de las amenazas - Fuente Elaboración Propia
.......................
146
Tabla 9 - Valoración Amenazas / Criterios Activo Seven
............................................................
149
Tabla 10 Estimación Degradación - Fuente Elaboración Propia
..............................................
151
Tabla 11 Estimación de la Frecuencia - Fuente Elaboración Propia
.........................................
159
Tabla 12 Informe Estado del Riesgo Servicios internos – Fase potencial - Fuente Elaboración
Propia
..................................................................................................................................................
164
Tabla 13 Informe Estado del Riesgo Servicios internos – Fase Actual - Fuente Elaboración
Propia
..................................................................................................................................................
164
Tabla 14 - Informe Estado del Riesgo Servicios internos – Fase Análisis de Riesgos - Fuente
Elaboración Propia
............................................................................................................................
165
Tabla 15 - Aspectos de Seguridad - Fuente Elaboración Propia
...............................................
167
Tabla 16 Estrategias para Reducir Riesgo - Fuente Elaboración Propia
.................................
168
Tabla 17 Tipo de protección - Fuente Elaboración Propia
..........................................................
168
Tabla 18 - Niveles de Madurez de Salvaguardas – Fuente Manual Pilar - Fuente Elaboración
Propia
..................................................................................................................................................
169
Tabla 19 - Códigos Valoración Niveles de Madurez de Salvaguardas - Fuente Elaboración
Propia
..................................................................................................................................................
170
Tabla 20 Clasificación de Colores (Semáforo) Niveles de Madurez de Salvaguardas -
Fuente Elaboración Propia
..............................................................................................................
171
Tabla 21 - Informe Salvaguardas Dominio de Activos Servicios Internos - Fuente Elaboración
Propia
..................................................................................................................................................
173
Tabla 22 RPO - Fuente Elaboración Propia
.................................................................................
180
Tabla 23 WRT - Fuente Elaboración Propia
..............................................................................
184
8
ÍNDICE DE ILUSTRACIONES
9
Ilustración 29 Impactos Cuyo Nivel de Degradación Mas Alta - Vista Potencial (Informe
Valores Acumulados por Fase) - Fuente Elaboración Propia
....................................................
152
Ilustración 30 Impactos Nivel de Degradación Activo Seven - Vista Potencial (Informe
Valores Acumulados por Fase) - Fuente Elaboración Propia
....................................................
153
Ilustración 31 Informe Impacto Acumulado - Fuente Elaboración Propia
..............................
154
Ilustración 32 Impacto Dominio Procesos - Fuente Elaboración Propia
...................................
154
Ilustración 33 Impacto Repercutido - Fuente Elaboración Propia
..............................................
156
Ilustración 34 Comportamiento Impacto - Fuente Elaboración Propia
......................................
157
Ilustración 35 Riesgo Acumulado - Fuente Elaboración Propia
.................................................
160
Ilustración 36 Riesgo Repercutido - Fuente Elaboración Propia
...............................................
161
Ilustración 37 Riesgo Degradación de Activos – Informe Valores Repercutidos por Fase -
Fuente Elaboración Propia
..............................................................................................................
162
Ilustración 38 Comportamiento Riesgo
..........................................................................................
163
Ilustración 39 Identificación de las Salvaguardas Existentes - Fuente Elaboración Propia
...
172
Ilustración 40 Valoración de las salvaguardas - Fuente Elaboración Propia
...........................
172
Ilustración 41 - Escalones de Interrupción - Fuente Elaboración Propia
..................................
181
Ilustración 42 - Valoración RTO Activo Seven
..............................................................................
182
Ilustración 43 Valoración por Dominios de Activo - Fuente Elaboración Propia
....................
183
10
OBJETIVOS
Objetivo General
Objetivos Específicos
• Determinar los posibles eventos que pueden afectar la continuidad del (ERP)
SEVEN de la universidad EAN.
11
1. INTRODUCCIÓN
Por otra parte, teniendo en cuenta que para poder implementar estos sistemas es
preciso contar con ciertos recursos a nivel humano y físico, es necesario analizar las
posibles vulnerabilidades que se puedan presentar, convertirse en una amenaza,
materializarse y generar, no solo tiempos muertos en la producción, sino perdida
irrecuperable de la información o robo de la misma.
Por tal razón, y partiendo desde la afirmación de que ningún sistema es 100%
seguro, es necesario contar con ciertos protocolos o lineamientos a seguir, para
poder afrontar estos posibles riesgos y minimizarlos a un ítem cuantificable y
manejable.
12
metodologías que se pueden implementar para poder crear una propuesta de plan de
continuidad y recuperación de un sistema ERP en la universidad EAN.
13
2. JUSTIFICACIÓN
En el siglo XXI con el surgimiento de la llamada era del conocimiento el uso de las
tecnologías es cada vez más frecuente no solo a nivel organizacional sino también
doméstico, este avance se ve promovido por las entidades gubernamentales debido
a la generación de diversas políticas en las cuales se contempla en fomentar el uso
masivo de las tecnologías de la información y la comunicación para cada habitante
del territorio nacional. Es por esto que en la actualidad, cada vez es más frecuente
ver que las organizaciones bancarias, gubernamentales, académicas entre otras
implementan parte de su portafolio de servicios en la web con el objetivo de
minimizar las filas, las demoras y ahorrar tiempo en el desplazamiento de los
usuarios y aumentar la cobertura de los servicios.
Para poder cumplir con las expectativas de los usuarios las grandes compañías
fabricantes de partes tienen el reto de elaborar piezas que permitan aumentar la
capacidad de almacenamiento y obtener tiempos de respuesta cada vez más cortos,
las velocidades de transmisión de igual manera son cada vez más rápidos y la
cantidad de información que es enviada es aún más grande que la que era enviada
hace unos años, este continuo crecimiento exige que los anchos de banda sean
cada vez más grandes y se deje de lado términos de Bits o Kilobytes para hablar de
megabytes, gigabytes y terabytes.
14
que donde estaba antiguamente un solo núcleo en la actualidad se pueden colocar
dos o más núcleos mejorando aún más el rendimiento de los equipos y asegurando
su portabilidad.
Es por esto que para aquellos profesionales que deseen profundizar en el estudio de
la seguridad informática, es claro el conocimiento que deben tener o alcanzar de
cada uno de los tres actores que están involucrados en un delito informático los
cuales son intruso, administrador e investigador.
15
continuidad del servicio evitando así la perdida de información, tiempo y dinero para
la organización.
16
3. GLOSARIO DE TERMINOS
17
4. DEFINICIONES
Antes de dar inicio, es necesario definir y aclarar ciertos conceptos, los cuales una
vez apropiados, permitirán realizar un entendimiento, del tema expuesto en este
documento.
18
A nivel estructural;
4.2. Amenazas
1
Activos o Recursos que requieren protección, para evitar su pérdida, modificación o el uso inadecuado de su
contenido, para impedir daños para la institución. Básicamente compuestos por 3 grupos, Datos e Información
Sistemas e Infraestructura y Personal.
19
• Externo, como agresiones técnicas o naturales. Virus informáticos, ataques
de una organización criminal, sabotajes cyber terroristas, intrusos en la red,
robos y estafas a nivel de información.
Por otra parte existen ciertos tipos de amenazas que se pueden presentar a nivel de
averías en el hardware y fallos en el software o errores de ejecución de ciertos
procedimientos.
En algunos casos algunos riesgos serán difíciles de eliminar, como es el caso de los
virus informáticos.
4.3. Vulnerabilidades
Las vulnerabilidades explotan los fallos en los sistemas lógicos y/o físicos, o en las
ubicaciones, instalaciones y configuraciones defectuosas.
En bases de datos
20
• Escalada de privilegios: Procedimiento en el cual es posible escalar
privilegios en una cuenta de bajo nivel hasta tener acceso a los derechos de
un administrador.
Programación
21
anterior ya que al implementar un sistema, este no se entrega con estas
configuraciones.
Software
A nivel de Físico
Redes físicas
22
Redes wifi
Hardware
23
Todas las anteriores se encuentran sujetas a aspectos;
Para definir el nivel de vulnerabilidad, se suele utilizar una escala cuantitativa (Baja,
Media, Alta) y de esta manera definir el nivel de vulnerabilidad de un determinado
recurso.
Existe una serie de herramientas que ofrecen datos útiles para el análisis de
vulnerabilidades.
• Analizadores de configuraciones.
• Analizadores de logs.
• Herramientas de escaneo de puertos (Port Scanners)
• Sniffers.
24
• Network Mapping.
• Testing Tools.
6. INCIDENTE DE SEGURIDAD
Es todo evento que tenga como resultado la interrupción de un servicio que está
siendo suministrado por un sistema informático o posibles pérdidas relacionadas con
activos físicos o financieros.
6.1. Impacto
Para poder valorarlo, es importante tener en cuenta los daños tangibles (físicos) e
intangibles (datos e información), así como una calificación cuantitativa o cualitativa y
de esta manera clasificar dicho impacto en
25
6.2. RIESGOS
El nivel de este depende del previo análisis de las vulnerabilidades, amenazas y del
impacto que puede causar en los procesos y funcionamiento de la organización.
Existen diferentes tipos de riesgos tales como el riesgo residual2 y riesgo total3.
7. MARCO TEORICO
2
Es
aquel
riesgo
remanente
que
queda
una
vez
se
han
tomado
las
medidas
necesarias.
3
Es
aquel
el
cual
no
se
está
dispuesto
a
sumir.
26
Por lo anterior, el análisis de riesgos 4permite la detección y evaluación del mismo,
con el propósito de tomar decisiones e implementar controles adecuados para
aceptar, disminuir, transferir o evitar la materialización de este riesgo.
4
El análisis de riesgo es un elemento que forma parte del programa de gestión de continuidad de negocio
(Business Continuity Management)
27
• Minimizar y ajustar las conductas o prácticas que nos hacen vulnerables.
• Determina
los
componentes
de
un
sistema
en
los
cuales
se
requiere
protección.
• Ayuda
a
determinar
• Vulnerabilidades
si
los
riesgos
que
lo
debilitan
y
las
encontrados
y
los
amenazas
que
lo
riesgos
restantes
se
ponen
en
peligro,
encuentran
en
un
con
el
resultado
de
nivel
aceptables.
revelar
el
nivel
de
riesgo.
Análisis
Clasificación
Control
Reducción
• Analiza
el
funcionamiento,
la
• Define
e
efec?vidad
y
el
implementa
las
cumplimiento
de
las
medidas
de
medidas
protección.
• Determinar
y
• Sensibiliza
y
ajustar
las
medidas
capacita
los
usuarios
deficientes
y
conforme
a
las
sanciona
el
medidas.
incumplimiento.
Una vez cuantificados, es posible determinar el riesgo total por medio de la siguiente
formula y de esta manera obtener el riego residual para poder aplicar los controles
necesarios.
28
RT (Riesgo Total) = Probabilidad x Impacto Promedio
Una vez realizado este análisis, se debe determinar las acciones a tomar con
respecto a los riesgos residuales que se identificaron.
Entre más alta sea la probabilidad de amenaza y magnitud de daño, más grande
será el riesgo y el peligro del sistema.
29
• Mediana: condiciones de ataque a corto plazo poco probables, pero no
suficientes para evitarlo a largo plazo.
• Alto: No existen condiciones internas y/o externas que impidan dicho ataque.
Para ello es de vital importancia determinar los objetivos y prioridades sensibles para
la organización, al tener presente los recursos disponibles e infraestructura necesaria
para la recuperación de la información, permitiendo así el restablecimiento de los
sistemas de información y aplicaciones, las cuales se utilizan como soporte a la
organización.
30
• Herramientas para llevar a cabo procedimientos de replicación de documentos
y bases de datos.
• Definir un equipo de dirección que coordinará las actividades de recuperación
ante un desastre.
Forma parte de los procesos definidos en el libro diseño del servicio (service design o
delivery service) de ITIL.
31
Este se presenta como un documento el cual debe ser aprobado por la dirección de
la empresa.
8. METODOLOGIAS
Pero, para poder analizar estos posibles riesgos es necesario aplicar algunas
metodologías, las cuales implementan ciertos pasos y procesos organizados cuyo
objetivo es detectar que tan seguro es el sistema de información y que riesgos y con
qué frecuencia se pueden presentar.
La aplicación de estas metodologías, nos permitirán obtener una visión más general
de estado (en cuanto a seguridad y riesgos), en el cual se encuentra el sistema de
información y de esta manera poder medir con datos reales las acciones a tomar.
