anÁlisis de gestiÓn del riesgo de t.i. en recaudo bogota ...€¦ · 2016 . 3 nota de aceptación...
TRANSCRIPT
ANÁLISIS DE GESTIÓN DEL RIESGO DE T.I. EN RECAUDO BOGOTA SAS
José Leonardo Camacho Santafé
Andrés Felipe Ardila Roldan
Universidad Católica de Colombia
Facultad de Ingeniería
Programa de Ingeniería de Sistemas y Computación
Bogotá D.C. Colombia
2016
2
ANÁLISIS DE GESTIÓN DEL RIESGO DE T.I. EN RECAUDO BOGOTA SAS
José Leonardo Camacho Santafé
Andrés Felipe Ardila Roldan
Monografía presentada como requisito parcial para optar al título de:
Ingeniero de Sistemas
Director:
Coordinador Proyecto de Grado:
Ing. Carlos Andrés Lozano
Universidad Católica de Colombia
Facultad de Ingeniería
Programa de Ingeniería de Sistemas y Computación
Bogotá D.C., Colombia
2016
3
Nota de Aceptación
Aprobado por el comité de grado en cumplimiento de
los requisitos exigidos por la Facultad de Ingeniería y la
Universidad Católica de Colombia
Para optar título de ingeniero de Sistemas.
__________________________
Carlos Andrés Lozano
__________________________
Manuel Báez
Revisor Metodológico
Bogotá, 13, mayo, 2016
4
5
CONTENIDO
PÁG
1. GENERALIDADES 16 1.1 ANTECEDENTES 16
1.2. PLANTEAMIENTO DEL PROBLEMA 19
1.2.1. Descripción del Problema 20
1.2.2. Formulación del Problema 20
1.3. OBJETIVOS 20
1.3.1. Objetivo General 20
1.3.2. Objetivos Específicos 21
1.4. JUSTIFICACIÓN 21
1.5. METODOLOGÍA 22
1.5.1. Tipo de Estudio 22
1.5.2. Fuente de Información 23
1.6. DISEÑO METODOLÓGICO 23
1.7. CRONOGRAMA DE ACTIVIDADES 24
1.8. PRODUCTOS A ENTREGAR 24
1.9. INSTALACIONES Y EQUIPOS REQUERIDOS 25
1.10. ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN 26
6
2. ANÁLISIS DE MARCOS DE REFERENCIA DE GESTIÓN DEL RIESGO T.I. 27 2.1. MARCO 4A PARA LA GESTIÓN DE RIESGOS TI. 28
2.2 MARCO PARA LA GESTIÓN DE RIESGOS DE T.I (MAGERIT) 32
2.2.1. Pasos Propuestos por Magerit. 34
2.2.2. Análisis de Riesgos. 34
2.2.3. Gestión del Riesgo. 34
2.3. RISK T.I. MARCO PARA LA GESTIÓN DE RIESGOS DE T.I. 35
2.4. COMPARACIÓN DE CRITERIOS DE MARCOS DE REFERENCIA 37
2.4.1. Evaluación de los Marcos de Gestión de Riesgos de T.I. 40
3. PLAN DE CONTINUIDAD DEL NEGOCIO -BCP- 43 3.1. RIESGO DE TI EN RECAUDO BOGOTÁ SAS 43
3.2. RISK ASSESSMENT -RA- MEDIO DE PAGO 48
3.3. BCP MEDIO DE PAGO - RECAUDO BOGOTÁ SAS 49
3.3.1. LISTA DE DISTRIBUCIÓN 49
3.3.2. Propósito y Alcance 50
3.3.3. Manejo de incidentes, roles y responsabilidades 52
3.4. ANÁLISIS DE IMPACTO EN EL NEGOCIO -BIA- 59
3.4.1. Medio de Pago 59
4. MEJORA DE LA BASE TECNOLÓGICA -FIXINGFOUNDATION- 62 4.1. BASE TECNOLÓGICA ACTUAL PARA MEDIO DE PAGO 62
7
4.1.1. Sistemas de Información e Infraestructura para Medio de Pago 62
4.1.2. Definición General de Procesos para Medio de Pago 66
4.1.3. Control de Acceso a las Aplicaciones y Roles de Operación 68
4.1.4. Arquitectura Empresarial (Recaudo SA Bogotá) para Medio de Pago 70
4.1.5. Listado de Acciones de Mejora a Nivel de Arquitectura Tecnológica 71
4.1.6. Situación actual y estrategia a seguir “Fixing Foundation” 73
5. CONCLUSIONES 74 6. BIBLIOGRAFíA 76
8
LISTA DE FIGURAS
PÁG
Figura 1 Ciclo de gestión marco 4A 31
Figura 2 Ciclo de marco Magerit 35
Figura 3 Proceso de metodología Risk T.I. 36
Figura 4 Evaluación cuantitativa 38
Figura 5 Sede edificio el Camino 57
Figura 6 Sede edificio seguros Aurora 58
Figura 7 Sede edificio el Vigar 58
Figura 8 Comunicación Datacenter Servicios Centrales/Sótano 1 63
Figura 9 Conectividad Estaciones/Portales con Sistemas Centrales 63
Figura 10 Comunicación Sistemas de información medio de pago 66
Figura 11 Autenticación Federada sistemas de información medio de pago 69
Figura 12 Arquitectura empresarial Recaudo Bogotá S.A medio de pago 71
9
LISTA DE TABLAS
PÁG
Tabla 1. Tipos de Riesgos T.I. 20
Tabla 2. Cronograma 24
Tabla 3. Productos a Entregar 24
Tabla 4. Presupuesto 26
Tabla 5. Honorarios 26
Tabla 6 Criterios de evaluación de marcos de riesgos de T.I. 40
Tabla 7 Evaluación de marcos de riesgos de T.I. 41
Tabla 8 Evaluación de marcos de riesgos de T.I. 44
Tabla 9 Riesgos de acceso 45
Tabla 10 Riesgos de precisión 45
Tabla 11 Riesgos de agilidad 46
Tabla 12 Risk Assessment medio de pago 48
Tabla 13 Lista de distribución 49
Tabla 14 Dueño del documento y responsable de actualización 50
Tabla 15Lista de planes y documentos asociados 50
Tabla 16 Plan de activación de procedimiento 51
Tabla 17 Actividades críticas y recursos 52
Tabla 18Falla FCS-HSM-SCSM DataCenter 53
Tabla 19 Renuncia/ausencia de miembro del equipo 54
Tabla 20 Incumplimiento de proveedores clave 55
Tabla 21 Contactos Clave 56
Tabla 22 Log de registro de suceso 59
Tabla 23 Impacto en el negocio para Medio de pago. 59
Tabla 24 Tiempo de recuperación objetivo 60
Tabla 25 Tier Físico FareCollectionSystem 64
Tabla 26 Datacenters medio de pago 65
10
Tabla 27 SCSM (System Center Service Manager) 65
Tabla 28 Alojamiento de What’s Up Gold 66
Tabla 29 Roles de Operación Sistema FCS 69
Tabla 30 Acciones de Mejora Fixing Foundation 72
11
LISTA DE ABREVIATURAS Y DEFINICIONES
Abreviatura Término
BCA Barrera de control de acceso
BCP Business continuity plan
BIA Business impact analysis
DCA Dispositivos de carga asistida
ESB
Enterprise Service Bus
FCS FareCollectionSystem
HSM Hardware Security Module
HW Hardware
IaaS Infrastructure as a Service
LDAP Lightweight Directory Access Protocol
LG
Life’s Good
LTO
Linear Tape Open
NAS Network Attached Storage
NFC Near Field Communication
OSIS Proveedor logístico
PaaS Platform as a Service
RA Risk assessment
RB Recaudo Bogotá
SAN Storage Area Network
SC Sistemas Centrales
12
SCSM System Center Service Manager
SW Software
TISC Tarjeta inteligente sin contacto
TCA Terminal de carga asistida
TM Transmilenio
TSL Transport Security Layer
13
RESUMEN
Recaudo Bogotá S.A.S es la empresa ganadora del contrato para operar el Sistema de Recaudo, Control de Flota e Información al Usuario SIRCI en la capital por 17 años. El Sistema Integrado de Transporte Público de Bogotá -SITP- como proyecto que organizará todo el transporte público de la capital colombiana, se concibe en el año 2006, a través del Decreto 319, en el Plan Maestro de Movilidad. Durante cuatro administraciones de Bogotá se trabajó de forma articulada con todos los actores involucrados en el sector del transporte público de la capital y, con la asesoría de consultores y expertos locales e internacionales, se puso en marcha uno de los proyectos de transporte más ambiciosos en el mundo con miras a impactar el futuro de la ciudad, ofreciendo orden y calidad en el servicio a más de 6 millones de usuarios. Recaudo Bogotá S.A.S sustenta sus operaciones principales (recaudo, control de flota y medio de pago) sobre sistemas de información de misión crítica, por lo cual, nace la necesidad de ejecutar un análisis de gestión de los riesgos de TI, mediante la evaluación y selección de un marco de riesgos TI. El marco 4A fue seleccionado al ser calificado como el más óptimo, según un proceso de evaluación y comparación. Finalmente, se plantea una estrategia de gestión de riesgos de TI, con un plan de continuidad del negocio, y una propuesta de mejoramiento de la base tecnológica, fundamentada en marco de riesgos TI 4A. Palabras clave: Recaudo Bogotá S.A.S, medio de pago, gestión de los riesgos de TI, marco 4A, plan de continuidad del negocio, mejoramiento de la base tecnológica
14
ABSTRACT
Bogota S.A.S collection is the winning company the contract to operate the collection system, fleet control and user information SIRCI in the capital for 17 years. The Integrated Public Transport Bogotá -SITP- as project organized all public transport in the Colombian capital, system conceived in 2006, through Decree 319, the Mobility Master Plan. For four administrations of Bogota worked articulately with all stakeholders in the public transport sector of the capital and, with the advice of consultants and local and international experts, he launched one of the projects most ambitious transport the world in order to impact the future of the city, offering order and quality service to more than 6 million users. Recaudo Bogota SAS supports its main operations (collection and fleet control) on information systems mission critical, therefore, comes the need to implement a management analysis of IT risks by evaluating and selecting a framework IT risks. 4A frame was selected to be rated as the most optimal, according to evaluation and comparison process. Finally, a risk management strategy IT with business continuity planning, and a proposal for improvement of technological base, based on IT risk framework 4A. Keywords: Recaudo Bogota S.A.S, means of payment, risk management T.I. frame 4A, business continuity plan, fixing the foundation.
15
INTRODUCCIÓN
Recaudo Bogotá SAS (RBSAS) ganó la licitación adjudicada para el recaudo del Sistema Integrado de Transporte Público (SITP) de Bogotá.
El área de tecnología y operaciones es el pilar de toda la cadena de valor ofrecida por RBSAS, dado que soporta el Sistema Integrado de Recaudo, el Control de flota e Información al Usuario. En esta área trabajan alrededor de 200 personas e involucra múltiples sistemas de información y comunicaciones. En razón de la importancia de su operación para la movilidad en Bogotá se hace relevante analizar y plantear un plan de gestión de riesgo TI para que mitigue y minimice eficazmente una posible interrupción en el servicio. El plan de gestión de riesgos a construir permitirá determinar las medidas necesarias para minimizar los riesgos de TI, protegerse preventivamente ante un riesgo específico y determinar las actividades de recuperación necesarias ante la aparición de un riesgo probable de T.I. Bajo el marco 4A y sus parámetros definiremos los riesgos potenciales para el área de mayor riesgo tecnológico, con la cual se hará un estudio inicial de su estado actual, y bajo el marco 4A, se realizará una solución a la gestión de riesgos de T.I. con un plan de continuidad del negocio, y una propuesta de mejoramiento de base tecnológica. Recaudo Bogotá SAS, desde la dirección TI, no ha implementado ningún marco formal y oficial para el manejo de riesgos TI. Esto indica que el impacto de los riesgos sobre los servicios clave, la probabilidad de ocurrencia y el tiempo de recuperación crezcan sustancialmente. Recaudo Bogotá SAS puede efectuar múltiples acciones de mejora, que modernicen y simplifiquen su base tecnológica actual, focalizada hacia la entrega continua e ininterrumpida de su cadena de valor.