32
8.1.1. Cramm (Ccta Risk Analysis And Management Method)
Para ello usa una matriz, donde las filas representan los diferentes “activos de
información” y las columnas los riesgos que amenazan la integridad, confidencialidad
y disponibilidad de estos activos, entendiendo como integridad, a la precisión de
información así como su validez de acuerdo con ciertas expectativas,
confidencialidad, protección de la información contra la divulgación no autorizada y
disponibilidad, a la disponibilidad de la información cuando esta es requerida.
33
Mide la vulnerabilidad por la frecuencia histórica de la materialización de la amenaza
sobre un activo, cuando es factible 5 o mediante la potencialidad de dicha
materialización.
Por otra parte otros países han elaborado sus propias metodologías como son la
MARION francesa de 1985 por la Asociación de Empresas Aseguradoras francesas y
la MELISA de 1984 enfocada al entorno militar francés.
9. SEGURIDAD INFORMÁTICA
Para lograr dar respuesta a cada uno de estos interrogantes, las organizaciones
deben tener claro el tema de la gestión del riesgo así como cada una de sus etapas.
5
Fiabilidad de un componente hardware, número de fallos de software
34
Para lograr una estrategia de seguridad se debe tener como foco metodológico dos
tipos de estrategias de tipo proactivo y reactivo.
Para generar las estrategias anteriores se debe seleccionar una de las metodologías
existentes que sirven como guía de trabajo para asegurar el éxito de la iniciativa
propuesta entre las principales metodologías encontramos ITIL, King II, Cobit,
ISO17799, ISF, ITPM.
1. Política de seguridad
2. Organización de la seguridad de la información
3. Seguridad de los recursos humanos
4. Gestión de las comunicaciones y operaciones
5. Gestión de activos
35
6. Gestión de continuidad del negocio
7. Adquisición, desarrollo y mantenimiento de sistemas
8. Gestión de activos
9. Seguridad física y del entorno
10. Control de acceso
11. Cumplimiento
36
Analistas y administrador de seguridad: Encargado de conocer estándares y
normatividad vigente además de herramientas de software y software que puedan
ser implementadas en la organización que apoyen los objetivos estratégicos.
Una de estas es desarrollada por la ISECOM (Institute for Security and Open
Methodologies), llamada OSSTM (Open Source Test Methodology), la cual se
encuentra ligada al manual OSSTMM (Open Source Security Test Methodology
Manual).
Desarrollado por Pete Herzog y 130 profesionales, todos multidisciplinarios, entre los
cuales se encontraban, security testes, hackers, abogados, legisladores, entre otros.
• Ser cuantificable.
• Se valida en el tiempo.
• Ser consistente.
• Cumplir con regulaciones (Leyes nacionales e internacionales).
37
Por otra parte, en un análisis de seguridad es importante tener claro ciertos
conceptos, ya que dependiendo del enfoque deseado y de selección de los
anteriores, se obtendrán ciertos resultados.
Aunque es común tener la percepción de que los ataques de nivel externo son
los más representativos referentes a un riesgo de intrusión exitoso, los
ataques a nivel interno no son muy frecuentes pero su impacto es superior, ya
que la resistencia implementada por los controles de seguridad no es la
adecuada.
38
o Gray Box: El security tester conoce información parcial del objetivo.
Esta información será seleccionada por el cliente. El cliente conocerá
que tipo de test se llevara a cabo y cuando.
Por tal razón luego de realizar el análisis y sobre la base de los resultados,
tratar de asociar que perfiles se encuentran más cercanos a atacar los
sistemas de información.
39
Logrando emular ciertos tipos de perfiles, al relacionar conocimiento
relacionado al objetivo y la posición del mismo;
Las siguientes son las etapas más habituales en los análisis de seguridad.
Por otra parte, una alta visibilidad desde el exterior no implica una vulnerabilidad.
Si bien gran parte de la información referente a los objetivos, será brindada por el
cliente, como valor agregado se tratara de obtener información relacionada, mediante
el uso de motores de búsqueda, grupos de consulta, mediante registros DNS y todo
aquello que no tenga una relación directa con el objetivo.
40
9.2.2. Etapa de Reconocimiento Activo Superficial
41
Esta etapa se enfoca tanto a nivel de infraestructura, en la cual puede
comprometerse seguridad de aplicaciones.
Su objetivo es tratar de borrar todos los rastros posibles que el proceso de intrusión
haya ocasionado y mostrar que pruebas se podría tener o no el cliente para que de
esta manera pudiera realizar algún tipo de investigación sobre esta intrusión.
42
10. TIPOS DE ANALISIS DE SEGURIDAD
No pretende explotar las vulnerabilidades detectadas sino que solo trabaja sobre la
correcta identificación de estas.
43
Este tipo de análisis hace uso de tareas asociadas a la explotación y post explotación
de las vulnerabilidades.
Se destaca por tener un objetivo definido que finaliza cuando es alcanzado o cuando
el tiempo acordado para la detección del mismo llega a su fin.
A diferencia del anterior, no solo busca las vulnerabilidades, sino que las explota con
el propósito de verificar los niveles de intrusión expuestos en el sistema de
información el cual se está analizando.
En un Ethical Hacking todo es un objetivo posible., por lo tanto este tipo de análisis
es más profundó que los anteriores ya que pretende analizar íntegramente la
44
seguridad de los sistemas de información, al combinar técnicas de ingeniería social
al explotar las vulnerabilidades del factor humano y mediante la realización de
pruebas a los controles de acceso físico.
45
resultados se determinó que entre los principales temores que tienen los expertos en
seguridad encontramos los siguientes:
Para el año 2012 uno de los ataques más comunes fueron los provenientes de los
movimientos hacktivistas con los denominados ataques selectivos, entre los grupos
hacktivistas más sonados en el 2011 fueron Anonymus y Lulz Security.
Entre los programas de código malicioso que más daño hicieron y que se plantea
continuara su continua evolución es el gusano denominado Conficker el cual hizo su
primera aparición aproximadamente en el año 2008, se determina que este gusano
durante todo este tiempo este programa malicioso ha logrado infectar a más de 11
millones de equipos en todo el mundo, según datos de la empresa Shophos.
47
intrusos comienzan a extraer información del usuario y escanear las páginas
visitadas y capturar claves y usuarios de acceso, en especial las de cuentas de
correos y cuentas bancarias posterior a esto comienza él envió de mensajes
indicando que se requieren un pago moderado a través de la web para descargar
supuestas versiones completas para poder erradicar las amenazas encontradas con
el tiempo estos programas afectan seriamente el rendimiento del equipo y además
de esto terminan por dañar la configuración y dejando los equipos fuera de servicio.
Para el segundo semestre del año 2012, este ataque de antivirus falsos era uno de
los métodos de hurto más frecuente, a pesar de que el FBI desmantelo una
organización culpable del desfalco de un aproximado de 1 millón de personas a
través de la web por la descarga de estos programas, para el segundo semestre de
2011 este ataque no fue tan común pero aún se toma como una amenaza activa que
en el 2012 estará presente.
A pesar de los datos anteriores se evidencia que los resultados que se obtienen
sobre el número de ataques informáticos registrados anualmente en las
organizaciones, no muestra el escenario real, puesto que la gran mayoría de las
organizaciones no disponen de los mecanismos o herramientas necesarias que les
permitan monitorear la cantidad de accesos no autorizados que se presentan a los
diversos sistemas de información y determinar cuáles son las vulnerabilidades reales
que tienen los mismos.
Los expertos de seguridad toman como un riesgo latente la facilidad que tienen
muchos empleados de ingresar a internet desde celulares, PDA’s, computadoras sin
ningún tipo de bloqueos además de esto se agrava por la falta de políticas a nivel
organizacional que regulen el manejo de estos medios de comunicación.
48
el acceso, sino que a través de la red los intrusos pueden llegar hasta los servidores
que almacenan la información más importante y confidencial de la organización.
El número de ataques sufridos por las organizaciones a través de las redes sociales
actualmente no pueden ser medidos, ni se pueden dar cifras exactas pero podemos
hablar de cifras en encuestas sobre políticas organizacionales que reglamenten o
limiten el uso de las redes sociales para lo cual podemos ver el siguiente grafico
estadístico, que nos muestra un estudio realizado sobre el número de organizaciones
que tienen contemplado y limitado el uso de las redes sociales:
80
60 SI
40 NO
20 NS/NC
0
Otros
Paises
America
Asia
Ilustración 5 Número de Empresas con Políticas de Seguridad - Fuente Social Net Working
De acuerdo a los datos anteriores podemos ver que en América es mayor el número
de organizaciones con políticas para el uso de las redes sociales frente a Asia y otros
continentes, pero es claro que gran parte de esta suma la colocan empresas de
Norteamérica esto debido a que para Latinoamérica la aplicación de las políticas de
seguridad no es una práctica común a pesar de que las estadísticas nos muestran
que día a día son más las empresas que están adoptando esta práctica.
De igual manera vale la pena resaltar que la imagen general cuando se habla de
políticas para el uso de las redes sociales es que se limita o prohíbe el uso dentro de
la empresa pero esto hace referencia solo a los equipos propios de la organización
porque no hay forma de limitar el uso en equipos personales como PDA’S, celulares,
Tablet entre otros, pero para algunas organizaciones con una visión diferente es el
49
poder orientar el uso de las mismas para obtener un valor agregado en cuanto a
mercadeo se refiere.
Uno de los aspectos más relevantes en las encuestas es que queda claramente
evidenciado que en el 65% de las organizaciones encuestadas las juntas directivas
son reacias a la aprobación de las políticas de seguridad que son propuestas por los
departamentos de sistemas, otra de las preocupaciones de mayor índice es el ataque
de virus, malware y Spyware a pesar de esto Colombia es el país que presenta
menor preocupación frente a los demás encuestados.
50
Colombia demostró tener la menor penetración en el ámbito de la autenticación
biométrica.
• Fallas de seguridad: Esta sección busca identificar las fallas más recurrentes
que son detectadas por las organizaciones y los mecanismos que estas
emplean para detectarlas y mitigarlas.
51
40
30
20
10
0
1
a
50
51
a
101
a
201
a
301
a
501
a
mas
de
100
200
300
500
1000
1000
2008
31,03
9,36
7,39
7,88
11,33
7,88
25,13
2009
23,4
4,61
12,39
8,23
9,69
8,69
32,99
2010
17,76
8,41
10,28
4,67
10,28
12,62
35,98
52
Otro de los resultados de esta encuesta se evidencia un aumento significativo en el
número de cargos de Directores del área de seguridad informática junto al de
gerentes de tecnología, pero se evidencia que estos cargos aún mantienen la
generación de propuestas muy técnicas, que distan del tipo de propuestas que se
espera apoyen las decisiones de los comités directivos lo cual genera que no sean
tomadas como prioritarias para la organización, se determina que este tipo de
propuestas deben ser contempladas en términos económicos demostrando a los
líderes de los procesos el impacto que una falla de seguridad informática representa
para la organización.
53
En el tema de la seguridad de acuerdo a la encuesta realizada en 2010 por ACIS se
muestra que en los últimos años se ha generado una confianza algo excesiva frente
al tema de la seguridad esto debido a la implementación de algunas normativas en
los estados, pero esto mismo genera lo que se denomina un hueco de seguridad,
pero a pesar de esto se tiene que los informes demuestran n aumento en la
conciencia para el monitoreo de los incidentes de seguridad a pesar de no contar con
herramientas demasiado especializadas se busca mitigar los accesos no
autorizados; Entre las fallas de seguridad con mayor índice de recurrencia tenemos
entre 2009 y 2010 el software no autorizado 21,50 y los caballos de Troya y virus
con 32,71%, seguidos por accesos no autorizados a las web de las empresas
21,50% entre otros.
A pesar de lo anterior podemos decir que para el año 2010 hubo un aumento en el
compromiso de las empresas encuestadas a reportar los incidentes de seguridad
gracias a la creación de una legislación más efectiva en Colombia frente a los delitos
informáticos, pero a pesar de esto muchas veces los procesos de investigación
pueden ser más costosos y los resultados infructuosos.
54
Para el caso de las herramientas de seguridad que son empleadas vemos en el
estudio que solo el 42,04% de las organizaciones entre el 2008 y el 2009 realizaron
por lo menos una prueba anual a su sistema de seguridad seguido de un 30,32% que
no realiza ninguna al compararlo con años anteriores es claro que la tendencia a
evaluar y colocar a prueba los sistemas de IT en las organizaciones es cada vez
menor debido a que muchos directivos consideran que con solo implementar
costosas herramientas y mecanismos de seguridad se genera lo que se denomina
una falsa conciencia de seguridad.