16
1. GENERALIDADES
1.1 ANTECEDENTES
Recaudo Bogotá (RBSAS) asume como operador tecnológico del Sistema Integrado de Recaudo Control de Flota e Información y Servicio al Usuario (SIRCI), es decir, la operación de los Servicios de Recaudo, el Control de Flota y la Información al Usuario del Sistema Integrado de Transporte Público (SITP) en Bogotá.
El SITP implementa el medio de pago por parte de los usuarios y este se almacena en Tarjetas Inteligentes Sin Contacto (TISC), que ofrecen una gran variedad de servicios. Actualmente ya se puede ingresar a cualquier estación de Transmilenio con esta tarjeta, puesto que antes solo estaba vinculada al servicio del SITP
RBSAS ha liderado con éxito nueve procesos de integración de tarjetas de sistema de transporte masivo en el mundo, cuatro de los cuales han sido entre tarjetas con tecnología MiFare (utilizada en las Fases I y II de Transmilenio) e infineon (tarjeta Tullave Fase III y buses SITP). También apoya el servicio de recaudo del sistema de Transmilenio S.A. el cual es un sistema de transporte masivo el cual utilizan diariamente aproximadamente 2 millones de usuarios. El sistema tiene 26 estaciones, 423 empleados y 3705 buses. Para los procesos administrativos y de operación de una empresa de este tamaño es indispensable el uso de tecnologías de la información y la comunicación (TIC), una falla en las TIC tendría un gran impacto el cual llevaría a colapsar el sistema, problemas de movilidad, sociales, además de pérdidas de índole económica y laboral.
El 15 de febrero de 2012 Transmilenio S.A. autorizó a Recaudo Bogotá S.A.S. la adquisición de la tarjeta inteligente ‘tullave’ con chip Infineon SLE66CL41P que se convertirá en el único medio de pago, con el que ya se están movilizando los usuarios del transporte público en la fase III de Transmilenio y el SITP.
En el año 2015 Recaudo Bogotá S.A.S. asumió por completo la gestión integral del sistema Transmilenio que corresponde al recaudo, control de flota y el servicio de información al usuario. A continuación se hará una breve descripción de cada uno de estos procesos.
El Recaudo es el servicio de recaudo operado por la tecnología de Recaudo Bogotá S.A.S. permite que los usuarios del transporte público en Bogotá tengan un medio de pago único, seguro, ágil y moderno. A través de tullave, es decir Tarjetas Inteligentes Sin Contacto (TISC) recargables, los ciudadanos cancelan el valor de sus pasajes (unidades de transporte) de manera transparente y efectiva accediendo a beneficios por transbordo, descuentos por perfiles especiales y la posibilidad de obtener un viaje a crédito en los más de 10 mil buses zonales del Sistema Integrado de Transporte Público (SITP).
17
Las tarjetas tullave tienen un chip INFINEON de la familia SLE66PE, lo que proporciona seguridad y respaldo a la ciudad, que cuenta con tecnología moderna y un medio de pago con los mejores estándares de seguridad: Satisface todas las especificaciones técnicas para las tarjetas del SITP incluidas en el contrato SIRCI. Nunca ha sido vulnerada en un ambiente real, cuenta con certificaciones de seguridad: Common Criteria Evaluation Assurance Level 5+, EMVCo:(Europay, Mastercard, Visa), aprobación Visa en agosto de 2012, garantiza además que puede integrarse con otros medios de pago, debido a que las tarjetas y lectores proporcionados por Recaudo Bogotá SAS cumplen con la norma ISO14443 enteramente, norma que rige todo el sistema Transmilenio, la tarjeta tullave, además, puede ser usada en nuevas aplicaciones que proporcionen beneficios a los ciudadanos cada día.
Tipos de tarjeta tullave funciona con las siguientes características:
Tarjeta básica o anónima.
No cuenta con los datos personales del usuario y no aplica el bloqueo de saldo por pérdida o robo, ni el viaje a crédito.
Tarjeta Plus.
Personalizada con el nombre y la identificación del usuario, con descuentos por transbordo, facilidad del viaje a crédito y la posibilidad de bloquear y recuperar el saldo en caso de pérdida o robo.
Actualmente la tarjeta tiene un costo de $3.000 y se expide con el nombre y número de identificación del portador. De acuerdo con algunas definiciones puntuales del Distrito, se han establecido otros tipos de tarjetas para población específica.
Plus Especial.
Está diseñada para los usuarios con beneficio de Adulto Mayor. La tarjeta viene personalizada con el nombre, identificación del usuario y foto. Esta tarjeta aplica para los descuentos por transbordo, viaje a crédito y descuentos adicionales.
Tarjeta Apoyo Ciudadano – SISBÉN.
De acuerdo al Decreto 603 de 2013 se define un nuevo incentivo para las personas afiliadas al SISBEN 1-2 (0 a 40 puntos) mayores de 16 años. Con
18
este beneficio podrán tener acceso a tarifas diferenciales (hora valle $720 y hora pico $1.020) en todo el Sistema Integrado de Transporte Público (SITP).
Si la persona cumple con los requisitos debe hacer la pre-inscripción en el siguiente enlace www.sisben.tullaveplus.com para obtener la tarjeta con el incentivo y definir el sitio de entrega de la misma.
Tarjeta para personas en condición de discapacidad.
Esta tarjeta cuenta con un beneficio especial para las personas en condición de discapacidad que se encuentran inscritas en la Secretaría de Movilidad o en la Secretaría de Salud. Los usuarios que aplican a este beneficio recibirán un subsidio mensual de $21.250 y no podrán figurar como propietarios de vehículos.
Al término de la implementación del sistema, los usuarios tendrán a su disposición una red de más de 4.351 puntos de recarga externa de la tarjeta tullave por toda la ciudad, y más de 40 puntos de personalización ubicados en sitios estratégicos y de fácil acceso para los usuarios.
Centro de Control de Recaudo Bogotá SAS.
Es el punto de contacto entre la operación de recaudo y personalización a nivel interno en estaciones y portales, así como en red externa. Es el encargado de consolidar información de alto impacto para la operación a través de interacción permanente con los responsables de cada proceso y es el canal autorizado para la gestión de novedades tanto a nivel interno (Mesa de Ayuda), como con el Ente Gestor (Centro de Control de Transmilenio S.A), de tal manera que se garantice la adecuada prestación del servicio.
Monitorea de manera permanente y a través del canal telefónico la apertura y cierre de taquillas de acuerdo con los horarios de operación definidos.
Apoyo al personal operativo en estaciones, portales y puntos de personalización para escalamiento de novedades y/o requerimientos en ingreso a dispositivos, utilización y bloqueo de tarjetas.
Gestión de novedades a mesa de servicio relacionadas con fallas en la infraestructura física y tecnológica.
Control de ingreso de personal autorizado en áreas de taquilla.
Verificación y aprobación de novedades presentadas en tarjetas personalizadas (bloqueos, traslados de saldo, cargue de subsidios y verificación de saldos).
19
Establece comunicación directa con el Centro de Control de Transmilenio para canalizar información que altere la normal prestación del servicio, bien sea por factores internos o externos.
Control de flota funciona mediante una plataforma tecnológica que permite programar, organizar y regular un flujo continuo y ordenado de los buses del servicio de transporte público, se realiza una operación moderna y precisa que posibilita saber con exactitud la ubicación y velocidad de los buses y programar un servicio eficiente y más digno para los ciudadanos. Información al usuario, ofrece a los ciudadanos una experiencia más satisfactoria en el uso del transporte público en la ciudad, Recaudo Bogotá S.A.S. brinda información en tiempo real sobre el funcionamiento del sistema, las rutas, horarios, tarifas, etc., Estaciones y taquillas, paraderos, portal web www.tullave.com y aplicaciones móviles con servicios personalizados para los usuarios, puntos de personalización, línea de atención gratuita 018000 115510.
Mesa de ayuda, el equipo técnico y operativo de Recaudo Bogotá S.A.S. presta soporte 24 horas a la operación del Sistema de Recaudo, Control de Flota y de Información al Usuario.
1.2. PLANTEAMIENTO DEL PROBLEMA La empresa Recaudo Bogotá (RBSAS), fundamenta gran cantidad de sus procesos operativos en el área de Tecnología y Operaciones. Estos procesos son:
Recaudo: Compra y recarga de tarjetas Tu Llave (Logística de entrada).
Control de Flota: Coordinación de rutas SITP, gestión de ciclo de parqueaderos del sistema, rutas alimentadoras, entre otras (Operación y Logística de salida).
Seguridad Informática: Aseguramiento de data interna y acceso.
Servicios al usuario: Bloqueos de tarjeta, traslados de saldo, mesa de ayuda, verificación y aprobación de novedades, cargue de subsidios, lector de tarjetas tullave, entre otras.
Cada una de los procesos anteriores son responsabilidad del área de Tecnología y Operaciones, por lo cual, actúa como columna vertebral de los principales servicios ofrecidos por RBSAS, en alianza con Transmilenio S.A.
20
1.2.1. Descripción del Problema Los riesgos de TI directamente asociados con la operación se describen en la Tabla 1. TABLA 1. TIPOS DE RIESGOS T.I.
Peligros causados por el
hombre (accidentales)
Peligros Naturales Peligros causados por el
hombre (indirectos)
Error de operador Tormenta Falla de energía
Error de programación de
software
Inundación Falla de telecomunicaciones
Explosión Rayos Daño por humo
Incendios Terremoto Falla de hardware
Fugas Tornado Colapso
Fuente: http://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtml
La estrategia de tratamiento de riesgos para el área de Tecnología y operaciones se constituye en el soporte y garante de una alta disponibilidad de la cadena de valor, que permita saber cuáles son las principales vulnerabilidades de sus activos de información y operación. En la medida que exista un plan de riesgos acertado y definido se podrá establecer medidas preventivas y correctivas viables, efectivas y tempranas, que se convierta en una herramienta de decisión para gestión en un entorno de recursos limitados.
1.2.2. Formulación del Problema
En fundamento a los principios anteriores se puede formular la siguiente pregunta de investigación: ¿Qué plan de tratamiento de riesgos IT deben ser implementados en el área de Tecnología y operaciones que aseguren la existencia y cumplimiento de la cadena de valor establecida por RBSAS?
1.3. OBJETIVOS
1.3.1. Objetivo General Diseñar una propuesta de gestión de riesgo T.I. en Recaudo Bogotá SAS para el área de Tecnología y Operaciones.
21
1.3.2. Objetivos Específicos
Analizar la situación actual de riesgo T.I. en el área de tecnología y operaciones de la empresa Recaudo Bogotá SAS bajo el marco 4A.
Definir medidas de protección del riesgo de T.I. en la empresa Recaudo Bogotá SAS bajo el marco 4A.
Definir medidas de mitigación del riesgo de T.I. en la empresa Recaudo Bogotá SAS bajo el marco 4A.