55
Firewalls de aplicaciones web 22,2 21,6 17,29
WAF
Administración de logs 26,6 26,3 26,64
Para el año 2010 el 78,14% de las organizaciones encuestadas demostró tener una
política de seguridad ya institucionalizada o en proceso de creación, pero a pesar de
tener políticas instauradas es claro que el cumplimiento de las mismas aún se ve
obstaculizado por la falta de integración entre los diversos procesos q integran la
organización misma, esta falta de integración hace ver a la seguridad de la
información como un tema nuevamente puramente técnico y sin importancia en el
proceso de toma de decisiones.
Parte de esta falta de integración se debe a la falta de conocimiento del flujo real de
la información, la no definición de las responsabilidades de cada uno de los actores
en cada proceso del flujo de la información.
56
del internet tuvo un aumento considerable con relación al año inmediatamente
anterior de acuerdo a la siguiente Tabla:
Siendo el delito más reportado el de hurto por medios informáticos o semejantes con
un total de 396 reportes en todo el país (Ver tabla 4), y el departamento que más
delitos informáticos reporto fue Magdalena con un total de 89 seguido por Boyacá
con un total de 79 delitos reportados, en esta tabla también podemos analizar que el
delito más reportado durante el año 2010 fue el de Hurto por medios informáticos o
semejantes con un total 251 casos, seguido por el acceso abusivo a un sistema
informático con un total de 76 reportes.
57
Como resultado se obtiene un informe donde se identifican las salvaguardas y el nivel de madurez.
172
Dominio de seguridad: [IS] Servicios Internos
La tabla anterior, corresponde la identificación de salvaguardas y el nivel de madurez para los servicios internos, donde
se encuentra catalogado Seven. Un informe completo será entregado a la Gerencia del TIC.
Es posible observar que en la fase actual (Current), existen salvaguardas, pero con niveles de madurez muy bajos.
173
Hay que tener en cuenta que pilar en esta fase realiza una calificación tomando el
peor de los escenarios para poder evaluar el nivel de criticidad si se llega a
presentar.
Así mismo podemos observar como los niveles de madurez van aumentando en
cada fase con la implementación y gestión de las salvaguardas.
• Específicas:
o Análisis mediante tablas.
o Análisis Algorítmico.
o Arboles de ataque.
• Generales;
o Análisis Cotos beneficio.
o Diagrama de flujos de datos.
o Diagrama de Procesos.
o Planificación de proyectos.
o Valoración Delphi.
Retomando todos los pasos anteriores, podemos resumir que para poder realizar
un análisis de riesgos, debemos tener en cuenta;
• El activo a evaluar
• Su dinámica con lo demás activos. Es decir si este activo depende de otros
y viceversa.
• Aunque todos los activos de la empresa son bienes muy valiosos para la
empresa, valorar dichos activos no ayudara a catalogar cuales tienen más
peso en la empresa para ciertos procesos.
• Detectar ciertas amenazas en dichos activos y valorarlas, nos ayudara a
analizar que activos son más propensos a un riesgo y cuáles deben ser
atendidos de manera inmediata debido a su importancia en el proceso de
la organización.
• La aplicación de salvaguardas en las diferentes fases del proyecto nos
ayudaran a evaluar, con que contamos, si realmente existen acciones
reales para afrontar estos riesgos y en el caso de no existir que tato es
174
posible mitigar ese riesgo para que no cause un impacto tan dramático en
la organización.
Con estos resultados poseemos ya una visión más aterrizada y concreta del
estado actual en la organización.
Este plan se basa en 4 aspectos fundamentales que tiene que ser aceptados
por la dirección de la organización; evitación para lograr las condiciones que
ayudan a que el riesgo este presente, aceptación reconocer la existencia de
estos activos, mitigación para reducir al mínimo la probabilidad de un riesgo o
impacto y desviación para trasferir este riesgo a un tercero (organización
especializada), cuando se requiera.
175
esenciales en cuanto a su recuperación y que tiempo tolerables de inactividad
pueden aceptarse en cada uno de ellos sin ver comprometida la operación de
la organización.
176
• MTD (maximun Tolerable Downtime ); Es el tiempo máximo de
inactividad que una empresa puede tolerar si un activo, función o
proceso se encuentra ausente o no disponible. Se encuentra
representado por la siguiente formula; MTD = RTO + WRT
En conclusión los pasos a seguir para poder obtener estos tiempos se podrían
resumir en los siguientes;
El resultado de los pasos anteriores, será una tabla en la cual se establecen los
tiempos máximos tolerables de inactividad para los activos y de esta manera
determinar hasta qué punto es posible restaurar el sistema, por medio de los
Planes de Continuidad, Recuperación y Disponibilidad.
Tanto el RPO como el RTO son tiempos que se determinan teniendo en cuenta los
resultados obtenidos en el Análisis de Riesgo.
Este proceso de valoración se realiza de manera manual. Es por ello que fue
importante reunirse con la Dirección de TIC y de esta manera determinar dichos
tiempos.
RPO
177
De esta manera se podrá tener un panorama y tratar de identificar, que cantidad
de datos o información la organización puede perder en un rango de tiempo
determinado.
Este proceso se hace todos los días. Se cuentan con 4 servidores. En cada uno
de estos servidores se guarda información de un sistema específico.
El primer servidor inicia las copias de respaldo a las 9 P.M y el ultimo servidor a
las 5 A.M.
Al día siguiente se hace una copia de todos estos archivos de respaldo en medios
magnéticos.
178
Esta empresa envía las copias de respaldo a unas instalaciones donde se
categoriza según ciertos parámetros.
Temporada Alta: Cada semestre en el cual los estudiantes realizan los pagos de
las matriculas, pagos de nómina, pagos a proveedores.
Temporada Media Baja: Cada Ciclo académico (3 meses) ,en los cuales
estudiantes de postgrados o maestrías realizan pagos o se realizan procesos de
compra de papelería.
Bien hasta este punto ya podemos contar con ciertas variables de tiempo en la
cuales las copias de respaldo deben llegar;
• Urgente 2 horas
• Medio Urgente 4 horas
Con estos datos y con la ayuda de una tabla, trataremos de determinar nuestro
RPO.
179
A 2 90 55 35
MB 4 80 50 30
Con la tabla anterior podemos observar que los porcentajes de datos perdidos en
Seven, se encuentran entre 30% y 35%. Porcentajes que aún pueden generar
gran impacto en la empresa.
RTO
Posteriormente ser necesario valorar a cada activo según criterios de impacto que
180
pueda generar su inactividad.
Ahora bien, para sacar el RTO, debemos valorar nuestros activos, según la escala
de interrupciones que hemos seleccionado.
Nuestra valoración la podemos realizar por dominio la cual nos permite valorar un
grupo de activos todos con un mismo valor o realizar una valoración por activo.
181
182
183
WRT
A 2 90 1-2 55 10
MB 4 80 2 -3 50 8
184
13.5. ENTREGABLES
Ahora bien, es momento de tomar todos estos datos y unirlos para poder realizar
un análisis que nos permita tomar acciones.
• Análisis de Riesgo.
• Realizar un BIA
Como segunda medida, establecer con los recursos actuales y con las metas
deseadas definir;
185
Proceso: Responsable:
Gerencia de Tecnologías de la Gerente TIC
Comunicación e Información Proveedor de Servicios
Objetivo:
1. Alcance:
2. Estado actual:
186
• BIA: Con el cual de logra definir qué días y que porcentaje de información
es necesario para poder restaurar a un nivel aceptable el ERP Seven sin
que se vean afectados los demás procesos. Que tanto porcentaje de
información se puede perder en un tiempo determinado.
• Existe un riesgo potencial alto debido a los activos de los cuales depende
Seven. Dentro de estos encontramos, el Servidor Seven, la Base de Datos
y el Data center
187
3. Datos de Salida
3.1. Recomendaciones
188
4. Tiempo de implementación
Reviso:
Aprobó:
189
13.5.2. PLAN DE DISPONIBILIDAD
Activo ERP
Seven
Universidad EAN
Proceso: Responsable:
Gerencia de Tecnologías de la Responsable:
Comunicación e Información Gerente de TIC
Proveedor de Servicios
Objetivo:
1. Alcance
2. Datos de Entrada
190
lograron identificar ciertos aspectos e indicadores;
• Tiempo medio de vida entre fallas MTBF (Mean Time Between Failures), al
analizar los resultados obtenidos en el BIA, podemos determinar que existe
un frecuencia constante de riesgo, y no se cuentan con mecanismos
automatizados que permitan que el sistema se estabilice en el menor
tiempo posible
3. Datos de Salida
3.1. Recomendaciones
191
que se encuentran en un nivel de madurez bajo, ayudaran a reducir
el riesgo de la materialización de una amenaza.
4. Tiempo de implementación
Reviso:
Aprobó:
192
14. CONCLUSIONES
193
como son la inscripción de estudiantes, pagos de sueldo y pago a proveedores.
Esto también se ver reflejado en el indicador correspondiente a RTO (Recovery
Time Objetive – Tiempo Objetivo de Recuperación) , el cual representa el
tiempo en el que un servido o activo debe ser restaurado. Este se encuentra
estimado en más de 1 día, lo cual es un rango de tiempo extenso en
temporada alta. Así mismo el WRT (Tiempo de Trabajo de Recuperación), nos
muestra tiempos de restauración para Seven superiores a 6 días, lo cual es un
tiempo muy exceso en temporada alta.
15. RECOMENDACIONES
194
Para poder llevar a cabo todo lo anterior, es necesario designar un equipo de
trabajo, compuesto por un líder de proyecto, el cual puede ser el mismo
Gerente del TIC o un colaborador asignado a estas funciones, un administrador
de servidor, administrador del ERP Seven y un colaborador encargado de la
red y de la seguridad de la misma. La función de este equipo es determinar y
aplicar los protocolos (Planes de Continuidad y Recuperación de Desastres) en
un instante determinado. Así mismo implementar la infraestructura que servirá
como apoyo a estos planes (Plan de Disponibilidad). Por otra parte, aunque
siempre se desea apuntar el mejor de los escenarios, en el cual el sistema se
recupera al 100% en el menor tiempo, hay que ser muy realistas y cuidadosos
en plantear los objetivos ya que para lograr dichos escenarios es necesario
contar con sistemas automatizados, los cuales en algunos momentos implican
una gran inversión por sus altos costos. Dentro de las posibles opciones
podemos encontrar;
Tomar como base los entregables de los planes propuestos, servirá como punto
de partida para definir protocolos más precisos y adecuados en cuanto a tiempos
de implementación.
195
16. BIBLIOGRAFÍA
[www.iso27000.es]
[http://www.cii-
murcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sistemas_i
nformacion.pdf]
[http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/Pr
esentacionJeimyCano-IVELSI.pdf]
[http://www.eset-la.com/centro-
amenazas/reporte/ESET%20Security%20Report%20Latinoamerica%202012/2797
]
196
[http://www.ati.es/novatica/glosario/glointv4.pdf 17 de Marzo]
[http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/pages/pdf/
metodologia/4AnalisisycuantificaciondelRiesgo(AR)_es.pdf ]
[http://www.pilar-tools.com/es/tools/pilar/v52/help_es/index.html
197
DEPARTAMENTO
DELITO MAGDALENA
TOTAL
X
ARAUCA BOLIVAR BOYACA CALDAS CAUCA CESAR CUNDINAMARCA GUAJIRA MAGDALENA META PUTUMAYO QUINDIO RISARALDA SANTANDER SUCRE TOLIMA HUILA URABA VALLE VICHADA
MEDIO DELITO
Acceso
abusivo
a
un
1 13 10 1 6 9 5 1 1 9 1 11 8 76
sistema
de
información
Obstaculacion
ilegitima
de
un
sistema
1 2 3
informatico
o
red
de
telecomunicaciones
Ilustración 11: Reporte de Delitos Informáticos por Departamentos Policía Nacional – Fuente Revista policía Nacional
DEPARTAMENTO
TOTAL
X
BARRANQUILLA BOGOTA CALI CARTAGENA CUCUTA MEDELLIN PEREIRA
DELITO
Acceso
abusivo
a
un
14 173 19 5 4 3 3 221
sistema
de
información
Obstaculacion
ilegitima
de
un
sistema
0
informatico
o
red
de
telecomunicaciones
Interceptacion
de
datos
1 1 2
informaticos
Daño
informatico 2 2
Uso
de
software
0
malicioso
Violacion
de
datos
9 7 1 8 2 27
personales
Suplantacion
de
sitios
web
para
captura
de
10 7 17
datos
personales
Hurto
por
medios
informaticos
y
81 19 53 1 66 6 7 233
semejantes
Transferencia
no
15 1 16
consentida
de
activos
TOTAL
X
95 212 97 7 79 9 19
DEPARTAMENTO
Ilustración 12: Reporte de Delitos Informáticos por Principales Ciudades - Fuente Policía Nacional
59
11. ERP (ENTERPRISE RESOURCE PLANNING) SISTEMAS DE
PLANEACIÓN DE RECURSOS EMPRESARIALES
Como respuesta a una manera positiva de manejar este tipo de activo importante
en las organizaciones nacen los ERP: (por sus siglas en ingles ERP, Enterprise
Resource Planning) Sistemas de Planeación de Recursos Empresariales en forma
de software, que han ido evolucionando a través de los años y que tienen como
objetivo permitirle a las empresas controlar y manejar la información que se
genera en cada dependencia y en todos los niveles de la misma. El fin de los ERP
es Integrar en un solo sistema, los sistemas de información especializados que
existen para cada proceso de las organizaciones, generando una base de datos
completa que trabaje con información en tiempo real, donde la obtención de datos
sea instantánea y que permita la automatización de los aspectos operativos y
productivos de la organización.
60
contrario del manejo de forma aislada e independiente de cada uno. Por medio de
la aplicación se integra todo lo necesario para el funcionamiento de los procesos
de negocio de una empresa, garantizando la disponibilidad de toda la información,
para todos, todo el tiempo.
Los objetivos fundamentales de un ERP son: dar apoyo a los clientes del negocio,
acceso a la información por medio de la integración de los datos, la eliminación de
datos y operaciones innecesarias, optimización de los procesos, la disminución de
costos de operación y el empleo de esta información para la correcta toma de
decisiones en las organizaciones.
El mercado de los ERP está dominado en su mayoría por tres grandes fabricantes
los cuales tienen la mayor aceptación de sus productos, estas son: SAP, Oracle y
Microsoft. La compra de JD Edwards por parte de PeopleSoft y el intento de fusión
entre SAP y Microsoft son la clara muestra de lo que estos están dispuestos a
hacer por tener el liderazgo. La tendencia de los proveedores, es crear grandes
sistemas con multifunciones que incluyen CRM y SCM entre otros, la diferencia
entre cada uno de ellos será la funcionalidad de cada sistema. Oracle por ejemplo,
ha intentado mejoras sus prestaciones de bases de datos con el fin de mejorar sus
prestaciones en recursos humanos donde PeopleSoft ocupaba la mejor posición.
61
Los ERP tienen un camino que está siendo recorrido el cual debe permitirles la
competencia en igualdad de condiciones con las aplicaciones especializadas. La
verdadera funcionalidad de los ERP llega de la mano con tecnologías estándar
que permitan que aplicaciones diseñadas desde distintas ópticas y por distintos
fabricantes puedan interactuar sin problemas.
62
necesidad de una u otras funcionalidades, estos módulos se tendrán en cuenta
para el diseño del ERP.
63
Ilustración 13: Creación propia basada en La nueva Generación de los ERP (Enterprise Resource
Planning)
Área Financiera: Este módulo está enfocado en dar apoyo a las actividades
económico- financieras de la organización, en el encontramos: flujo de caja,
nominas, contabilidad, tesorería, área de compras, cuentas por pagar, cuentas por
cobrar, activos fijos, análisis financiero, entre otros.
64
servicio para tención de quejas, sugerencias o reclamaciones por procesos de
garantía.
65
Existen cuatro tipos de herramientas, cada una encargada de una parte del
proceso de análisis:
Se refiere a los sistemas que deben ser pagados para poder usar sus licencias.
Normalmente estas licencias son pagadas de acuerdo al número de puntos
operativos y pueden llegar a veces a representar la mitad de la implantación total
del sistema. A veces el costo total de la implantación suele encarecerse alejando
la posibilidad a las microempresas de acceder a este tipo de sistemas en las
organizaciones.
La mayor cantidad de los sistemas ERP propietarios son creados por reconocidos
desarrolladores de software dando como resultado un producto sólido, con mayor
madurez y soporte técnico. Algunos, son creados por microempresas de software
generando un producto en la mayoría de las veces, especializado en áreas o
sectores concretos de la empresa.
66
11.4.1.1. Ventajas de un ERP Propietario
• Código fuente secreto. Las empresas productoras son las únicas que tienen
acceso al código fuente del software por lo cual es imposible estudiar sus
componentes o encontrar la causa de errores en su funcionamiento.
• Adaptación costosa de módulos particulares. En el caso de que se requiera
una modificación o extensión de una pieza de software, se debe pagar a la
67
empresa una suma importante para la realización de la misma. La
extensión del software de manera arbitraria es ilegal.
• Soporte técnico deficiente. En la mayoría de los casos se presenta esta
desventaja que se traduce en un soporte técnico demorado en responder
satisfactoriamente. Si la compañía se va a la quiebra, el soporte técnico no
se podrá volver a utilizar.
• Cursos de aprendizaje costosos. Aprender a usar el software de manera
eficiente requiere la asistencia a los cursos de aprendizaje que tienen un
valor elevado.
• Exclusivo derecho de innovación. Solo la compañía que hace el software
puede realizar cambios o innovaciones en el mismo.
• Copias sin licencia son ilegales. Hacer copias del software se considera
ilegal sino se ha contratado el pago de las mismas.
• Imposibilidad de compartir. Las compañías no pueden compartir entre sí los
sistemas que tienen funcionando exitosamente.
• Si una compañía fabricante de software es comprada por una más
poderosa, lo más probable es que esa línea de software quede
descontinuada perjudicando así a la organización compradora.
• Se crea dependencia a proveedores ya que en la mayoría de los casos el
estado se hace dependiente de un solo proveedor.
68
manera. Las empresas desarrolladoras de este tipo de aplicaciones por lo
general tienen un grupo de comunidades donde se ofrecen servicios de
implantación, configuración, parametrización y capacitación para los
usuarios del ERP. Facilitando de esta manera el manejo del software.
69
11.4.2.2. Desventajas de un ERP Opensource
70
encargada de proporcionar mantenimiento, operación técnica diaria y
provee la ayuda al cliente para el uso de la aplicación. El cliente tiene
hospedado el sistema en la compañía proveedora de IT. El modo de
entrega se puede hacer desde a consumidores caseros o a grandes
organizaciones. La modalidad SaaS es compatible tanto con los tipos de
ERP propietarios como con los tipos de software OpenSource o de software
libre anteriormente mencionados.
Debido a los bajos costos de entrada que representa este tipo de software,
está popularizándose en las pequeñas organizaciones. Las grandes
organizaciones se están viendo interesadas en este tema principalmente
para programas de recursos humanos y aplicaciones ERP y CRM.
Teniendo en cuenta lo anterior, las grandes compañías desarrolladoras de
software, están estudiando la posibilidad de crear su versión de software
SaaS. Estados Unidos está teniendo un éxito considerable en este aspecto,
mientras que Europa está comenzando a despertar en el tema.
71
72
Algunos ejemplos de ERP SaaS son: Netsuite, Salesforce, Intacct, Workday,
GSInnovate, entre otros.
73
medio a malo. El software OpenSource en cambio, se destaca por ofrecer un buen
costo y libertad para personalizar la aplicación. Por su lado, el software como
servicio SaaS se comporta bien en el aspecto de los costos y en la
despreocupación de la organización por los aspectos técnicos del mismo. La
desventaja para este tipo de software SaaS es que, la capacidad de
personalización es prácticamente nula.
74
11.6. ERP y Cloud Computing
Este tipo de tecnologías permite al usuario evitar la preocupación que dan las
instalaciones de software, servidores, bases de datos, sistemas operativos y toda
la complejidad y trabajo que trae consigo la instalación de un nuevo sistema en
cualquier organización.
El sistema líder en estos momentos a nivel mundial por operar de manera Total en
internet (todas las aplicaciones en la nube) es netSuite. Este sistema integra las
más importantes funcionalidades de un Sistema empresarial como: ERP, CRM y
Ecommerce. Este sistema se contrata como un servicio, es decir, no se tiene que
realizar ningún tipo de instalación en la empresa, aprovechando los servicios que
esta clase de sistemas ofrecen.
75
La aparición del cloud computing en los sistemas ERP cambió el enfoque en el
que un solo fabricante de software era el que ofrecía de una manera integrada
todos los módulos o aplicaciones necesarias en una organización. El cloud
computing ofrece una integración de las mejores aplicaciones y servicios web
construyendo de esta manera una solución global de gestión en la nube con el
objetivo de satisfacer las necesidades de las empresas.
76
11.6.3. Las Tendencias de Cloud Computing y ERP
En esta lucha, las aplicaciones ERP Cloud Computing han ganado muchos
seguidores y demanda de empresas que se enfrentan contra los retos
empresariales día a día. Estos retos incluyen déficit empresarial, incertidumbre,
aumento de competidores, mayor expectativas de los clientes, y los cambios en la
dinámica del mercado. Debido a los presupuestos ajustados o reducidos en la
gerencia de las tecnologías de información, las directivas de las organizaciones
están en la búsqueda de soluciones más asequibles que ofrezcan sistemas muy
potentes para la empresa y que den soluciones ERP tales como las basadas en
Web o en la nube.
77
forma en que se están haciendo negocios, no solo para ahorrar costos, sino para
seguir siendo competitivos en el mercado. Las empresas que están considerando
cambiar su aplicación ERP a código abierto o aplicación Web deben estar seguros
de que están configurados correctamente para poderse integrar con la aplicación
Cloud Computing y poder obtener un ERP que mejor se adapte a su organización.
78
no necesitan un programa hecho a su medida que además implica más tiempo, un
proceso de implementación más largo y futuras necesidades de soporte más
cuestionables. Las soluciones de las grandes compañías le están proporcionando
más confianza.
Los puntos más importantes que definen el mercado actual de los ERP son:
3. Soluciones que van más allá de los tradicionales ERP. Los ERP
tradicionales están ofreciendo ciertos componentes adicionales a las Pyme
como respuesta a sus requerimientos especiales.
79
80
81
12. NORMATIVIDAD Y SEGURIDAD
Es por eso que en los patrones de seguridad se deben contemplar tres aspectos
fundamentales los cuales son contemplados en la norma ISO17799 los cuales son
integridad confidencialidad y disponibilidad como parte de los principios
fundamentales para poder comenzar hablar de seguridad en un sistema de
información.
Para que una organización pueda garantizar una adecuada utilización de los
recursos limitando la posibilidad de pérdidas de información mediante la
eliminación o disminución de los riesgos y trabajando dentro de los marcos legales
establecidos, debe tener claros la capacitación de su personal, los recursos
técnicos que requiere, la estructura organizacional y los parámetros legales que se
deben cumplir para poder mantener una adecuada operación y gestión.
Antes de iniciar a hablar sobre el tema de normatividad que rige los aspecto de la
seguridad de los sistemas de información de las organizaciones debemos hablar
de la importancia que tiene la gestión de riesgos, puesto que así como es de vital
importancia el velar por el adecuado uso de los recursos económicos y físicos de
la organización, también es importante analizar los riesgos a los que están
expuestos los recursos informáticos y más en esta era donde día a día surgen
nuevas técnicas de intrusión.
82
autorizado a información confidencial de la organización, es por esto que se habla
de estandarización de usuarios control de accesos, monitoreo de las acciones que
ejecuta cada usuario tanto en tiempo laboral como en horarios de baja actividad.
6
Estándar
internacional
ISO/IEC
17799
segunda
edición
2005
Consultada
17
de
Marzo
de
2012
7
Glosario
Básico
Inglés-‐
Español
para
usuarios
de
internet
1994.
2000
http://www.ati.es/novatica/glosario/glointv4.pdf
17
de
Marzo
.
83
12.1. Estándares y Regulaciones de Seguridad de Información
ISO/IEC JTC1 SG27 /WG1: Este proceso tiene por misión el desarrollo y
actualización de la familia de norma ISO27000, la identificación de futiros
requerimientos, además de tener que mantener una estrecha colaboración con los
demás grupos del JTC1 para el desarrollo de los diversos estándares.
84
ISO/IEC JTC1 SG27/ WG3: Este grupo es el encargado de definir los criterios de
evaluación de la seguridad, además de tener que definir los criterios que deben
ser evaluados, las técnicas que deben ser empleadas y los mecanismos de
evaluación que serán empleados, además de tener que trabajar en conjunto con
los demás grupos de ISO responsables de definir los estándares de
comprobación y gestión de la calidad para evitar malos entendidos.