Definir actividades de recuperación del riesgo de T.I. en la empresa Recaudo Bogotá SAS bajo el marco 4A.
1.4. JUSTIFICACIÓN La actividad diaria de Recaudo Bogotá está soportada la mayor parte en tecnología, esto incluye tanto los procesos administrativos como los procesos misionales de la cadena de valor de la organización. Por esta razón una falla en las TIC conlleva un problema muy grande el cual debe estar soportado en riesgos potenciales y de igual manera como mitigarlos, para evitar que sucedan y en caso de que pasen poder minimizar su impacto al máximo. El servicio más conocido de RBSAS es el de tullave, es decir Tarjetas Inteligentes Sin Contacto (TISC) recargables, los ciudadanos cancelan el valor de sus pasajes (unidades de transporte) de manera transparente y efectiva accediendo a beneficios por transbordo, descuentos por perfiles especiales y la posibilidad de obtener un viaje a crédito en los más de 10 mil buses zonales del Sistema Integrado de Transporte Público (SITP). Los Problemas tecnológicos no han sido excepción en RBSAS; hace algunos años se presentaban a diario fallos en el sistema de control de flota, generando congestión, atraso de las rutas, lentitud al ingresar a los portales, entre otros. La magnitud de la empresa y la cantidad de usuarios que están ligados a los servicios prestados por RBSAS se debe tener un plan de control de fallas para que en el caso que se presente alguna falla tecnológica, haya un plan de contingencia para saber qué hacer y solucionarlos en el menor tiempo posible. Recaudo Bogotá SAS, desde la dirección TI, no ha implementado ningún marco formal y oficial para el manejo de riesgos TI. Esto indica que el impacto de los riesgos sobre los servicios clave, la probabilidad de ocurrencia y el tiempo de recuperación crezcan sustancialmente.
22
Por las razones anteriores se pretende generar una propuesta de análisis y gestión de riesgos en el área de Tecnología y Operaciones, bajo el marco de riesgo de TI 4A, de esta manera analizar su estado actual de gestión de riesgos de TI y a partir de esto plantear medidas de mitigación y minimización de riesgos.
1.5. METODOLOGÍA El estudio adopta una metodología descriptiva. Primero se inicia el diagnóstico bajo el marco 4A se identificarán los riesgos en las tecnologías de información, probabilidad de ocurrencia e impacto para el área de tecnología y operación. Posteriormente se propondrán medidas y procesos para prevenir y minimizar al máximo la ocurrencia de estos riesgos. La metodología de medición (cuantitativa) está definida por las siguientes reglas:
Escala numérica de 1 a 10 para riesgo (1 riesgo muy bajo, 10 riesgo muy alto).
Escala numérica de 1 a 10 para probabilidad de suceso (1 probabilidad muy baja, 10 probabilidad muy alta).
Escala numérica de 1 a 10 para Impacto (1 impacto muy bajo, 10 impacto muy alto).
Riesgo = Probabilidad de suceso x Impacto / 10.
Estos cálculos exigen el uso las algunas fórmulas sencillas estadísticas Para la metodología de trabajo, se debe, también, realizar una serie de consultas y averiguaciones bibliográficas y trabajo de campo por medio de las cuales se obtendrá la información requerida para un completo diagnóstico y la generación progresiva del documento que contendrá:
Medidas de protección.
Medidas de mitigación.
Actividades de recuperación.
1.5.1. Tipo de Estudio El tipo de estudio corresponde a un tipo descriptivo. Mediante el análisis del estado actual del área TI, su asociación con la cadena de valor y el marco referencial 4A
23
se intentan explicar fenómenos y componentes que pueden afectar la operación integral de RBSAS. El tipo descriptivo permitirá:
Establecer las características de los componentes en la cadena de valor que son directamente afectados por el área de TI.
Identificar la criticidad y probabilidad de sucesos indeseados o accidentes que involucren el área en mención.
Describir las causas y efectos que pueden presentarse ante riesgos de TI bajo un muestreo e información estadística preliminar.
Construcción del plan de continuidad del negocio bajo la luz del marco referencial 4A.
1.5.2. Fuente de Información Las fuentes de información son de vital importancia, puesto que resaltan la madurez del área TI bajo el marco referencial 4A y entregan la información suficiente para construir planes de mitigación y manejo de riesgos TI. Las fuentes de información fidedignas y necesarias para desarrollar una proposición y diagnóstico correctos son:
Muestreo mediante encuestas.
Datasheet de equipos y componentes de infraestructura.
Internos directamente ligados a una falla que comprometa la operación.
Arquitecturas de los sistemas de información internos.
Diseño de los sistemas de información internos para recuperar un fallo.
1.6. DISEÑO METODOLÓGICO Para satisfacer los objetivos de investigación se usan:
Encuestas operativas (herramienta).
Encuestas ejecutivas (herramienta).
24
Flujos de trabajo. Las encuestas descritas por el Marco 4A son la materia prima para el examen y definición estratégica. Las encuestas operativas y estratégicas brindan una visión general y particular del área de Tecnología y Operaciones.
1.7. CRONOGRAMA DE ACTIVIDADES La Tabla 2 describe el cronograma de actividades para el desarrollo del proyecto TABLA 2. CRONOGRAMA
# Actividades Fecha de inicio Duración
en días
Fecha de finalización
1 Formulación de anteproyecto. 3 de febrero de
2016
9 16 de febrero de 2016
2 Envío del anteproyecto. 16 de febrero de
2016
5 23 de febrero de 2016
3 Aprobación del anteproyecto 23 de febrero de
2016
10 11 de Marzo de 2016
4 Realizar comparación de marcos de
gestión de riesgos de T.I.
11 de Marzo de
2016
23 1 de Abril de 2016
5 Seleccionar marco para gestión de
riesgo T.I.
1 de Abril de 2016 8 8 de Abril de 2016
6 Análisis de la información obtenida de
las encestas
15 de Abril de 2016 8 22 de Abril de 2016
Fuente: El autor
1.8. PRODUCTOS A ENTREGAR
La Tabla 3. Describe Los entregables del proyecto y sus respectivas fechas
TABLA 3. PRODUCTOS A ENTREGAR
Nombre del producto Tipo Fecha de Entrega
25
Anteproyecto Documento
escrito
11 de Febrero de
2016
Proyecto final Documento
escrito
11 de Mayo de
2016
Plan de continuidad del negocio Documento
escrito
6 de Mayo de 2016
Business Impact Analysis Documento
escrito
7 de Mayo de 2016
Risk Assessment Documento
escrito
8 de Mayo de 2016
Análisis de riesgos IT en el área de
tecnología y operación
Documento
escrito
9 de Mayo de 2016
Mejoras potenciales para la infraestructura
IT
Documento
escrito
10 de Mayo de
2016
Poster Pieza gráfica 11 de Mayo de 2016
Fuente: El autor
1.9. INSTALACIONES Y EQUIPOS REQUERIDOS Para la realización de este proyecto se necesita:
2 equipos de cómputo portátiles.
Conexión a internet.
La Tabla 4. Describe el presupuesto para la ejecución del proyecto.
26
TABLA 4. PRESUPUESTO
Concepto Cantidad Valor Total
Transporte 60 pasajes $ 1.700 m/c $ 102.200 m/c
Papelería 300 unidades $ 200 m/c $ 60.000 m/c
Computador 2 unidades $ 1.400.000 m/c $ 2.800.000 m/c
Internet 3 meses $ 100.000 m/c $ 300.000 m/c
TOTAL $ 3.162.200 m/c
Fuente: El autor
El cobro por honorarios es:
TABLA 5. HONORARIOS
Concepto Cantidad Valor Total
Honorarios 180 horas $ 60.000 m/c $ 10.800.000 m/c
Fuente: El autor
1.10. ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN Dentro de las estrategias de comunicación y divulgación de la investigación realizada en el proyecto se encuentra la presentación de trabajos de grado que está prevista a ser organizada el día 1 de Junio de 2016. El programa de ingeniería de sistemas ofrecerá un espacio a los estudiantes que estén realizando trabajo de grado para que socialicen sus proyectos, siendo este un medio para comunicar esta investigación. Apoyándose en posters informativos y un (1) artículo científico y tecnológico sobre la temática tratada en este documento. También se le realizará la presentación de un documento final de esta investigación a los Jurados de Grado
27
2. ANÁLISIS DE MARCOS DE REFERENCIA DE GESTIÓN DEL RIESGO T.I.
Los marcos de referencia estudiados son muy parecidos, entré 4A, Magerit y Risk IT, pues todas tienen el mismo objetivo que es encaminar a la empresa al cumplimiento de sus objetivos mitigando el riesgo de manera eficiente, todas en términos generales incluyen los mismos pasos a seguir, desde la perspectiva de sus respectivos autores. Para el análisis y gestión de riesgos de T.I. hay que definir un conjunto de factores que logren definir y caracterizar claramente un marco.
28
2.1. MARCO 4A PARA LA GESTIÓN DE RIESGOS TI.1
El marco 4A fue desarrollado con la finalidad de reducir el riesgo de las T.I. enfocado en términos de negocio. El Marco 4A define el riesgo de T.I. como el potencial para un evento no planeado involucrando T.I. como tratamiento de cualquiera de los 4 objetivos interrelacionados de una empresa como lo son AVAILABILITY (disponibilidad), ACCESS (acceso), ACCURACY (precisión), y AGILITY (agilidad).
Disponibilidad: para mantener sistemas (y los procesos de negocio) en ejecución y sean recuperables.
Acceso: garantizar a las personas adecuadas el acceso a los datos y los sistemas cuando sea necesario.
Precisión: proporcionar información correcta a tiempo y completa.
Agilidad: ser capaz de cambiar con el costo y velocidad adecuada. Los ejecutivos de negocio necesitan encaminar la empresa por una dirección para poder gestionar los riesgos T.I. discutiendo una serie de preguntas con respecto al alto nivel en que se pueden presentar las 4A´s.Lo más importante es tomar puntos relevantes sobre la tolerancia de riesgos procesos y cada una de las 4A´s. El análisis de riesgos en términos del marco 4A permite dar forma a un perfil de riesgo apropiado para la empresa. Sin un mecanismo de este tipo, hay un alto peligro de un exceso de inversión en gerencia de riesgos, ya que es una inversión insuficiente. Este marco consta de 3 disciplinas fundamentales que son la Base, la cultura consciente del riesgo y el buen gobierno del riesgo. La Base una base tecnológica instalada de infraestructura y tecnologías de aplicación , el apoyo de personal y procedimientos , que se entiendan bien, este bien administrado, y no más complejo de lo que sea absolutamente necesario
Una amplia gama de informática, gestión de la información y las comunicaciones en toda la empresa están sujetas en actividades de infraestructura.
1 WESTERMAN G., HUNTER, R IT Risk: Turning Business Threats Into Competitive Advantage. 2007. [citado el
27 de febrero de 2016]
29
Las aplicaciones que apoyan las tareas y procesos de la empresa, como los sistemas de información financiera, los sistemas de la cadena de suministro, e incluso las hojas de cálculo y sistemas de apoyo de decisión utilizados por los planificadores
Las personas con las habilidades necesarias para gestionar la fundación, procesos y mecanismos de seguimiento, control y mantenimiento para mantener estos activos funcionando sin problemas y con seguridad.
Cuando los problemas y fracasos ocurren, es más rápido y fácilmente diagnosticar y reparar.