ISO/IEC JTC1 SG27/ WG5: Este grupo es el encargado de los temas que hacen
referencia a la gestión de identidad y privacidad, en este grupo se desarrollan los
estándares propios de los sistemas de control de datos personales, biometría,
además de definir las bases de futuros estándares en control de acceso como es
control de roles RBAC (Role-based access control), Single sing-on, mecanismos
de anonimato y en general tecnologías para la mejora de la privacidad o PETs
(Ver glosario).
12.2.1. ISO27000
85
esta norma estaba compuesta por dos partes las vuales era BS77991 y BS 77992
la primera parte daba una guía de buenas prácticas y tal como se maneja en los
estándares actuales no era certificable pro BS77992 contenía los modelos
aplicables y por lo cual certificables.
En el año de 1999 el estándar BS77991 fue adoptado por ISO sin realizar mayores
modificaciones baso el nombre ISO17799 la cual fue finalmente publicada en el
año 2000, en el año 2002 el comité de ISO verifico la segunda parte del estándar
de BSI y finalmente en el año 2007 se publicó la norma ISO27001y de igual
manera se verifico nuevamente la ISO17799 y se publicó nuevamente como
ISO27002:2005.
Posterior a estos acontecimientos tanto ISO como BSI han continuado con la
publicación de estándares dentro de la familia ISO 27000 y BS 7799 que apoyen
la gestión de las organizaciones en temas de seguridad.
86
ISO/IEC 15 DE GUÍA PARA EL DESARROLLO E NO
27004 DICIEMBRE DE IMPLEMENTACIÓN DE
2009 MÉTRICAS APLICABLES PARA
DETERMINAR LA EFICACIA DE
UN SGSI
ISO/IEC 1 DE JUNIO DE DIRECTRICES PARA LA NO 2 EDICIÓN
27005 2011 GESTIÓN DE RIESGO EN
SEGURIDAD
ISO/IEC 1 DE DICIEMBRE REQUISITOS PARA SI 2 EDICIÓN
27006 DE 2011 ACREDITACIÓN DE ENTIDADES
DE AUDITORIA Y
CERTIFICACIÓN DE SISTEMAS
DE GESTIÓN DE SEGURIDAD
ISO/IEC 14 DE GUÍA DE AUDITORIA DE UN NO 1 EDICIÓN
27007 NOVIEMBRE DE SGSI
2011
ISO/IEC 15 DE OCTUBRE GUÍA DE AUDITORIA DE LOS NO 1 EDICIÓN
27008 DE 2011 CONTROLES IMPLEMENTADOS
EN UN SGSI
ISO/IEC SIN FECHA DE GUÍA PARA LA GESTIÓN DE LA N/A N/A
27010 PUBLICACIÓN SEGURIDAD CUANDO SE
COMPARTE ENTRE
ORGANIZACIONES
87
INFORMACIÓN
88
ASEGURAMIENTO DE LAS
COMUNICACIONES ENTRE
REDES A TRAVÉS DE
GATEWAYS
ISO/IEC 27033-5
ASEGURAMIENTO DE LAS
COMUNICACIONES A TRAVÉS
DE VPNS
ISO/IEC 27033-6
CONVERGENCIA IP
ISO/IEC 27033-7 REDES
INALÁMBRICAS
ISO/IEC SIN FECHA DE SEGURIDAD EN SI N/A
27034 PUBLICACIÓN APLICACIONES INFORMÁTICAS
COMPUESTA DE 5 PARTES
ISO/IEC 27034-1 CONCEPTOS
GENERALES
ISO/IEC 27043-2 MARCO
NORMATIVO PARA LA
ORGANIZACIÓN
ISO/IEC 27034-3 PROCESO DE
GESTIÓN DE SEGURIDAD EN
APLICACIONES
ISO/IEC 27034-4 VALIDACIÓN
DE LA SEGURIDAD EN
APLICACIONES
ISO/IEC 27034-5
ESTRUCTURAS DE DATOS Y
PROTOCOLOS DE SEGURIDAD
EN APLICACIONES
ISO/IEC 17 DE AGOSTO GUÍA PARA LA GESTIÓN DE NO N/A
27035 DE 2011 INCIDENTES DE SEGURIDAD
DE LA INFORMACIÓN
89
ISO/IEC SIN FECHA DE ESTÁNDAR DE SEGURIDAD EN N/A N/A
27036 PUBLICACION RELACIÓN CON LOS
PROVEEDORES COMPUESTA
DE 4 PARTES
ISO/IEC 27036-1 VISIÓN
GENERAL Y CONCEPTOS
ISO/IEC 27036-2 REQUISITOS
COMUNES
ISO/IEC27036-3 SEGURIDAD
EN LA CADENA DE
SUMINISTRO
ISO/IEC27036-4 SEGURIDAD EN
OUTSOURCING
ISO/IEC SIN FECHA DE IDENTIFICACIÓN, N/A N/A
27037 PUBLICACIÓN RECOLECCIÓN Y CUSTODIA
DE EVIDENCIAS DIGITALES
ISO/IEC SIN FECHA DE GUÍA PARA LA REDACCIÓN N/A N/A
27038 PUBLICACIÓN DIGITAL
ISO/IEC SIN FECHA DE GUÍA PARA LA SELECCIÓN, N/A N/A
27039 PUBLICACIÓN DESPLIEGUE Y OPERATIVA DE
SISTEMAS DE DETECCIÓN Y
PREVENCIÓN DE INTRUSIÓN
(IDS/IPS).
ISO/IEC SIN FECHA DE GUÍA PARA LA SEGURIDAD EN N/A N/A
27040 PUBLICACIÓN MEDIOS DE
ALMACENAMIENTO.
ISO/IEC 12 DE JUNIO DE PROPORCIONA DIRECTRICES N/A N/A
27799 2008 PARA APOYAR LA
INTERPRETACIÓN Y
APLICACIÓN EN EL SECTOR
SANITARIO DE ISO/IEC 27002,
EN CUANTO A LA SEGURIDAD
DE LA INFORMACIÓN SOBRE
LOS DATOS DE SALUD DE LOS
PACIENTES
90
Tabla 2 Normas ISO 27000 - Fuente ISO 27000 - Fuente Elaboración Propia
Los tres aspectos fundamentales que conforman esta norma podríamos indicarlos
como ISMS, valoración de los riesgos y los controles que deben ser incorporados
en la organización.
Esta norma además establece los parámetros para que las organizaciones puedan
generen planes de continuidad, para el caso Colombiano este estándar permite
91
que las organizaciones cumplan con la reglamentación de protección de datos
1998.
ISO/IEC 27001 adopta un modelo de proceso PDCA por sus siglas Planear,
Hacer, chequear y Actuar, este estándar busca tomar todos los requerimientos y
las expectativas que tiene una organización y plantearlos a través de
procedimientos, manuales y buenas prácticas que generan los resultados
esperados minimizando los riesgos en la organización.
Este estándar de calidad se fue creado para alinearse con ISO 9001:2008 e ISO
14001:2004, buscando que la organización logre una integración consistente y
funcional.
Actuar • Mantener
• Mejorar
•
•
Definir
acciones
de
mejora
Definir
metas,
recopilar
datos
• Monitorear
• Ejecutar
las
acciones
Chequear
• Revisar
• Educar,
formar
Ilustración 14: Lineamientos de la OECD para redes y sistemas de seguridad de la Información Fuente:
ISO2007:2005
92
Administración de las revisiones del Sistema de Gestión de la seguridad de la
Información y 8 Mejora del Sistema de Gestión de la seguridad de la Información,
las clausulas anteriores pueden ser tomadas como parte del cuerpo principal de la
norma.
De igual manera ISO/IEC 27001:2005 exige que la organización tenga muy bien
definido todo lo referente a la gestión de Riesgos como análisis, metodologías,
alcances, evaluación, controles
93
12.2.3. COBIT 4.1
Cobit fue desarrollado para servir de guía a las organizaciones para poder
establecer sistema de control interno junto a un marco de trabajo seguro, esta
metodología busca que las metas de la organización se alineen con las metas de
TI.
94
Entrega
de
valor
Para lograr esto las organizaciones deben concientizarse de los riesgos a los
cuales están sujetos y para ello, requieren implementar estrategias coherentes con
su realidad y a la vez realizar inversiones objetivas con vista a futuro.
95
precisa a la organización la cual debe dar respuesta a los requerimientos de la
misma.
Planear y Organizar (PO): Este dominio cubre las estrategias y tácticas y busca
establecer las necesidades que las TI deben satisfacer en la organización,
establece estructura organizacional y tecnológica real y aplicable.
96
pero buscando que las inversiones en TI estén alineadas con las estrategias de la
organización.
Entregar y dar Soporte (DS): Este dominio cubre todo el proceso de entrega de
las soluciones planteadas a la organización así como la capacitación, soporte y
generación de planes de continuidad y seguridad.
97
• DS 13: Administrar las operaciones
PLANEAR
Y
ORGANIZAR
ADQUIRIR
E
IMPLEMENTA
R
ENTREGAR
Y
MONITEAR
Y
DAR
ORGANIZAR
SOPORTE
98
13. MARCO METODOLOGICO
Misión
Visión
Principios
99
• La acción académica de la Institución está encaminada a la formación de
profesionales Líderes Integradores, honestos, eficientes, probos, creativos,
emprendedores y multiculturales en función de un espíritu de servicio a la
sociedad.
100
objetivo de proponer planes de mejoramiento, proyectos que estén
alineadas con la misión y objetivos estratégicos de la Universidad.
4. Vicerrectoría de Investigaciones: Asimila, recolecta, genera y
divulga el conocimiento que se requiere para cumplir con los
objetivos organizacionales de igual manera con el conocimiento
recolectado asesora al sector empresarial.
5. Vicerrectoría de Formación: Genera los planes académicos que le
aseguren a la Universidad que sus egresados serán competentes y
emprendedores para esto es el responsable de la evaluación y
certifi8cacion de las competencias de sus emprendedores.
6. Gerencia de Desarrollo Humano: Encargada de la vinculación,
capacitación y evaluación de cada uno de los colaboradores de la
Universidad, encargada de generar una cultura de alta calidad entre
cada uno de los miembros de la comunidad administrativa de la
misma.
7. Dirección de Medio Universitario: Encargada de desarrollar, liderar
programas y actividades diseñadas para generar un ambiente que
permita el desarrollo integral de cada uno de los miembros de la
Comunidad estudiantil y administrativa.
8. Vicerrectoría de Extensión y Proyección social: Gestiona el
desarrollo de programas de educación no formal, consultoría, ,
responsabilidad social, formación empresarial entre otros dirigidos a
cada uno de los diferentes grupos de interés que posee la
universidad y con esto se busca fortalecer el lazo Universidad -
Empresa - Gobierno
9. Dirección de gestión del conocimiento: Unidad encargada del
diseño y desarrollo de herramientas interactivas que apoyen las
actividades académicas y administrativas de la Universidad, brinda
soporte en cada una de las etapas de la generación de conocimiento
desde su creación hasta su utilización.
10. Gerencia de Mercadeo y servicios al estudiante: Desarrolla
actividades de promoción, publicidad, venta y posicionamiento de la
Universidad.
11. Vicerrectoría Financiera y de logística: Gestiona y controla el
manejo de los recursos físicos y financieros de la organización
además brinda apoyo logístico en el desarrollo de las diversas
actividades que son propuestas al interior de la organización.
12. Gerencia de Innovación y desarrollo de Tecnologías de
Información y Comunicación: Proceso encargado de la generación
101
y desarrollo de soluciones innovadoras en Tecnologías de
Información y la comunicación, para brindar apoyo a las labores y
actividades propuestas por los diferentes procesos.
13. Dirección de la internacionalización y las relaciones
Institucionales: Brinda apoyo en la generación de acuerdos de
colaboración, convenios, afiliaciones, y alianzas brinda todo el
apoyo requerido para gestionar diversos procesos de
internacionalización de los miembros de la Universidad, coordina el
manejo de las relaciones públicas de la Universidad además de
gestionar la búsqueda de recursos de carácter no reembolsable
para la gestión de proyectos en la Universidad.
102
103
Cada uno de los proyectos y actividades que son desarrolladas por el equipo que
conforma este proceso siempre están alineadas con el plan de acción y cada uno
de los objetivos planteados por el PEI de la Universidad
Entre los principales principios de trabajo que posee este proceso podemos
resaltar los siguientes:
•Responsabilidad.
104
El primero de los subprocesos se enfoca en facilitar soluciones haciendo uso de la
infraestructura tecnológica, disponible.
Cada uno de estos subprocesos está compuesto por un equipo de trabajo, el cual
se encarga de actividades específicas, con el propósito de lograr un adecuado
desarrollo y desempeño de cada una de las funciones asignadas.
105
Pero a pesar de la excelente gestión que se evidencia vale la pena resaltar
algunos interrogantes que requieren de un constante análisis por parte de los
responsables de actividades tan precarias como lo es el Backup frente a temas
como:
Así mismo una vez se realizan las copias de respaldo, estas son errfntregadas a
una custodia externa.
Por otra parte es importante analizar, que tecnología se utiliza para realizar estas
copias de respaldo.
Con todos estos datos, ya contamos con la información para tener una visión más
global de la forma como se encuentra estructurada y como opera La Gerencia de
Innovación y Desarrollo de TIC. Lo cual es de vital importancia al momento de
106
realizar un BIA (Business Impact Analysis) y de esta manera poder realizar un
análisis más adecuado.
Ilustración 18 DigitalWare
DigitalWare es una empresa colombiana que viene trabajando desde 1992 y que
tiene como propósito proporcionar soluciones en el área informática basada en
principios de calidad, eficiencia, robustez y alto rendimiento para las
organizaciones tanto del Sector público como del Sector privado, a Nivel nacional
e internacional por medio de alianzas estratégicas. A lo largo de estos años se ha
obtenido la satisfacción de los clientes por medio de la Excelencia en el Servicio.
107
de KACTUS-HR, SEVEN-ERP, SEVEN-CRM y HOSVITAL-HS, Soluciones para
ambientes Cliente / servidor Multinivel e Intranet interactuando con flujos de
trabajo (SEVEN- Work Flow®) totalmente parametrizable conformando la base de
soluciones a la medida para la gestión Administrativa, financiera, comercial,
Contratos y Licitaciones, Manufactura, Hospitalaria y Administración de Recursos
Humanos y de Nómina.
108
109
110
13.3.4. A nivel de Software
111
13.3.6. Beneficios de la Utilización del Sistema SEVEN- ERP
Ø Administrativa :
• Inventarios
• Activos Fijos
112
• Compras
• Contratos
• Work Flow
Ø Financiera:
• Contabilidad
• Proveedores
• Tesorería
• Presupuesto financiero
Ø Comercial
• Facturación
• Cartera
• Cartera Financiera
Ø General
• Seguridad y control de Acceso
• Parámetros Generales
• Utilitarios
Ø Imágenes
113
13.3.8. SEVEN E- Administrativa
114
acumulada, los ajustes debido a la inflación y los movimientos que no afecten la
parte contable y que permitan así, un control administrativo de los activos.
Este módulo funciona en línea, realizando la contabilización de manera directa de
los movimientos realizados en el Sistema o como complemento a otros sistemas
que se encarguen de realizar la contabilización desde el inicio de la transacción y
solo requieran realizar el movimiento operativo sobre el activo. Conserva toda la
parametrización definida para el producto devolutivo que se encuentra definida en
el módulo de inventarios. Asocia cada uno de los activos a diferentes grupos de
activos fijos que están definidos de acuerdo a la necesidad de la organización.
Este módulo sirve como apoyo a la alta gerencia en el seguimiento y control de los
diferentes procesos de compras dentro de la Universidad como las solicitudes
internas y requerimientos de compras, las cotizaciones a los proveedores, registro
de los mismos, generación de órdenes de compras, diferentes despachos de una
orden y la recepción de la mercancía.
Esta aplicación está totalmente integrada con los módulos de presupuesto,
tesorería, inventarios y activos fijos permitiendo al usuario hacer entradas al
inventario por compras que se realizan.
Las solicitudes de compras se pueden definir por medio de cualquiera de las
terminales de la aplicación y estas pueden ser realizadas por cualquier usuario del
sistema que tenga permisos, lo que permite que cada usuario realice sus
requerimientos de suministros. En el caso de la Universidad EAN las Asistentes
son las encargadas de realizar estas solicitudes de compras en la aplicación
SEVEN referentes a su proceso. Por medio de un módulo de Seguridad se
garantiza que los usuarios de acuerdo a sus perfiles puedan consultar, aprobar y
diligenciar las solicitudes realizadas.
115
El módulo de compras también permite el registro de proveedores de la
Universidad por medio de un detalle de todas sus características y definiendo los
artículos que el proveedor suministra a la empresa. Pueden guardarse las ofertas
realizadas por un proveedor con el objetivo de generar cotizaciones de manera
automática en el momento en que se considere necesario. La recepción de los
suministros se realiza en una bodega definida para entrada de proveedores. La
orden de compra es contabilizada en base al documento relacionado en la
recepción de los suministros (factura, orden de entrega, factura etc.) y una vez que
el proveedor entrega la correspondiente factura el siguiente paso es originar la
cuenta por pagar en el módulo de cuentas por pagar con el fin de realizar el pago
desde el módulo de tesorería.
116
definición de los nuevos procesos de negocio y la modificación de los procesos
existentes brindando así a la organización la oportunidad de definir el negocio en
flujos de trabajo que van escalando desde un sistema de radicación, procesos
diversos de compras, presupuestos o cualquier tipo de proceso que interactúe con
los sistemas administrativos, financieros, de producción y documentales de la
organización en un solo sistema. Lo anterior logra un trabajo compartido y
cooperativo muy importante en la Organización ya que se manejan los
documentos de manera distribuida, correo electrónico, las transacciones y las
operaciones facilitando el flujo de la información entre los diferentes grupos que
conforman la parte Administrativa de la Universidad y disminuyendo
significativamente los costos administrativos.
El sistema de Work Flow se basa en una herramienta de gestión documental que
gestiona y almacena todos los documentos que pasan de un lugar a otro de
usuario a usuario como imágenes, textos, archivos ofimáticos y más. Las técnicas
de Gestión documental permiten a los usuarios clasificar y organizar todos los
archivos electrónicos y se pueden usar técnicas de base de datos para la
localización de la información que se necesita realizando la búsqueda por fechas,
autores de los documentos o contenidos de los mismos.
Para acceder al archivo central de los documentos electrónicos hay un control de
acceso garantizado. El usuario debe identificarse con su nombre y una palabra
clave y de esta manera tiene derecho a realizar operaciones de acuerdo a los
permisos para su perfil controlando de esta manera el acceso a usuarios no
autorizados.
SEVEN Work Flow en resumen permite el control de quien maneja la información
de la organización, que puede hacer la persona o usuario que tiene este acceso y
en qué momento es necesario el acceso a la Información.
117
13.3.10. SEVEN E- Finanzas
Características Generales
118
• Permite la definición, formulación y generación de los índices financieros.
• Definición de parámetros para los informes en medios magnéticos que
deben ser entregados a entes externos.
• Definición de anexos contables para la declaración de renta.
Características Generales
• Provee auxiliares que contienen la historia del movimiento y los saldos por
cada una de las cuentas por pagar que posee la Universidad.
Adicionalmente mantiene los registros correspondientes a los pasivos de la
empresa, en lo relacionado con proveedores y acreedores varios, por
concepto de productos, contratos, servicios y suministros.
• Con este módulo se obtiene un adecuado manejo de pagos bajo un estricto
seguimiento de los documentos que componen las obligaciones.
• Suministra información sobre los vencimientos y prioridades de pago dando
así la posibilidad de llevar a cabo una óptima planeación de los mismos,
con los beneficios financieros que esto representa.
• Efectúa las recepciones de acuerdo con la orden de compra y la factura del
proveedor, genera el estado de cuenta, controla las respectivas
obligaciones y realiza los pagos con emisión automática de cheques.
• Permite la definición de la Facturación incluyendo dentro de esta las
características generales, los productos, las condiciones comerciales e
impuestos.
119
• Recomienda proveedores de un producto y relaciona los productos que
ofrece un proveedor.
• Suministra información de Cuentas Por Pagar por edades.
• Permite definir las diferentes listas de precios por producto y proveedor.
• Clasificación de los proveedores por tipo, permitiendo al usuario organizar
sus proveedores de la manera más conveniente.
• Definición de las diferentes condiciones de pago pactadas con un
proveedor.
• Registro de los proveedores con información básica como identificación,
nombre, dirección, teléfono, tipo, clase, y condiciones de pago.
• Permite el control de anticipos y cruce de cuentas.
Características Generales
120
• Permite la definición de los diferentes tipos de comprobantes de Ingreso y
Egreso, como el Recibo de Caja, las Consignaciones, el Comprobante de
Egreso, Notas Débito y Crédito.
• Generación automática de los consecutivos para los comprobantes de
ingreso y egreso.
• Libre definición jerárquica de las diferentes cajas, incluidas las cajas
menores.
• Aplicación de pagos y actualización de los saldos de cuentas por pagar y
por cobrar en línea.
• Calcula sobre el valor de la factura, el valor correspondiente a la Retención
en la Fuente, I.V.A, e ICA y registrar los descuentos en el Comprobante de
Egreso.
• Interactúa en línea con el Módulo de Presupuesto y actualiza la ejecución
de los Ingresos y Gastos.
• Interactúa en línea con el Módulo de Contabilidad y actualiza las cuentas
contables y presupuestales.
• Obtiene información rápida y oportuna acerca del estado de los Bancos y
disponibilidad de giro.
• Reporte del resumen diario de Caja por los diferentes conceptos por los que
hubo movimiento.
• Manejo dinámico de Bancos, Sucursales y Cuentas Bancarias.
• Diseño de plantillas de cheques manejados por los diferentes bancos,
directamente por el usuario.
• Conciliaciones bancarias
• Control de Flujos de Caja
121
13.3.10.4. Módulo de presupuesto Financiero
Características Generales
122
Por medio del módulo se pueden realizar facturaciones directas con base en un
pedido que afecta directamente el inventario de la organización y la contabilidad
de la misma. Permite manejar cupos de crédito, formas de pago y la
parametrización de las diversas condiciones comerciales al tiempo que calcula de
forma automática todos los impuestos relacionados con los diferentes conceptos
facturados.
Características Generales
123
Entre sus aspectos más importantes se encuentran: la generación de facturación
por pedidos, rutas, clientes, ciudades, la administración de devoluciones de
mercancía, la conciliación de guías de transporte, la reimpresión de facturas, la
integración con el módulo de estadísticas (Inteligencia de Negocio) y el módulo de
contabilidad a nivel de cuenta, centro, área, proyecto.
Características Generales
124
• Permite la parametrización de los clientes por medio de las condiciones
comerciales, formas de pago y cupos de crédito.
Aquí se diseñan y se revisan cada uno de los parámetros que son requeridos por
la organización para garantizar el buen funcionamiento de todos sus procesos y
operaciones en las diferentes áreas de la Universidad con el fin de lograr que los
resultados finales sean los esperados con el sistema SEVEN.
Módulo que tiene como objetivo principal la eliminación de las tediosas carpetas y
grandes archivos que almacenan los documentos físicos de la organización. La
aplicación permite el archivo de estos documentos en forma digital relacionados
con el colaborador como su hoja de vida, estudios realizados y todos los
125
certificados laborales relacionados con el mismo además de su contrato firmado
de manera digital
126
riesgos debemos tener claridad de que una vez estén definidos no indica que se
eliminen los problemas para la organización y que los riesgos y vulnerabilidades
desaparezcan se podría considerar esto como una transformación que en algunos
casos lo que hace es convertir esos riesgos y vulnerabilidades en unos más
pequeños y más aceptables
Así mismo, permite crear un balance entre los costos operativos y económicos en
relación con las medidas de protección aplicadas, y lograr ganancias teniendo en
cuenta la protección de los objetivos misionales de la empresa.
Por otra parte, para ser efectivo, este proceso no debe extenderse demasiado.
Debe realizarse en un tiempo prudente y efectivo.
Esta técnica se basa en el uso de matrices, en las cuales se identifican los activos
que se puedan ver comprometidos, los posibles riesgos que se puedan presentar
127
así como una valoración aproximada de la frecuencia en la que se podrían
presentar estos posibles riesgos.
Una vez se logran obtener estos datos, se puede dar inicio a un análisis para
poder tomar las medidas necesarias, así como los procedimientos a seguir.