Menor complejidad hace que las causas de los problemas más evidentes, y el personal técnico son mucho más propensos a entender lo que ha salido mal y cómo solucionar el problema. Una Fundación débil Amplifica Todo Riesgo, una base débil, obviamente, genera riesgos relacionados con la disponibilidad y el acceso. Pero los riesgos a menudo van mucho más allá, afectando la compañía y sus clientes a través de amenazas a la precisión y agilidad
La fijación de la Fundación es un viaje, el primer y más básico paso para mejorar disciplina es examinar el fundamento e implementar controles básicos para asegurar que no hay gran debilidad de espera para convertirse en catástrofes e implementar procesos de recuperación en caso de fallo. El siguiente paso es reducir la complejidad en la infraestructura y las aplicaciones, en última instancia, la forma más rentable de reducir el riesgo en la organización a largo plazo.
Cultura consciente del riesgo, proporciona una vista de nivel empresarial de todos los riesgos, por lo que los ejecutivos pueden priorizar e invertir adecuadamente en la gestión de riesgos, mientras que permite a los administradores de nivel inferior gestionar de forma independiente la mayoría de los riesgos en sus áreas. Que todo el mundo tiene el conocimiento apropiado de los riesgos y de ser así se abren, las discusiones no amenazantes de riesgos son la norma. Amplia experiencia en aspectos particulares de los riesgos de TI, que se celebra y utilizado por los especialistas normalmente, conciencia generalizada en toda la empresa de la naturaleza y las consecuencias de las conductas de riesgo y cómo evitarlos Una cultura que fomenta explícitamente todo el mundo, en todos los niveles de la empresa, para discutir abiertamente los riesgos y tomar responsabilidad personal para su gestión sin una cultura que fomenta la discusión abierta de riesgo y una
30
responsabilidad compartida de su gestión, condiciones de riesgo están ocultos a la vista, o gerentes defenderse de los riesgos con todos los medios a su disposición. La tecnología sólo va tan lejos en la reducción del riesgo teniendo un buen conocimiento de los riesgos, no se trata de ser adverso al riesgo. Está sobre ser consciente de los riesgos y tomar decisiones inteligentes acerca de ellos. Empresas con una cultura consciente del riesgo asumen más riesgos, pero no son más riesgosos. Ellos son más inteligentes acerca de qué riesgos van a tomar y cómo van a manejar esos riesgos. Proceso de gobierno del Riesgo, provee una visión a nivel global, para que la alta gerencia priorice e invierta adecuadamente, y así gestionar la mayoría de los riesgos en cada área respectivamente. Definir y mantener las políticas y normas, identificar y priorizar los riesgos, gestionar los riesgos y monitorear las tendencias de riesgo a través del tiempo, garantizar el cumplimiento de las políticas y normas de riesgo. El proceso de gestión del riesgo es la fuerza que tira de otro modo visiones fragmentadas, localizadas de los riesgos de TI en un todo integral, lo que permite a la empresa a las prioridades establecidas con eficacia y actuar. Cuando una empresa de riesgos de TI disciplina gobierno es débil, la empresa tiene una vista irregular fragmentada de riesgo. No se entiende la magnitud de un riesgo determinado y su prioridad en comparación con otros riesgos. Si no se abordan los riesgos más importantes lleva primero a las exposiciones peligrosas. El gasto y los recursos dedicados a los riesgos no se conocen bien. Fragmentación oculta el nivel de gasto, así como el grado de riesgo. Cuando se fragmenta la supervisión del riesgo, el local se inunda difícil saber si los esfuerzos están produciendo los resultados deseados y dónde, cómo y por qué lo están logrando o no.
A partir de estas 3 disciplinas el marco 4A analiza el posible riesgo desde cada uno de estos frentes y se complementan una a la otra, lo que disminuiría considerablemente la probabilidad de problemas y generaría una resolución de fallas más ágil. Con una buena Base, la cultura consciente del riesgo y el buen gobierno del riesgo Propician visión global del riesgo en la organización, permitiendo comparar y clasificar los tipos de riesgos determinando prioridades concernientes y encamina la inversión hacia los riesgos de mayor prioridad.
31
Favorecen un ambiente de comunicación de riesgos constante y transparente entre toda la empresa u organización, asumiendo la toma de riesgos de T.I. de una manera administrada y responsable. El marco 4A es un proceso de gestión de riesgos de T.I. que propone una asimilación del riesgo para así hacer una evaluación continua y mejorar progresivamente, ya que forma unos subprocesos que se adecuan a la administración del riego de T.I. para afrontar las necesidades cambiantes del negocio. El punto de inicio de este ciclo es el análisis de riesgos de T.I. bajo las 4A´s, seguidamente se definirán los riesgos de acuerdo a unas características específicas del negocio, con lo cual se implementarían las 3 disciplinas para poder gestionar los riesgos de una manera organizacional, realimentando de información El proceso de análisis de las 4A´s. En la figura 1 se puede ver el funcionamiento del marco 4A
FIGURA 1 CICLO DE GESTIÓN MARCO 4A
32
Fuente:https://biblioteca.uniandes.com/visor_de_tesis_/web/?SessionID=L1Rlc2zXzIyMDAS5X3NZ3VuTZXN0cmTvOTk4Ln8kzg%3D%3D
2.2 MARCO PARA LA GESTIÓN DE RIESGOS DE T.I (MAGERIT)2
Esta metodología de análisis y gestión de riesgos de los Sistemas de Información fue desarrollada por el ministerio de administraciones públicas de Madrid. Está enfocada a la información mecanizada y a los sistemas informáticos que la tratan; dicha metodología nos permite saber cuánto de los activos de la empresa están en juego y cómo protegerlos. Magerit persigue los siguientes objetivos:
Directos:
Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos, ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la
2 (Trelles, CAPITULO 2 “CONCEPTUALIZACIÓN PARA EL ANÁLISIS DE RIESGOS”, 2008)[En
línea]<http://www.dspace.ups.edu.ec/bitstream/123456789/573/4/CAPITULO2.pdf>Citado el 27 de febrero del 2015
33
información y comunicaciones (TIC), ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos: Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos:
Modelo de valor es la caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos.
Mapa de riesgos es la relación de las amenazas a que están expuestos los activos.
Declaración de aplicabilidad para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido.
Evaluación de salvaguardas es la evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.
Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.
Estado de riesgo se caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas.
Informe de insuficiencias es ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. Cumplimiento de normativa a satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente.
Plan de seguridad es un conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos
Tiene 3 pilares fundamentales los cuales debe tener la empresa a emplear esta metodología:
Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de tratarlos a tiempo.
Ofrecer un método sistemático para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
34
2.2.1. Pasos Propuestos por Magerit.
Magerit propone dos pasos, análisis y gestión de los riesgos.
2.2.2. Análisis de Riesgos.
El marco Magerit define el análisis de riesgos como una técnica utilizada para determinar el riesgo. Lo cual permite determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué pérdidas (coste) supondría su degradación.
Para lo cual propone las siguientes acciones a realizar:
Determinar a qué amenazas están expuestos aquellos activos.
Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.
2.2.3. Gestión del Riesgo.
En esta tarea se resuelve que hacer con los riesgos e impactos determinados.
Interpretación de los valores de impacto y riesgo residual.
Selección de salvaguardas.
Análisis de pérdidas y ganancias.
Colaboración de la dirección de la empresa.
Revisión de los activos de la empresa.
35
En la Figura 2 se puede ver de una manera gráfica el funciona del marco Magerit.
Fuente:https://biblioteca.uniandes.com/visor_de_tesis_/web/?SessionID=L1Rlc2zXzIyMDAS5X3NZ3VuTZXN0cmTvOTk4Ln8kzg%3D%3D
2.3. RISK T.I. MARCO PARA LA GESTIÓN DE RIESGOS DE T.I.
Nace del IT “Governance Institute” I.T.G.I. entidad sin ánimo de lucro, desarrollo Risk I.T. es una guía para la gestión de riesgos de T.I. el cual el marco lo define como cualquier posible riesgo con el uso, propiedad, operación, involucramiento, influencia y adopción de T.I. dentro de una organización.3
Existen 3 categorías definidas por el marco RISK I.T. donde los clasifica de la siguiente manera: Riesgo en la Entrega de Servicios de T.I. directamente relacionado con el rendimiento y la disponibilidad de los servicios de T.I.
3 https://seguridadinformaticaufps.wikispaces.com/RISKT.I.
FIGURA 2 CICLO DE MARCO MAGERIT
36
Riesgo en la Entrega de Soluciones de T.I. asociado en el desarrollo de nuevas soluciones para el negocio, usualmente en la forma de proyectos y/o programas de acción. Riesgo en la Habitación de Beneficios de T.I. referenciado la posible pérdida de uso en la tecnología eficientemente y eficazmente en los procesos de negocio.
Base del Marco Risk T.I. son las herramientas necesarias para implantar el perfil de riesgo de la empresa. Para esto se utilizan 3 herramientas: Escenarios de riesgo, descripción del impacto del riesgo en el negocio, indicadores clave de riesgo.
Modelo del proceso de gestión de riesgos permite identificar las actividades requeridas para hacer una adecuada gestión del riesgo de T.I. tiene 3 dominios.
Gobierno de riesgos.
Visión común y estándar del riesgo, gestión de riesgos corporativos, decisiones de negocio consistentes del riesgo de T.I.
Evaluación de riesgos.
Recopilar información, analizar riesgo, perfil de riesgos.
Respuesta del riesgo
Articular el riesgo, manejar el riesgo, reaccionar ante Eventos. A continuación se describen en detalle los principios y cualidades del marco (Ver Figura 3.)
37
FIGURA 3 PROCESO DE METODOLOGÍA RISK T.I.
4 Fuente:https://biblioteca.uniandes.com/visor_de_tesis_/web/?SessionID=L1Rlc2zXzIyMDAS5X3NZ3VuTZXN0cmTvOTk4Ln8kzg%3D%3D
2.4. COMPARACIÓN DE CRITERIOS DE MARCOS DE REFERENCIA
Para evaluar qué marco de análisis y gestión de riesgos de T.I. entre 4A, Magerit y Risk IT. Se utilizará de guía una herramienta desarrollada por John Jairo Santa Delgado en su trabajo de grado “Análisis de Marcos de Gestión del Riesgo de TI” 5 . Se toman algunos criterios para adaptarla y poder seleccionar la mejor metodología en el análisis y gestión de riesgos de T.I. identificando el más adecuado para la empresa Recaudo Bogotá SAS. Una vez hecho esto la herramienta debe analizar dichas características bajo cada una de estas preguntas claves relacionadas con los marcos de referencia.
4 John Santa Delgado. análisis de marcos de gestión del riesgo de T.I. Los Marcos 4ª, RiskIt y la construcción de una herramienta de análisis. Bogotá, 2009, pág. 10.trabajo de grado ingeniero de sistemas y de computación. Universidad de los Andes. ingeniería de sistemas y computación.[en línea]<https://biblioteca.uniandes.edu.co/visor_de_tesis/web/?SessionID=L1Rlc2lzXzIyMDA5X3NlZ3VuZG9fc2VtZXN0cmUvOTk4LnBkZg%3D%3D> Citado el 10 de febrero de 2016 5 Ibíd.
38
¿Cuál es su propósito y Definición del Riesgo de T.I.? Analiza el enfoque del marco midiendo la calidad y el alcance, su definición, y sus instrumentos.
¿Cómo Funciona? Describe la calidad de las acciones propuestas para manejar el riesgo.
¿Cómo se Mide y gestiona a sí mismo? Destaca los instrumentos y herramientas propuestas por el marco para medir su eficiencia y eficacia.
¿Cómo se Adapta? Analiza la facilidad del marco para ser moldeado a la medida de la organización.
¿Cómo se Integra? Evalúa la calidad y complejidad de la interacción, junto con posibles apalancamientos en otras aéreas, herramientas y programas de la organización.