Metodología
MAGERIT
OCTAVE
CRAMM
IRAM
Análisis
de
riesgos
C
N
C
C
Alcance
gestión
de
riesgos
C
C
C
C
Cuantitativo
C
S
C
C
Tipo
de
análisis
Cualitativo
C
S
C
C
Intrínseco
C
N
C
C
Gestión
de
riesgo
Efectivo
C
C
C
C
Residual
C
P
N
S
Procesos
C
C
N
N
Activos
C
C
C
C
Elementos
que
tiene
en
cuenta
el
modelo
Recursos
C
C
N
N
Dependencias
C
C
C
C
Vulnerabilidades
C
C
C
C
Amenazas
C
C
C
C
Salvaguardas
C
C
C
C
128
Autenticidad
C
N
N
N
Trazabilidad
C
N
N
N
Otros
N
N
N
N
Herramientas
C
N
C
N
Plan
de
proyecto
C
C
S
N
Implantación
Roles
C
C
C
N
Comparativas
C
N
C
N
C
COMPLETO
N
NO
TIENE
Leyenda
S
SATISFACTORIO
P
POBRE
Tabla 3 Metodologías Análisis de Riesgos - Fuente Elaboración Propia
Después de realizar ese análisis, se puede observar que MAGERIT es la
metodología más completa y apropiada para este análisis, debido a que permite
evaluar diferentes aspectos necesarios para determinar las acciones a tomar y los
planes a seguir, que se adecuen más a los objetivos de la organización.
Así mismo para poder procesar toda la información que requiere esta metodología,
se utilizará la aplicación PILAR, la cual es un desarrollo en java enfocado a la
metodología MAGERIT.
Aplicación de la Metodología
Como se trató con anterioridad, MAGERIT, está compuesto por tres libros,
Métodos, Catalogo de Elementos y Guías Técnicas.
129
3. Definición de tareas y actividades, que no son más que los controles a
implementar.
Planificación
El siguiente paso es realizar un pequeño estudio o análisis del estado actual del
ERP SEVEN en la Universidad EAN.
PROCESO P1 PLANIFICACIÓN
Para ello es necesario tener en cuenta diferentes aspectos que son vital
importancia para que este sistema funcione.
130
En cuanto a la primera, Seven se encuentra alojado en un servidor físico, dentro
del Data Center de la universidad.
En los apartados anteriores, se profundiza más en cuanto a el ERP Seven, que es,
servicios que presta, módulos que lo componen y empresa que lo desarrollo.
Por otra parte, como se comentó en el capítulo anterior, se cuenta con un proceso
de generación de copias de respaldo en medios magnéticos a datos e información
considerada necesaria y vital para la restauración del Sistema SEVEN.
Análisis de Riesgos
131
Luego de determinar la metodología a utilizar, la herramienta que nos ayudará a
procesar la información y de tener un panorama genérico del estado actual en
cuanto al sistema SEVEN, el paso a seguir es realizar una matriz de riesgos.
Para ello, como se muestra en la siguiente tabla, se llevaran a cabo las siguientes
actividades.
132
Las anteriores actividades y tareas del proceso dos, se determinaron según los
libros 2 y 3 de la metodología MAGERIT “Catálogos de Elementos” y “Guías y
Técnicas”, los cuales proponen estrategias para poder clasificar y valorar los
activos e identificar las amenazas y riesgos.
El objetivo de esta actividad es listar los activos más relevantes que se encuentran
directamente relacionados con el ERP Seven, para su posterior análisis.
Como se describió en la tabla anterior, esta actividad está compuesta por las
siguientes tareas.
Cada activo identificado debe estar compuesto por una serie de atributos como
son, el nombre una descripción y un código, así mismo a la seccion o capa a la
cual pertenece.
Para esta tarea, como en las posteriores, haremos uso de la aplicación Pilar, la
cual nos ayudará a sistematizar y procesar la información.
133
• D: Datos referentes al nombre, código, descripción y versión del proyecto.
Definición de los dominios de seguridad9 y faces del proyecto.
• A: Análisis de Riesgo, en el cual se realiza la identificación de los activos en
cada dominio de seguridad, su clasificación y posterior valoración,
identificación de las amenazas, clasificación y valoración. Identificación y
valoración de las salvaguardas, así como el impacto.
• R: Informes, resultados textuales o por gráfica.
• E: Perfiles de seguridad: Observar la seguridad desde un perfil dado.
• Procesos
• Servicios internos
• Equipamiento
• Servicios sub contratado
• Instalaciones
• Personal
9
Se
conoce
como
dominio
de
seguridad
a
un
grupo
de
activos
enfocados
a
un
objetivo
común.
Por
ejemplo
para
efectos
de
este
proyecto,
se
ha
creado
como
dominio
de
seguridad,
Equipamiento,
en
el
cual
se
agrupan
activos
a
nivel
de
software
y
hardware.
Otro
activo
podría
ser
servicios
internos,
en
el
cual
se
encuentran
activos
como
internet
y
los
sistemas
de
información.
134
Así mismo encontramos un grupo de activos identificado por una carpeta de color
amarillo e identificado con el código [DC] Data center.
135
De igual manera encontramos unos activos o subprocesos
De esta manera a cada uno de estos activos se le asigna una clase de activo.
Para efectos de este ejemplo, observemos la siguiente imagen;
136
Para el activo correspondiente a Seven, podemos observar que se trata de un
activo de servicio esencial (essential service) y que es un software (SW)
desarrollado por terceros (Sub).
10
Dependencia
de
un
activo
es
la
medida
en
las
cual
un
activo
superior
se
podría
encontrar
afectado
debido
a
un
incidente
de
seguridad
de
un
activo
inferior.
Definición
sacada
del
libro
2
Catálogos
de
Elementos,
Metodología
Magerit.
137
La grafica anterior nos permite observar esta jerarquía. En la cual, que activo
depende de otro.
Este paso se puede realizar de dos maneras en Pilar. Colocando un valor a cada
dominio de activos, por lo cual se cada activo que se encuentre en ese dominio,
será valorado. La segunda, es que a cada activo de manera individual asignar un
valor.
Para efectos de este proyecto, valoraremos los activos de manera individual, con
base a unas dimensiones de seguridad que es necesario tener en cuenta. Según
la metodología MAGERIT, estas son los siguientes;
Valoración Descripción
10 Muy alto MA Daño muy grave a la
organización
7-9 Alto A Daño grave a la
organización
4-6 Medio M Daño importante a la
organización
1-3 Bajo B Daño Medio a la
organización
0 Despreciable MB Daño irrelevante a la
138
organización
Tabla 6 Catalogo valoración de activos - Fuente Elaboración Propia
139
Como se explicó con anterioridad debido a cláusulas de confidencialidad, tomaremos como ejemplo una sección de la
valoración que se realizó en algunos de los activos.
El listado completo, se utilizará para los análisis posteriores y será entregado a la Gerencia de TIC.
En la tabla anterior podemos observar, la valoración de los activos correspondientes al dominio de servicios (Internet y el
ERP Seven).
Cada uno de estos activos fue valorado teniendo en cuenta la importancia de este activo, según los criterios
anteriormente descritos.
En el caso del activo correspondiente a Seven, se puede observar que la valoración es una de las más altas.
• Es necesario que el sistema cuente con una disponibilidad alta para poder realizar todos los procesos necesarios
en cada uno de los módulos (financieros, gestión humana, etc.), así mismo, la capacidad para asegurar que los
datos sean registrados adecuadamente en los campos que corresponde (integridad de datos), sin existir la
posibilidad de generarse registros fantasmas que más adelante puedan alterar los resultados.
140
• Por otra parte en encontrarse diseñado para que el acceso de estos datos solo debe ser realizado por el
administrador o personal autorizado (Confidencialidad de Datos y Autenticidad de los Usuarios y de la
Información).
141
• Así mismo esta información debe encontrarse disponible para que pueda
ser consultada en el momento adecuado, permitiendo así tomar decisiones
adecuadas.
142
Magerit básicamente clasifica 4 grupos de posibles amenazas;
Para la identificación de estas amenazas, haremos uso de las tablas del libro II
Catalogo de Elementos de la metodología Magerit, en el cual se agrupan las
amenazas de acuerdo al activo en que dimensión11 se pueden materializar.
• [D] Disponibilidad.
• [I] Integridad.
• [C] Confiabilidad.
• [A_*] Autenticidad de servicios y datos.
• [T_*] Trazabilidad de servicio y datos.
• [N…n] Grupo de amenazas desastres naturales.
• [I…n] Grupos de amenazas de origen industrial.
• [E…n] Grupos de amenazas de errores y fallos no intencionales.
• [A…n] Grupos de amenazas de ataques no intencionados.
Así mismo, Pilar puede configurarse para que realice una identificación automática
de posibles amenazas a cada activo.
Para ello, Pillar obtiene los datos teniendo en cuenta unos criterios de valoración
adicionales realizados en el paso anterior, en los cuales se califica a cada activo y
la posible consecuencia al momento de presentarse, interrupción en el
funcionamiento del servicio y su posible consecuencia en la organización.
11
Son
características
o
atributos
que
hacen
valioso
a
un
activo.
Esta
es
de
gran
utilidad
al
momento
de
valorar
las
consecuencias
de
materialización
de
una
amenaza.
Es
una
un
indicador
que
permite
evaluar
a
la
organización
que
tan
perjudicial
puede
llegar
a
ser
el
activo
si
este
se
llega
a
dañar.
143
144
[DC.AR] Alimentación Regulada A - - - - -
[RD.RI] Red Interna A - - - - -
[RD.RE] Red Externa A - - - - -
[RD.RWF] Red Inalámbrica A - - - - -
[RD.FRW] Firewall A - - - - -
[TF.STI] Servicio Telefonía Interno A - - - - -
[TF.STE] Servicio Telefonía Externo A - - - - -
[IN.AI] Acceso a Internet A 5% - - - -
[SI.S7N] Seven A 5% - - - -
[SW.WEB] Pagina Institucional A 50% - - - -
[SW.DB] Bases de Datos A 50% - - - -
[HW.SRV7] Servidor Seven A 100% - - - -
[HW.DSKT] Equipo de Escritorio -
M 100% - - - -
Estación de Trabajo
[ISP.ISPC] Proveedor de Servicios de
A 5% - - - -
Internet - Claro
[ISP.IPST] Proveedor de Servicios de
A 5% - - - -
Internet - ETB
Tabla 7 Amenaza Denegación de Servicio en los activos - Fuente Elaboración Propia
En esta sección Pilar nos ayuda a agilizar un poco el trabajo, debido a que se
basa en la catalogación y la valoración de los activos para asignar un valor a cada
amenaza así como la frecuencia en la cual se pueda presentar.
12
Cada Cuanto se Materializa esta amenaza
13
Que tanto se encontraría perjudicado este activo.
145
Nivel / Frecuencia Dimensiones Descripción
MA 100% Muy alto
A 80% Alto
M 50% Medio
B 10% Bajo
Tabla 8 - Catalogo Valoración de las amenazas - Fuente Elaboración Propia
Una vez se ha aplicado el ejercicio a todos los activos, se obtiene como resultado
de esta tarea un informe en el cual se describen las amenazas posibles y la
frecuencia en la cual se puedan presentar. Así mismo que tanto podrían
degradarse dichos activos.
Con lo anterior será posible determinar los riesgos repercutidos por las amenazas
según los niveles de criticidad propuestos por MAGERIT.
146
Ilustración 28 Tipo de Amenaza por Dimensión, Nivel y Valoración - Fuente Elaboración Propia
Como se observó con anterioridad, cada nivel de criticidad se encuentra identificado con un color específico. Así mismo
cada riesgo repercutido se encuentra en una escala de 0 a 10, siendo cero un riesgo despreciable y el rango de 7 a 10
un riesgo al cual hay que prestar atención.
Por tal razón es de vital importancia mitigar por medio de salvaguardas, aquellos activos cuya magnitud es más alta.
147
Según nuestra imagen, los niveles más críticos para Seven, se encuentran relacionados con la dimensión relacionada a
integridad de datos, dentro de la cual encontramos; [A.13] Repudio (Negación de actualizaciones), [A.15] Modificación de
información y [A.22] Manipulación de programas, como amenazas con magnitud alta.
148
149
Para ello es necesaria la realización de una tabla, para evaluar el activo con base
a sus dimensiones, el nivel de degradación que una amenaza puede ejercer
sobre dicho activo y por consiguiente el impacto generado sobre el sistema.
Ahora bien, gracias al desarrollo del punto T2.1.2 Dependencias de los Activos,
es claro que cada activo superior depende de uno inferior. Debido a dicha
dependencia, se pueden presentar 2 tipos de impactos;
150
Una vez más, nos apoyamos en la Herramienta Pilar para obtener los resultados.
Estos son los informes de impacto acumulado y residual por activo.