Para cada característica se definirán un conjunto de ítems relevantes a los cuales se les asignará un nivel de calidad cuantitativo, los niveles inician en 0 y terminan en 4, siendo 0 no existe, 1 bajo, 2 Medio-Bajo, 3 Medio-Alto y 4 Alto (Ver Figura 4.)
FIGURA 4 EVALUACIÓN CUANTITATIVA
Fuente: El autor
Una vez definida esta escala cuantitativa, se establecen los criterios a evaluar con cada marco para hacer una respectiva evaluación y determinar cuál es el más apto para utilizar en la gestión de riesgos de T.I., la evaluación final corresponderá al promedio de cada uno de los criterios definidos.
39
Los criterios y sus definiciones son los siguientes:
C1 Involucramiento del riesgo de T.I. en el Negocio: En qué nivel el riesgo de T.I. se integra en el negocio y reconociendo su impacto corporativo.
C2 Facilidad de integración de los riesgos de T.I. con la Gestión de Riesgos Corporativos: definir el riesgo de T.I. en la organización deben ser integrados fácilmente al proceso de gestión de riesgos corporativos.
C3 Énfasis en la Responsabilidad Global frente al Riesgo de T.I.: debe expresar la importancia de una responsabilidad global de toda la organización.
C4 Completitud: indica en qué medida la clasificación propuesta cubre el universo de riesgos de T.I
C5 Claridad del negocio: evalúa la claridad, de la clasificación propuesta por el marco.
C6 Interrelación entre las categorías de riesgo: analiza la interrelación existente entre los riesgos de cada categoría propuesta.
C7 Propuestas para definir el balance riesgo-valor: evalúa la calidad de la herramienta propuesta para definir el balance adecuado entre riesgo y valor.
C8 Herramientas de evaluación del valor asociado al riesgo: analiza la herramienta propuesta para cuantificar el valor asociado a un riesgo.
C9 Principios: corresponde a los preceptos base bajo los cuales se construye el marco.
C10 Visión del problema: analiza la perspectiva y carácter de la propuesta general del marco bajo análisis.
C11 Resultados esperados: examina la calidad, pertinencia y utilidad de los resultados esperados al aplicar el marco.
C12 Definición de la tolerancia al riesgo del negocio: analiza la forma en la cual el marco propone definir el nivel de tolerancia a los distintos riesgos de TI de la organización.
C13 Priorización de los riesgos: evalúa el proceso de identificación de los riesgos críticos de la organización.
40
C14 Fuentes de opiniones involucradas en las decisiones: indica la completitud de los stakeholders involucrados en el proceso de definición del perfil de riesgo.
C15 Resolución de conflictos: evalúa la propuesta para resolver contrastes de opinión dentro de los stakeholders involucrados en las decisiones.
La Tabla 6 contiene los criterios de evaluación de los marcos de gestión de riesgos TI y así elegir el mejor marco para realizar el debido análisis de gestión de riesgos de TI en el área de tecnología e información en Recaudo Bogotá. TABLA 6 CRITERIOS DE EVALUACIÓN DE MARCOS DE RIESGOS DE T.I.
Código Criterio
C1 Involucramiento del riesgo de T.I. en el Negocio
C2 Facilidad de integración de los riesgos de T.I. con la Gestión de Riesgos Corporativos
C3 Énfasis en la Responsabilidad Global frente al Riesgo de T.I.
C4 Completitud
C5 Claridad del negocio
C6 Interrelación entre las categorías de riesgo
C7 Propuestas para definir el balance riesgo-valor
C8 Herramientas de evaluación del valor asociado al riesgo
C9 Principios
C10 Visión del problema
C11 Resultados esperados
C12 Definición de la tolerancia al riesgo del negocio
C13 Priorización de los riesgos
C14 Fuentes de opinión involucradas en las decisiones
C15 Resolución de conflictos Fuente: Marco 4A
2.4.1. Evaluación de los Marcos de Gestión de Riesgos de T.I. Con base a la Tabla 5. Se evalúa el marco 4A, el marco Magerit y el marco RISK T.I. y se le asigna un puntaje a cada criterio para poder dar un puntaje global y de esta manera elegir un marco a desarrollar. Este puntaje es asignado con base a un análisis de cada marco y con referencia a los criterios de cómo evalúan cada ítem se les dio una calificación de 0 y terminan en 4, siendo 0 no existe, 1 bajo, 2 Medio-Bajo, 3 Medio-Alto y 4 Alto. (Ver Tabla 7.)
41
TABLA 7 EVALUACIÓN DE MARCOS DE RIESGOS DE T.I.
Código Marco 4A Marco RISK I.T.
Marco MAGERIT
Clasificación
ptos
Clasificación
Ptos. Clasificación
Ptos
C1 Alto 4 Alto 4 Medio-alto 3
C2 Medio-alto 3 Alto 4 Medio-alto 3
C3 Alto 4 Medio-Alto 3 Alto 4
C4 Alto 4 Medio-Bajo 2 Alto 4
C5 Alto 4 Medio-Bajo 2 Medio-Bajo 2
C6 Alto 4 Medio-Bajo 2 Medio-Bajo 2
C7 No-existente
0 Medio-Alto 3 No-existente
0
C8 No-existente
0 Alto 4 No-existente
0
C9 Medio-Bajo 2 Alto 4 Medio-Bajo 2
C10 Alto 4 Medio-Bajo 2 Alto 4
C11 Alto 4 Medio-Bajo 2 Medio-alto 3
C12 Alto 4 Alto 4 Alto 4
C13 Alto 4 Bajo 1 Medio-alto 3
C14 Alto 4 Alto 4 Medio-alto 3
C15 Medio-Alto 3 No-Existente
0 Medio-Alto 3
TOTAL PROMEDIO
3,2 2,7333333
2,66666667
Fuente: El autor
42
Con base en el resultado del análisis anterior el marco óptimo para realizar el estudio de gestión de riesgos de T.I. es el marco 4A, un factor importante es la forma en la que se presentan los resultados, su puntaje obtenido es del 3.2 total promedio sobre los otros marcos y se puede detectar algunas fortalezas del marco 4A.
Buena adaptación a distintas situaciones y organizaciones.
excelente definición del riesgo de T.I.
Propuesta de mejoramiento de base tecnológica.
Fortalece la buena definición de riesgo de T.I. A partir de su 4 pilares Disponibilidad, Acceso, Agilidad, Precisión se puede armar una matriz en la que se visualizan fácilmente los riesgos con sus respectivas ponderaciones de ocurrencia lo cual ayudará al momento de combatirlos, pues se conoce la prioridad de cada uno de ellos, y así diseñar las políticas de seguridad para la disminución de impacto por riesgos.
43
2. PLAN DE CONTINUIDAD DEL NEGOCIO -BCP-
Una vez seleccionado el marco de referencia 4A para la gestión de riesgos se comenzó con la aplicación del mismo. El primer paso fue la aplicación de las encuestas (ejecutiva, operativa) del marco 4A. A través de estas, se pudo detectar los riesgos potenciales en las áreas de tecnología; dichos riesgos serán evaluados bajo los criterios de Disponibilidad, Acceso, Precisión y agilidad.6
3.1. RIESGO DE TI EN RECAUDO BOGOTÁ SAS
Hablando de Disponibilidad las preguntas formulada en el marco son: ¿Cuál de nuestros procesos principales son más dependientes de la T.I., y qué consecuencias son probables si los sistemas de apoyo no están disponibles? Dada la evaluación, ¿qué procesos y sistemas tienen la más alta prioridad de negocio para la recuperación en caso de fallo? Descripción de riesgos de disponibilidad: D1: Tiempo de Inactividad de los sistemas, es el riesgo a que los sistemas estén inactivos por un periodo prudencial mediante una falla. D2: Probabilidad de interrupción de los sistemas, riesgo de probabilidad a que haya una interrupción en un sistema bien sea por cuestiones eléctricas, personales, etc. D3: Medios eficaces de reducir el potencial de pérdida de disponibilidad de estos sistemas, Riesgo de tener las medidas para que no se presenten los dos primeros riesgos D1 y D2. D4: Signos de alerta, riesgo de falta de signos de alerta en medida que aparezca alguno de los riesgos anteriores. (D1, D2y D3). Tomando como base los riesgos anteriormente definidos y contrastando los mismos contra los resultados de las encuestas realizadas, se determinaron los tiempos de ocurrencia de cada uno de los riesgos para el área seleccionada (Ver Tabla 8.).
6 ANEXOS ENCUESTAS
44
TABLA 8 EVALUACIÓN DE MARCOS DE RIESGOS DE T.I.
Nro. Evaluación de Riesgos
Nunca Rara vez
A veces Frecuentemente Siempre
D1 Tiempo de Inactividad de los sistemas
x
D2 Probabilidad de interrupción de los sistemas
x
D3 Medios eficaces de reducir el potencial de pérdida de disponibilidad de estos sistemas.
x
D4 Signos de alerta
x
Fuente: Marco 4A
En Acceso las preguntas se centran en el valor de la información y las consecuencias por su mal uso. ¿Qué categorías de información son más críticas para el éxito o fracaso de la organización? ¿Qué consecuencias son probables si la información en una categoría dada es liberada inadvertidamente, se pierde o es comprometida? Descripción de riesgos de acceso: AC1: Integridad de la información, es el riesgo a que los sistemas mantengan la integridad de la información. AC2: Acceso a la información sensible interna, riesgo de acceso a la información sensible, lo que solo las personas con los debidos permisos deben ver. AC3: Acceso a la información de socios externos y/o proveedores, riesgo de mantener la información relevante para cada proveedor y/o socios externos, una vez se cierren negociaciones se archiva y se evita el dominio público. AC4: eliminar el acceso inmediato cuando termina la relación, riesgo unido al anterior AC3, una vez se terminan la relación. Estos riesgos fueron detectados en las encuestas realizadas. En la Tabla 9. Se especifica su tiempo de ocurrencia.
45
TABLA 9 RIESGOS DE ACCESO
Nro. Evaluación de Riesgos
Nunca Rara vez
A veces Frecuentemente Siempre
AC1 Integridad de la información
x
AC2 Acceso a la información sensible interna
X
AC3 Acceso a la información de socios externos y proveedores
x
AC4 eliminar el acceso inmediato cuando termina la relación
x
Fuente: Marco 4A
En precisión se centran en el impacto de la información incompleta e inexacta sobre las estrategias y las decisiones. Para el proceso o las categorías de información, ¿Son los datos suficientemente precisos y oportunos para satisfacer los requerimientos internos y externos? Descripción de riesgos de precisión: P1: Integridad de la información, riesgo en que la información se mantenga libre de modificaciones no autorizadas. P2: Inconsistencia de la información, riesgo a que la información recolectada, no se confiable por falta de metodologías de archivo de datos. Estos riesgos fueron detectados en las encuestas realizadas. La Tabla 10. Especifica su tiempo de ocurrencia. TABLA 10 RIESGOS DE PRECISIÓN
Nro. Evaluación de Riesgos
Nunca Rara vez
A veces
Frecuentemente Siempre
P1 integridad de la información
x
P2 Inconsistencia de la información
x
Fuente: Marco 4A
46
La Agilidad se evalúa ¿con qué frecuencia los proyectos empresariales con participación de T.I. vienen a tiempo y dentro del presupuesto? Descripción de riesgos de agilidad: AG1: Mala Velocidad de respuesta en cada unidad de negocio, riesgo en la comunicación entre unidades de negocio AG2: No se lleva un historial de entrega (Seguimiento entregables), riesgo en la falta de seguimiento por parte de superiores a la hora de hacer entregas. AG3: Malos requerimientos de negocio, riesgo en el levantamiento de requerimientos funcionales y no funcionales. AG4: Falta de metodologías eficientes, riesgo en falta de buenas prácticas para mejorar el riesgo anterior AG3. Estos riesgos fueron detectados en las encuestas realizadas. La Tabla 11. especifica su tiempo de ocurrencia TABLA 11 RIESGOS DE AGILIDAD
Nro. Evaluación de Riesgos
Nunca Rara vez
A veces
Frecuentemente Siempre
AG1 Mala Velocidad de respuesta en cada unidad de negocio
x
AG 2
No se lleva un historial de entrega(Seguimiento entregables)
x
AG 3
Malos requerimientos de negocio
x
AG 4
Falta de metodologías eficientes
x
Fuente: Marco 4A
Una vez definidos los posibles riesgos, y el área a la cual se vería más afectada, se procede a realizar un plan de mejoramiento para tener una fundación bien estructurada. Se define una Fundación bien estructurada (Wellstructurefoundation of IT Assets) como las herramientas y tecnologías instaladas que son bien entendidas, bien administradas y con un nivel de complejidad reducido al máximo necesario; para lo cual se necesitan mejorar las siguientes características:
47
Corregir fallas y vulnerabilidades de la estructura.
Simplificar sistemas siempre que sea posible.
Infraestructura estandarizada.
Integraciones de aplicaciones simple y exclusivamente necesaria.
Acceso a data controlado.
Actualización de seguridad de sistemas. El Procedimiento de solución se detalla a continuación:
Detectar riesgos y forma de solucionarlos para que el negocio continúe activo a pesar de un incidente mayor.
Auditoría frecuente y preguntas recurrentes al equipo IT para descubrir prontamente nuevos riesgos.
Monitorear constantemente los riesgos.
Una vez definida la fundación, se procede a construir un BCP (Continue Business Plan).
7Comprender los recursos de tecnología y los riesgos de disponibilidad.
Construir BIA (Impacto en el negocio Analysis, senior management discusión).
Construir clasificación de servicio.
Crear un plan que defina plan de manejo de incidentes, plan de manejo de procesos, plan de manejo de equipo.
Implementar y probar el plan.
7 (img39, itrisk1)
48
3.2. RISK ASSESSMENT -RA- MEDIO DE PAGO El RA de medio de pago, como servicio clave, pretende identificar las amenazas situacionales, evaluar/analizar los riesgos asociados a la amenaza y determinar las maneras apropiadas de tratarla o eliminarla. La Tabla 12. Muestra una secuencia de pasos en caso de ocurrencia de algún riesgo. TABLA 12 RISK ASSESSMENT MEDIO DE PAGO
Riesgo
¿Qué funcionalidade
s claves se impactarían?
Lista de procedimientos, políticas o documentos
que disminuyen la probabilidad
Lista de elementos adicionales
que disminuyen
la probabilidad
Puntaje del Riesgo(A,B,C,
D. Probabilidad e
impacto)
Acción(Tratar el riesgo, tolerar el riesgo,
transferir el riesgo)
Renuncia/Ausencia de miembros del equipo Medio de Pago
Manuales de procedimientos GT-# Políticas de Backup del sistema GT-M07 Políticas de monitoreo del sistema GT-P13
Capacitaciones de servicio para nuevos integrantes C
Tratar el riesgo
Pérdida del Sistema Medio de Pago
Manuales de procedimientos GT-# Políticas de Backup del sistema GM-P01 Políticas de monitoreo del sistema GT-P13
Auditoría continua de estrategias de Alta disponibilidad y Recuperación de desastre B
Tratar el riesgo
Incumplimiento de proveedores clave Medio de Pago No hay
Proveedor alternativo que conozca la especificación de la TISC TuLlave B
Tratar el riesgo
Fuente: El autor
49
3.3. BCP MEDIO DE PAGO - RECAUDO BOGOTÁ SAS El plan de continuidad de negocio para medio de pago pretende:
Identificar y ordenar los riesgos para el servicio clave medio de pago.
Analizar el impacto de los riesgos sobre el servicio clave medio de pago.
Definir un plan de respuesta y recuperación.
Establecer criterios de activación del plan y registro del mismo.
3.3.1. LISTA DE DISTRIBUCIÓN Se puede evidenciar los cargos y su ubicación con respecto al procedimiento de medio de pago (Ver Tabla 13). TABLA 13 LISTA DE DISTRIBUCIÓN
No. de copia Cargo Ubicación
001 Vicepresidente de Tecnología y Operación
Calle 73 No.7 – 31 Bloque B Piso 4° Oficina Vicepresidente de tecnología y Operación
002 Coordinador de Recaudo Calle 73 No.7 – 31 Bloque B Piso 4° Oficina de coordinador de Recaudo
Fuente: El autor
El documento del procedimiento de medio de pago consta de unos realizadores los cuales deben mantenerlo actualizado y en constante retroalimentación para así permitir al proceso y a todos los involucrados estar enterados de cualquier cambio (Ver Tabla 14.)
50
TABLA 14 DUEÑO DEL DOCUMENTO Y RESPONSABLE DE ACTUALIZACIÓN
Dueño del documento: Diego Corredor
Responsable de mantenimiento:
Diego Bravo
Fuente: El autor
El negocio clave de medio de pago requiere procedimientos que lo complementen y le den planes para realizar subtareas, como respaldos de sus bases de datos y desarrollo de software complementarios. Ver tabla de planes y documentos asociados (Ver Tabla 15.) TABLA 15 LISTA DE PLANES Y DOCUMENTOS ASOCIADOS
Título de documento
Manual respaldos de la información
Procedimiento de desarrollo de software
Fuente: El autor
3.3.2. Propósito y Alcance Determinar el curso de acción, protocolo de activación y expectativas de recuperación ante un incidente de interrupción al servicio de Flujo de Pago El alcance se refiere al flujo de trabajo de Medio de pago especificado en el documento Procedimiento de gestión del medio de pago. El siguiente plan está enfocado en el procedimiento de medio de pago y por consiguiente plantea situaciones en las cuales se podría aplicar y por quién, cómo se evidencia en la Tabla 16.
51
TABLA 16 PLAN DE ACTIVACIÓN DE PROCEDIMIENTO
Este plan puede ser activado por: Coordinador de Recaudo
Este plan puede ser disparado por los siguientes eventos:
Caída del servidor HSM (Servidor que almacena las llaves privadas de cada TIC inicializada)
Caída del Sistema inteligente de administración de tarjetas (SCMS)
Caída del FareCollectionSystem (Sistema de Recaudo)
Retraso en la importación (LG) de las tarjetas TICS (Tarjeta inteligente sin contacto).
Error humano del analista del TISC para el conteo de existencia mínima en la bodega del proveedor logístico (OSIS)
La ubicación primaria para que sea administrada es:
Calle 73 No.7 – 31 Bloque B Piso 4°
La ubicación alternativa para que sea administrada es:
Calle 73 No.7 – 31 Bloque B Piso 4°
Las siguientes personas han sido entrenadas como Incident Manager:
Diego Corredor Diego Barrera
Fuente: El autor
Se enumeran las actividades de mayor prioridad y muestra un tiempo estimado de posible falla del sistema, y su tiempo de recuperación (Ver Tabla 17.).
52
TABLA 17 ACTIVIDADES CRÍTICAS Y RECURSOS
Prioridad Función Clave Tiempo de recuperación objetivo
¿Qué recursos o acciones son necesarias para cumplir con el RTO (Tiempo de recuperación objetivo)?
1 Restablecimiento del Servidor HSM
2 horas -Procedimiento GT-P13 -Activar servidor de respaldo -Redirección de tráfico desde Firewall Perimetral FortiGuard
2 Restablecimiento del Servidor SCSM
2 horas -Procedimiento GT-P13 -Activar servidor de respaldo -Redirección de tráfico desde Firewall Perimetral FortiGuard
3 Restablecimiento del Servidor FareCollection
2 horas Procedimiento GT-M07/GT-F23 -Activar datacenter de respaldo -Redirección de tráfico desde Firewall Perimetral FortiGuard
Fuente: El autor
3.3.3. Manejo de incidentes, roles y responsabilidades
Con base al riesgo se establecen los roles y responsabilidades y el que hacer en caso de que se presenten. La Tabla 18 describe el plan de acción para restablecer el sistema, en caso de fallo del FCS-HSM-SCSM
53
TABLA 18FALLA FCS-HSM-SCSM DATACENTER
Riesgo Falla FCS-HSM-SCSM
No Descripción actividad
Situación Observaciones Rol/cargo Área
1 Situación de emergencia
La plataforma envía mensaje de anormalidad
Se envían mensajes de anormalidad en los módulos core del FCS primario
Sistemas Centrales (RB)
Tecnología
2 situación de emergencia
Se confirma la falla y se notifica al proveedor de servicios que posee el problema (SLA Start)
Se confirma la anormalidad, empiezan los SLA, verificando hardware, software, network, aplicación y base de datos.
Infra (LG) LG/Tecnología
3 Verificación del sistema
Evaluar el funcionamiento de la plataforma
Revisar el nivel del funcionamiento software, hardware, Network, Aplicación y Bases de Datos
Infra (LG)/Sistemas Centrales (RB)
LG/Tecnología
4 Verificación del sistema
Verificar el estado actual del backup y data actual
Revisar los históricos de backup sobre el entorno de producción (BD FCS) Sincronización de la Data XIV y LTO
Infra (LG)/Sistemas Centrales (RB)
LG/Tecnología
7 Verificación del sistema
Realizar el paso a paso de recuperación de desastres
Realizar un plan de respuesta para recuperar el datacenter primario junto al proveedor
Infra (LG)/Sistemas Centrales (RB)
LG/Tecnología
8 Activar contingencia FCS
Procedimiento activación de contingencia
Se activa el proceso de contingencia ubicación alterna en Transmilenio Sótano 1
Jefe Sistemas Centrales (RB)
Tecnología
9 Preparando la recuperación del sistema
Preparar la operación de recuperación de sistemas (HW, SW, NW, aplicación)
Se entra a trabajar en los sistemas de respaldo en el centro de datos de contingencia, se actualizan sistemas, se afinan parámetros y se carga la data, se desactiva la comunicación entre Primario y Secundario.
Infra (LG)/Sistemas Centrales (RB)
LG/Tecnología
10 Preparando la recuperación del sistema
Activar la línea de comunicación entre TM Réplica y los sistemas cores FCS y anillo de Fase III
Se prenden sistemas en conjunto y se hacen pruebas de funcionalidad y operatividad
Infra (LG)/Sistemas Centrales (RB)
LG/Tecnología
11 Preparando la recuperación del sistema
Verificar el estado de funcionalidad de HW, SW y aplicaciones
Se da el visto bueno del área técnica de empezar a operar a nivel de infraestructura
Infra (LG)/Sistemas Centrales (RB)
LG/Tecnología
Fuente: El autor
Plan de acción para restablecer el sistema, en caso de fallo por renuncia o ausencia de algún miembro de trabajo (Ver Tabla 19.)
54
TABLA 19 RENUNCIA/AUSENCIA DE MIEMBRO DEL EQUIPO
Riesgo Renuncia/Ausencia de miembros del equipo
Acción Tiempo para completar
Recabar información de la persona, tomar decisiones con respecto quién lo reemplazará en su cargo mientras se contrata alguien nuevo y actuar.
1 hora
Decidir qué lugar responderá con ayuda de la persona principalmente a su jefe de área y grupo de trabajo más cercano y a su vez el departamento de gestión humana.