Allí Pilar nos mostrara una matriz en la cual podremos encontrar en columna
correspondiente cada activo, la amenaza asociada, la dimensión que se encuentra
asociada a este activo, el Valor de este activo, el valor acumulado según los
activos que dependen de él, la degradación, (recordemos que en esta versión
MAGERIT cuando se habla de vulnerabilidad, es la integración de las métricas
Degradación y Frecuencia de la materialización de las amenazas), el impacto que
puede causar esta amenaza en la empresa si se materializa, el nivel en el que se
encuentra asociada esta degradación y la valoración del riesgo si esta amenaza
se materializa.
Por defecto PILAR, nos muestra los impactos con la estimación de degradación
más alta de primeras y progresivamente los de degradación más baja, como se
puede observar en la siguiente grafica;Ahora bien, hasta este punto ya podemos
observar cuales son los activos cuya amenaza hay que prestar mucha atención
ya que el nivel de degradación es muy alta.
151
Por ejemplo, unos de los niveles más altos lo podemos observar en los activo
Seven, cuya amenaza Repudio (negación de actualizaciones), Acceso a
Internet, relacionadas con la dimensión Integración de datos, tiene una
valoración de 10 y una catalogación A (Alto) según la tabla definida con
anterioridad.
Otro ejemplo lo podemos encontrar con el activo Bases de Datos, cuya amenaza
Destrucción de la información asociada a la dimensión Disponibilidad, tiene
una valoración de 10 un valor de degradación de 50% y un impacto de 10 puntos,
así mismo su catalogación en el nivel de degradación es A (Alta).
A estas amenazas son a las primeras que hay que controlar con las salvaguardas
adecuadas, para tratar mitigarlas o de disminuir a un nivel aceptable.
Ilustración 29 Impactos Cuyo Nivel de Degradación Mas Alta - Vista Potencial (Informe Valores
Acumulados por Fase) - Fuente Elaboración Propia
Por otra parte si queremos ver en más detalle el comportamiento de cada activo,
solo basta con dar clic en el título correspondiente a Activo y allí la lista se
organizara por activos, como se puede observar en la siguiente grafica
correspondiente al informe valores acumulados por fase
152
Ilustración 30 Impactos Nivel de Degradación Activo Seven - Vista Potencial (Informe Valores
Acumulados por Fase) - Fuente Elaboración Propia
Así mismo como se puede observar, en la parte superior se pueden visualizar las
vistas correspondientes a potencial, current y target. Al alternar en estas vistas el
resultado es el mismo.
La vista Pilar, nos muestra resultados que son a los que tenemos que llegar.
Ahora bien en las siguiente Tabla, podremos observar por fases o vistas
(potencial, current, target y pilar) el impacto acumulado.
Este resultado se puede observar por dominio o por activos. Para efectos de este
ejemplo lo veremos por dominios. Un informe más completo por activos, será
entregado como soporte a la gerencia del TIC. Anexo C
153
[SS]Servicio
[6]
[4]
[0]
[6]
[1]
[0]
[
Subcontratado
[L]Instalaciones
[6]
[1]
[P]Personal
[9]
[10]
[9]
[4]
[5]
[
Ilustración 31 Informe Impacto Acumulado - Fuente Elaboración Propia
• Para efectos de este ejemplo aparecerán [DC] Data Center, [RD] Redes y
[TF] Telefonía. Al observar se encuentra una concentración enfocada a el
grupo de activos correspondiente a Data center.
• Al dar doble clic, encontramos que el activo [SP3] Sub Proceso 3 se
encuentra con un valor de [8] en la dimensión Autenticidad de los
usuarios y de la información.
• Así mismo al dar doble clic, podremos encontrar que la amenaza más alta
asociada a este activo se encuentra definida como, Suplantación de
identidad de usuario.
154
Este resultado se puede observar por activos. Un informe más completo, será
entregado como soporte a la gerencia del TIC
Todo lo anterior hace referencia a las faces Fase Potencial la cual muestra el
estado de los activos sin tener en cuenta ningún tipo de salvaguarda. Esto con el
propósito de cómo será el comportamiento y el impacto de este activo en la
organización, si no se cuentan con los salvaguardas adecuados o si estos no se
aplican debidamente.
Este resultado se puede observar por activos. Un informe más completo por
activos, será entregado como soporte a la gerencia del TIC. Anexo C
155
[RI]Red
Interna
[8]
[3]
[4]
[6]
[3]
[0]
[Locación]Sitio
de
[9]
[4]
Cobertura
Pero si observamos con detenimiento, podemos ver que esta tabla nos muestra
los activos como tal. Y en que dimensión se encuentra la concentración más alta.
Así mismo que activo repercute en otro superior.
156
Así mismo si queremos profundizar y averiguar que amenaza se encuentra
asociada a dicho activo, realizaremos los pasos que se llevaron a cabo anteriores.
Ahora bien, para la estimación del impacto, es necesario analizar el valor de los
impactos potencial y acumulado en las fases del proyecto. Lo anterior con el
propósito de obtener un informe de impacto potencial y/o residual por activo.
Para ello nuevamente nos apoyaremos nuevamente con Pilar para sacar una
gráfica por área y de esta manera observar como es el comportamiento de la
mitigación del impacto al aplicar las salvaguardas adecuadas. Ver grafica
Comportamiento Impacto.
Con la gráfica esta gráfica, podemos observar de una manera más clara el
comportamiento del impacto.
157
Un ejemplo; el servicio [SI] S7N (Seven), nos muestra que el impacto se encuentra
con un valor de 10.
Por otra parte si seguimos verificando podemos observar que Seven podría
disminuir a un valor de 4 en la fase Pilar (color violeta), la cual es una fase
sugerida, más no obligatoria.
Ahora bien, teniendo en cuenta todos los pasos anteriores, hemos logrado obtener
los datos necesarios para poder interpretar y establecer relaciones entre los
activos y determinar cuáles necesitan ser atendidos con prioridad.
158
Teniendo en cuenta el término de dependencia, en el cual un activo depende de
otro superior, se presenta un riesgo repercutido. En este se toma en cuenta el
valor de un activo y la degradación causada por la amenaza y la frecuencia en la
que se pueda presentar.
159
Similar como se realizó en la estimación del impacto, para el riesgo, se analizarán los valores correspondientes riego
potencial y residual en cada fase del proyecto y de esta manera obtener un informe de riesgos potencial y/o residual en
cada activo.
Nuevamente apoyados en Pilar, obtenemos las siguientes tablas correspondientes a los riesgos acumulados y
repercutidos.
160
Ilustración 36 Riesgo Repercutido - Fuente Elaboración Propia
En la Ilustración 35 Riesgo Acumulado, se puede observar el riesgo acumulado por Dominios de activos y su valor
correspondiente en cada dimensión. La valoración en cada dimensión, corresponde al tomar el valor de degradación de
cada amenaza de un activo y sumarle los valores de degradación y amenaza de los activos que lo preceden.
Por otra parte, Ilustración 36 Riesgo Repercutido, podemos observar el riesgo repercutido por activos. Esta valoración
se muestra como cada activo repercute al activo superior. Ver Ilustración 37 Riesgo Degradación de Activos –
Informe Valores Repercutidos por Fase.
161
Ilustración 37 Riesgo Degradación de Activos – Informe Valores Repercutidos por Fase - Fuente Elaboración Propia
162
Ahora bien, para poder observar mejor el comportamiento del riesgo, nos
apoyaremos en Pilar y crearemos un informe grafico de tipo radial.
En esta grafica podemos observar las diferentes fases antes de implementar las
salvaguardas (fases Potencial y Current) y después de implementarlos (fase
Target y Pilar). Ver Gráfica – Comportamiento Riesgo.
Grafica –
Estas salvaguardas permitirán reducir el riesgo residual o lograr que este indicador
tenga un valor de cero.
163
Como se indicó anteriormente, el proceso de la estimación de riesgo, nos permite
obtener un informe en el cual se puede observar por activo y dominios de activos,
los riesgos repercutidos y acumulados que se presentan en las fases del proyecto.
164
Similar que las gráficas de riesgo anteriores, en esta tabla se puede observar
como disminuye el riesgo a medida que se implementan las salvaguardas.
Ahora bien, analizando un poco las tablas, Pilar nos muestra en la fase;
Existe una fase llamada Pilar. Esta fase es una fase sugerida por el aplicativo, en
al cual se tratan de llevar a su minina expresión los indicadores de riesgo. Esta
fase es sugerida mas no obligatoria.
165
La fase Target, nos permite estimar el comportamiento del sistema a un nivel
adecuadamente aceptable y en el cual ciertos riesgos que no se han logrado
eliminar, se encuentren bajo control.
Hasta este momento en los pasos anteriores hemos hablado de las salvaguardas,
14
pero no hemos tenido en cuenta la identificación de estas o su correspondiente
valoración, debido a que deseamos estimar saber cómo sería el impacto o riesgo
potencial si no se cuenta con acción alguna o si por el contrario se retira alguna
salvaguarda.
• Protección General.
• Protección de los servicios.
• Protección de la información.
• Protección de las aplicaciones informáticas (SW).
• Protección de los equipos Informáticos (HW).
• Protección de las comunicaciones.
• Protección de los soportes de información.
• Elementos Auxiliares.
14
Procesos
o
mecanismos
tecnológicos,
cuyo
propósito
es
contribuir
a
la
reducción
de
riesgos.
Son
todo
tipo
de
acciones
implementadas
para
prevenir
la
materialización
de
la
15
Este
tipo
de
salvaguardas
se
centran
en
identificar
el
ataque
y
limitar
la
degradación
del
activo.
16
Este
tipo
de
salvaguardas
se
enfocan
en
evitar
la
materialización
por
completo
de
la
amenaza,
lo
cual
reduce
su
frecuencia.
166
• Protección de las Instalaciones.
• Gestión del personal.
• Relaciones Externas.
Pilar tiene en cuentan todas las anteriores al aplicar las salvaguardas en todos los
activos.
Igual que en los puntos anteriores es necesaria la creación de unos catálogos que
nos ayudaran a clasificar ciertos aspectos correspondientes a las salvaguardas y
de esta manera realizar su valoración.
Aspectos de seguridad:
Estos aspectos ayudan a orientar hacia qué tipo de salva guarda será necesario
aplicar. Así mismo estos tienen que verse reflejados en las diferentes fases del
proyecto.
167
[M] Mixta.
[RF] Reducción de frecuencia (prevenir).
[RI] Reducción de impacto.
[D] Detección
Tabla 16 Estrategias para Reducir Riesgo - Fuente Elaboración Propia
Tipos de Protección
Debido al tipo de amenaza sobre el activo, es posible clasificar los siguientes tipos
de protección;
[AD] Administrativa.
[DT] Detección.
[PRI] Prevención.
[CR] Corrección.
[EL] Eliminación
[IM] De Minimización del impacto.
[DRI] Disuasión
[CRC] Recuperación
[MN] Monitorización
[AW] Concientización
Tabla 17 Tipo de protección - Fuente Elaboración Propia
Los anteriores deben formar parte de las salvaguardas aplicadas en las diferentes
fases del proyecto. La implementación y efectividad de la protección deberá
representarse en porcentaje teniendo en cuenta el tiempo estimado en cada fase.
Es importante tener claridad con respecto a cada uno de los niveles de madurez
para poder realizar la calificación correspondiente;
[L2] Reproducible pero intuitivo: Similar que el nivel anterior la buena suerte y la
buena voluntad son factor decisivos para que una salvaguardas sea eficaz y
efectiva. Así mismo aunque el éxito es más frecuente que en el L1, todavía se
sigue excediendo en cuanto a costes de inversión y tiempos de respuesta.
169
[L4] Gestionable y Medible: A diferencia de los niveles L1, L2 y L3 en los cuales
la confianza se mide de manera cualitativa, en este nivel la dirección de la
organización puede controlar de manera empírica el éxito de la salvaguarda.
Ahora bien, con lo anterior tenemos las herramientas necesarias para realizar la
calificación adecuada en qué tipo de salva guarda aplicar, el tipo de protección y el
nivel de madurez en el que se encuentra actualmente y en qué nivel se debería
encontrar en cada fase del proyecto.
Nuevamente PILAR nos ayudará con las actividades referentes al proceso de esta
información para obtener una calificación adecuada.
Para ello, adicional a los catálogos anteriormente descritos, PILAR utiliza unos
códigos y una clasificación en colores (semáforo) para evaluar y representar el
nivel de madurez en las salvaguardas aplicadas;
Ahora bien, como los pasos anteriores, PILAR, puede realizar una calificación y
valoración automática teniendo en cuenta todos los criterios de los catálogos de
las tablas anteriores.
171