1 hora
Llamar a los miembros del equipo de incidentes seleccionado y ver si se tenía contemplada la renuncia o ausencia y si se tienen candidatos potenciales para sustituir el cargo.
1 hora
Proveer directrices y órdenes al partner temporal de su área de trabajo.
1 hora
Identificar daños o interrupciones en los servicios clave mientras se socializa el cambio al partner de área.
3 horas
Contactar a los stakeholders de cada área, si resulta necesario
1 hora
Proveer información a equipo Decidir el curso de acciones y prioridades (Especificado por Actividades críticas y sus recursos)
1 hora
Proveer información pública para mantener la reputación del negocio
6 horas
Recoger log de acciones a ser tomadas, escribir reporte de interrupción y revisar BCP
2 horas
Fuente: El autor
Plan de acción para restablecer el sistema, en caso de fallo por incumplimiento por los proveedores (Ver Tabla 20.)
55
TABLA 20 INCUMPLIMIENTO DE PROVEEDORES CLAVE
Riesgo Incumplimiento de proveedores clave
Acción Tiempo para completar
Recabar información de los proveedores, tomar decisiones con respecto qué tiempo estará incumpliendo, y actuar a solucionar inconvenientes.
1 hora
Decidir cómo responderá el proveedor con ayuda de la persona a cargo del convenio y su mantenimiento y así determinar el origen de la falla, y cláusulas de incumplimiento
1 hora
Identificar daños o interrupciones en los servicios clave del proveedor mientras se socializa el cambio al área.
3 horas
Contactar a los stakeholders de cada área, si resulta necesario
1 hora
Proveer información al equipo de mantenimiento y decidir el curso de acciones y prioridades (Especificado por Actividades críticas y sus recursos)
1 hora
Recoger log de acciones a ser tomadas, escribir reporte de interrupción y revisar BCP
2 horas
Fuente: El autor
56
3.3.4 Contactos clave La Tabla 21 especifica las personas claves para el BCP de medio de pago
TABLA 21 CONTACTOS CLAVE
Nombres y Apellido Cargo Teléfono de contacto
David Bravo Analista de procesos y Documentación Técnica PMO
Diego Corredor Gerente de planeación estratégica y control
Fuente: El autor
Declaraciones en espera (Holding Statements)
Cuando se presenta una crisis de algún fallo importante, la organización entra en un estado de “Declaraciones en espera” la cual mantiene a los medios sin información mientras se realizan las respectivas tareas internas para encontrar el incidente y sus causas. No obstante, se presenta un bosquejo de declaración oficial que Recaudo Bogotá S.A. puede presentar al público para mantener el buen estado de su imagen corporativa
“Recaudo Bogotá SAS confirma que se ha presentado una falla de tipo [naturaleza de la falla].
Acorde a la información recibida a este momento, ha ocurrido [evento] en [ubicación del evento].
Recaudo Bogotá SAS ha tomado medidas para proteger [clientes, empleados]. El BCP Flujo de pago ha sido activado.
Recaudo Bogotá SAS está coordinando las actividades necesarias para el restablecimiento de [servicio, proceso, procedimiento].
Recaudo Bogotá SAS estará entregando de manera oficial información del progreso de restauración de [servicio, proceso, procedimiento] acorde al BCP continuamente.
57
Mapa del lugar
Se debe tener presente la planta física (Ver Figura 5, 6 y 7) para la activación del BCP. El personal encargado y recurso humano que participe activamente debe conocer los mapas de las sedes involucradas.
FIGURA 5 SEDE EDIFICIO EL CAMINO
8
Fuente: Intranet RBSAS
8 https://drive.google.com/drive/u/1/folders/0B_juMl9f_ztiUUdsOEZHdVRTUTg
58
FIGURA 6 SEDE EDIFICIO SEGUROS AURORA
9
Fuente: Intranet RBSAS
FIGURA 7 SEDE EDIFICIO EL VIGAR
10
9 https://drive.google.com/drive/u/1/folders/0B_juMl9f_ztiUUdsOEZHdVRTUTg
10 https://drive.google.com/drive/u/1/folders/0B_juMl9f_ztiUUdsOEZHdVRTUTg
59
Fuente: Intranet RBSAS
Log de registro de suceso (Blank log sheet)
En caso de error, en el procedimiento de medio de pago para llevar un control de ocurrencia y así prever y tener un plan de contingencia basado en posibles fallas recurrentes (Ver Tabla 22. Log de registro de suceso) TABLA 22 LOG DE REGISTRO DE SUCESO
No. de Evento
Descripción de Evento
Servicio Clave impactado
Fecha de apertura
Fecha objetivo de resolución
Fecha real de resolución
Responsable
Fuente: Intranet RBSAS
3.4. ANÁLISIS DE IMPACTO EN EL NEGOCIO -BIA- El BIA (Business ImpactAnalisys) como parte del Plan de Continuidad del Negocio de las Tecnologías de la Información, teniendo en cuenta los procedimientos que permiten dar apoyo en la recuperación y restablecimiento de los servicios y operaciones regulares que han quedado interrumpidas por distintas razones y que requieren retornar a su situación normal de funcionamiento en el menor tiempo posible.
3.4.1. Medio de Pago Una vez identificados los posibles riesgos y procedimientos se analiza el impacto de los riesgos sobre el servicio clave medio de pago. (Ver Tabla 23.) TABLA 23 IMPACTO EN EL NEGOCIO PARA MEDIO DE PAGO.
Servicio clave: Medio de pago
Tiempo
Descripción de impacto (menor, moderado, significativo) Descripción de suceso Impacto en el negocio
Primeras 24 horas Significativo
Caída del servidor HSM (Servidor que almacena las llaves privadas de cada TIC
No pueden inicializarse tarjetas nuevas.
60
inicializada)
Primeras 24 horas significativo
Caída del Sistema inteligente de administración de tarjetas (SCMS)
Los usuarios no pueden realizar ningún tipo de transacción mediante la plataforma de atención al ciudadano. No pueden registrarse ni validarse tarjetas TICS.
Primeras 24 horas significativo Caída del FareCollectionSystem (Sistema de Recaudo)
Los usuarios no pueden acceder a las estaciones, portales o buses SITP
Hasta 1 semana moderado
Retraso en la importación (LG) de las tarjetas TICS (Tarjeta inteligente sin contacto).
Los OSIS pueden quedarse sin tarjetas para distribución y los nuevos usuarios en estaciones y portales no podrían comprar nuevas tarjetas.
Hasta 2 semanas moderado
Error humano del analista del TISC para el conteo de existencia mínima en la bodega del proveedor logístico (OSIS)
Los OSIS no pueden distribuir nuevas tarjetas en los puntos asignados (cobertura) por inexistencia de inventario
Fuente: El autor
Descripción del tiempo de recuperación para el procesamiento de medio de pago (Ver Tabla 24.) TABLA 24 TIEMPO DE RECUPERACIÓN OBJETIVO
Tiempo de recuperación objetivo 24 horas
Tiempo Recursos Humanos Premisas
Primeras 24 horas
-Se cuenta con la vigencia contractual de los proveedores de Infraestructura -El personal de soporte técnico especializado está listo para reaccionar -El personal especializado conoce el protocolo establecido en el documento GT-P12
Hasta 1 semana
-El Vicepresidente de Tecnología y Operaciones ejerce comunicación con el proveedor LG para recordar los SLA (ServiceLevelAgreement)
Hasta 2 semanas
-El analista TISC conoce el protocolo establecido en el documento GT-P12
Fuente: El autor
61
62
4. MEJORA DE LA BASE TECNOLÓGICA -FIXINGFOUNDATION-
Este apartado describe:
La base tecnológica actual para medio de pago.
Definición general de procesos para medio de pago.
Control de Acceso a las aplicaciones y roles de operación para medio de pago.
Diagrama general de Arquitectura empresarial (Recaudo SA Bogotá) para medio de pago.
Acciones de mejora para solidificación y simplificación de la base instalada. Según la información recopilada se determina qué camino se debe elegir para simplificar y fortalecer la base tecnológica instalada (transformación rápida o cambio incremental progresivo11).
4.1. BASE TECNOLÓGICA ACTUAL PARA MEDIO DE PAGO La base tecnológica actual soporta toda la operación de medio de pago. La mayoría de riesgos identificados en el RA y sopesados en el BIA apuntan hacia fallas e interrupciones en los sistemas de información asociados. Bajo el marco 4A debe ejecutarse un análisis exhaustivo de la base instalada para determinar las debilidades y puntos de mejora de la arquitectura empresarial.
4.1.1. Sistemas de Información e Infraestructura para Medio de Pago A continuación se listan los componentes tecnológicos que soportan el medio de pago para Recaudo Bogotá SAS El Datacenter primario y secundario de Recaudo Bogotá S.A, para garantizar disponibilidad del servicio, dispone de dos Datacenters en Bogotá.
El datacenter primario, denominado “Servicios Centrales” y el datacenter de respaldo “Sótano 1”. Ambos datacenters utilizan un canal dedicado para establecer comunicación entre los componentes (Ver Figura 8.)
11 Book IT Risk 4A Fixing the Foundation Pag.84
63
FIGURA 8 COMUNICACIÓN DATACENTER SERVICIOS CENTRALES/SÓTANO 1
Fuente: El autor
La Conectividad Estaciones/Portales con Sistemas centrales de cada estación/portal pertenece a red WAN de Transmilenio. Los dispositivos BCA-TCA-TDA, entablan comunicación constante con el datacenter primario “Servicios Centrales (Ver Figura 9.)
FIGURA 9 CONECTIVIDAD ESTACIONES/PORTALES CON SISTEMAS CENTRALES
Fuente: El autor
64
EL Fare Collection System es una herramienta para la solución de las novedades a centro de control, correo electrónico, ip, para la recepción y gestión de requerimientos, es una solución para la verificación de acceso LG. Almacena las características de cada TISC y el registro transaccional de cada BCA. El FCS, por ser un sistema altamente transaccional y de misión crítica, está desplegado en dos Datacenter distintos para aumentar el porcentaje de disponibilidad y tolerancia a fallos del sistema (Ver Tabla 25) TABLA 25 TIER FÍSICO FARECOLLECTIONSYSTEM
Datacenter Nombre Clave
Primario/Secundario Responsable SLA
1 Sistemas Centrales
Primario LG 3 horas
2 Sótano 1 Secundario Recaudo Bogotá
3 horas
Fuente: El autor
Hardware Security Module (HSM), hardware security module (HSM) es un procesador de cifrado dedicado, este procesador fue especialmente diseñado para la protección del ciclo de vida de las claves de cifrado. Los hardware security module funcionan como un ancla de confianza que protege la infraestructura criptográfica, el procesamiento y el almacenamiento seguro de claves criptográficas dentro de un dispositivo protegido12. Recaudo Bogotá SAS requiere de un HSM para garantizar la máxima seguridad ante clonación y validación de las tarjetas TuLlave.
El HSM se encuentra desplegado en dos Datacenters diferentes (Ver Tabla 26.). No es un sistema de transaccionalidad en tiempo real, no obstante, tiene una envergadura visible por el dispositivo que habilita el uso de TISC.
12 http://www.safenet-inc.es/data-encryption/hardware-security-modules-hsms/#sthash.TQKzKpsq.dpuf
65
TABLA 26 DATACENTERS MEDIO DE PAGO
Datacenter Nombre Clave
Primario/Secundario Responsable SLA
1 Sistemas Centrales
Primario LG 3 horas
2 Sótano 1 Secundario Recaudo Bogotá
3 horas
Fuente: El autor
System Center Service Manager (SCSM) brinda una plataforma integrada para automatizar y adaptar los procedimientos recomendados de administración de los servicios de TI de Recaudo Bogotá SAS. El SCSM almacena la información básica de las TISC y es el sistema principal para la activación de una tarjeta TuLlave.13 El SCSM está desplegado en dos data centers distintos (Ver Tabla 27.) TABLA 27 SCSM (SYSTEM CENTER SERVICE MANAGER)
Datacenter Nombre Clave
Primario/Secundario Responsable SLA
1 Sistemas Centrales
Primario LG 3 horas
2 Sótano 1 Secundario Recaudo Bogotá
3 horas
Fuente: El autor
What’s Up Gold14: Es una solución de software gratuita que brinda monitoreo de redes y servidores. Permite manejar registros de actividad y disponibilidad para redes de cualquier tamaño. Resulta fundamental para la vigilancia de los dispositivos BCA-TCA-TDA de cada estación/portal. What’s Up Gold, está desplegado sólo en el Datacenter principal (Ver Tabla 28.). No obstante, es capaz de monitorear en su totalidad toda la infraestructura de Networking
13 https://technet.microsoft.com/es-es/systemcenter/ee923652.aspx 14
https://www.ipswitch.com/Ipswitch/media/Ipswitch/Documents/Resources/Data%20Sheets/DS-WuG-BasicView-ES.pdf
66
TABLA 28 ALOJAMIENTO DE WHAT’S UP GOLD
Datacenter Nombre Clave
Primario/Secundario Responsable SLA
1 Sistemas Centrales
Primario LG 3 horas
Fuente: El autor
Comunicación entre sistemas de información medio de pago, eL FCS, SCSM y HSM se encuentran en el mismo Datacenter y en el mismo espacio de direcciones. No existe ningún middleware entre sistemas, por lo que la comunicación es directa utilizando sockets TCP para acceso a aplicación y capa de datos (Ver Figura 10.) FIGURA 10 COMUNICACIÓN SISTEMAS DE INFORMACIÓN MEDIO DE PAGO
Fuente: El autor
4.1.2. Definición General de Procesos para Medio de Pago Todos los procesos de medio de pago están explícitamente soportados y asociados a los sistemas de información mencionados anteriormente. Es importante entender cuál son los sistemas actores en cada proceso y conocer su responsabilidad. A continuación se describe el flujo general de los procesos de pago principales, que ocurren en las estaciones y portales del sistema.
Sistemas de carga de TISC, son las tarjetas de Transmilenio de tipo TISC están construidas para entablar comunicación bajo tecnología NFC.
67
Las tarjetas TISC son recargadas en los dispositivos TCA (Terminal de carga asistida) y DCM (Dispositivo de Recarga móvil), dichos TCA se encuentran en todas las estaciones de Transmilenio. Para efectuar operaciones de recarga o configuración se requiere que el dispositivo TCA tenga insertado la tarjeta del operador.
Sistemas lectores (descuento de saldo) de TISC, son las tarjetas TISC son leídas en las barreras de control de acceso (BCA). Las BCA son todos los torniquetes distribuidos por el sistema en los portales, estaciones y buses SITP.
Inicialización de una tarjeta TISC El proceso de inicialización de una tarjeta se compone de los siguientes pasos:
Se generan archivo de tipo emisión .p3 con los datos básicos de la tarjeta y con la llave de cifrado en el servidor HSM.
Se entrega archivo de emisión .p3 a Fabricante -LG- (Archivo Excel, ficheros .p3 SFTP).
Fabricante de tarjeta envía lote de tarjetas fabricadas
Se registra en el sistema de recaudo FCS el resultado y los datos básicos de la tarjeta. (Procedimiento manual hecho por Proveedor Logístico OSIS).
Carga de una tarjeta TISC con dispositivos TCA, el TCA entabla comunicación con el FCS. El procedimiento es:
El operador acerca la TISC del usuario (comunicación por NFC).
EL TCA muestra el saldo actual según la información retornada por el FCS.
El cliente indica el valor que desea cargar a la tarjeta.
El operador digita en el TCA el valor a recargar.
EL TCA actualiza el saldo de la tarjeta.
EL FCS actualiza el saldo de la tarjeta vinculada (serial de tarjeta).
Descuento de una tarjeta TISC en dispositivos BCA, al igual que en el procedimiento anterior, cada BCA está conectado una red de internet privada para cada estación de Transmilenio.
68
El procedimiento de descuento es:
El usuario acerca su tarjeta al BCA (comunicación por NFC).
El BCA lee la tarjeta y valida si dispone de saldo y devuelve el resultado al BCA (si dispone de saldo descuenta).
El BCA desbloquea el mecanismo de torniquete para avanzar o muestra saldo insuficiente, según corresponda.
EL BCA envía información al FCS para actualizar el saldo de la tarjeta.
4.1.3. Control de Acceso a las Aplicaciones y Roles de Operación Los sistemas de información, en razón a su tamaño y complejidad, requieren de la existencia de un módulo de control de acceso, discriminado por roles y permisos. Se pretende mostrar cuál es el método de autenticación que usan y cómo es gestionado y administrado los roles y permisos para los sistemas.
Control mediante acceso federado, las aplicaciones HSM, SCMS y FCS utilizan autenticación federada bajo Active Directory de Windows. Permisos y autorización, aunque las aplicaciones HSM, SCMS y FCS usan como proveedor de identidad el Active Directory cada una de ellas contiene su propio módulo de autorización. Cada usuario extraído y sincronizado del Directorio Activo es atado a un rol en cada sistema de Información. Roles de operación para FCS, el FCS desempeña un rol crítico para el servicio clave Medio de pago. Debido a que es el sistema central que almacena los registros de pago e información de cada TISC del sistema Transmilenio, maneja diferentes niveles de acceso y autorización. En la Tabla 29 se presentan los privilegios para cada uno de los posibles roles en el proceso.
69
TABLA 29 ROLES DE OPERACIÓN SISTEMA FCS
Rol Privilegios
Operador Logueo en dispositivos de recarga TCA, DCM, DCA)
Funcionario Acceso limitado (pasos o cruce por torniquete) a las BCA de todo el sistema
Supervisión Configuración de dispositivos de recarga y extracción de estadísticas de operación diarias. Permite hacer arqueos a los RST (Representantes de servicio en taquilla)15
Control de acceso
Apertura de BCA para discapacitados o bicicletero
Control configuración
Habilita la configuración de dispositivos de recarga TCA, DCM, DCA
Administrador Control completo del FCS en back-end y parametrización
Fuente: El autor
Diagrama de autenticación federada para HSM, SCMS y FCS, recaudo Bogotá S.A dispone de un Active Directory 2012 R2 como controlador de dominios e identidad principal de autenticación. Todos los equipos de oficina de Recaudo Bogotá S.A pertenecen al grupo de dominio establecido. A su vez, los sistemas de información FCC, SCSM y HSM usan el Active Directory como única identidad de autenticación mediante el protocolo LDAP y puerto 389 (Ver Figura 11.)
FIGURA 11 AUTENTICACIÓN FEDERADA SISTEMAS DE INFORMACIÓN MEDIO DE PAGO
Fuente: El autor
15 GM-P01
70
4.1.4. Arquitectura Empresarial (Recaudo SA Bogotá) para Medio de Pago Aunque los documentos oficiales no detallan una Arquitectura Empresarial como estrategia IT, se puede determinar un bosquejo inicial bajo los puntos de vista de Arquitectura de información, Arquitectura de aplicación y Arquitectura de negocio La Figura 12 presenta los servicios externos proveídos por Recaudo Bogotá SAS a todos los usuarios del Sistema:
tullaveplus.com: Es un portal web que permite personalizar la tarjeta TuLlave Plus, además de efectuar diferentes trámites como consulta de saldo de la tarjeta, reportar pérdida de tarjeta, transferencia de saldo, entre otras.
Acceso a Portales y Estaciones: TuLlave Plus actúa como un monedero virtual que permite el acceso a cualquier estación y portal del Sistema. También permite el acceso a los SITP.
Los negocios principales de medio de pago se clasifican en, TuLlave Plus persona, TuLlave Plus Empresa.
La base tecnológica orientada a sistemas de información principal se clasifica en los sistemas de HSCM, SCSM y FSC Server.
71
FIGURA 12 ARQUITECTURA EMPRESARIAL RECAUDO BOGOTÁ S.A MEDIO DE PAGO
Fuente: El autor
4.1.5. Listado de Acciones de Mejora a Nivel de Arquitectura Tecnológica Según la información recopilada al analizar la arquitectura tecnológica y arquitectura de información de medio de pago se listan (Ver Tabla 30.) las potenciales mejoras que deben considerarse para la aplicación del marco 4A en la fase “Fixing Foundation”
72
TABLA 30 ACCIONES DE MEJORA FIXING FOUNDATION
Acción Sistema(s) Afectados Beneficios
Usar TLS y no SSL para la comunicación de sistemas
FCS, SCSM y HSM SSL ha sido declarado como un protocolo criptográfico de la capa de transporte inseguro16. TLS es la evolución sin fallas críticas conocidas17
Usar protocolo seguro para la comunicación con el proveedor de identidad (Active Directory)
FCS, SCSM, HSM, Controlador de dominio El controlador de dominio es accesible desde cualquier equipo de oficina o dispositivos TCA, DCA, BCA. Esto supone un securityhole potencial. Usar TSL disminuye la posibilidad de captar información de autenticación con técnicas como Men In TheMiddle18, además, que provee autenticidad en el acceso de los recursos(handshake criptográfico)
Frecuencia de actualización de Firmware de SAN, Appliance y Blades
Dispositivos de datacenter Aumentar la frecuencia de actualización del Firmware asegura la corrección y mejora de la lógica a bajo de nivel de un dispositivo. La frecuencia de actualización recomendada es anual para dispositivos de almacenamiento (SAN, NAS) y de red (SwitchCore, Router, Firewall, EdgeSwitch).
Instalación progresiva de un middleware de tipo cola de mensajería o integración de servicios ESB
FCS, HSM, SCSM La comunicación en tiempo real es directa sin ningún tipo de orquestador o de pila. No existe, tampoco, comunicación asincrónica. La instalación de una cola de mensajes o un ESB puede mejorar la supervisión, auditoría y fiabilidad del sistema en términos generales y escalables. Esto supone usar arquitectura basada en mensajes.
Migración del datacenter secundario “Sótano 1” a un ambiente Cloud
FCS, HSM, SCSM, Active Directory El datacenter primario (Servicios Centrales) y el datacenter secundario (Sótano 1) se encuentran en la misma localización geográfica. Para aumentar la disponibilidad y tolerancia a fallos (failover) es recomendable crear un Datacenter espejo bajo modelos IaaS y PaaS con canales directos y estrategias recurrentes de replicación y sincronización de data en tiempo real
Agregación de Mirroring y balanceo de carga
FCS y Active Directory Ningún sistema actúa como cluster. No disponen de un host secundario que permita un tolerancia a fallos (failover) real y efectivo. Se recomienda crear un mirror de cada máquina con un balanceador de carga básico (ping) para los sistemas de información seleccionados
Fuente: El autor
16 http://www.zdnet.com/article/freak-another-day-another-serious-ssl-security-hole/ 17 http://chimera.labs.oreilly.com/books/1230000000545/ch04.html#TLS_HANDSHAKE 18 http://www.veracode.com/security/man-middle-attack
73
4.1.6. Situación actual y estrategia a seguir “Fixing Foundation” El marco 4A define dos caminos para mejorar y simplificar la base tecnológica instalada. Ambos caminos obedecen a una serie de razones de negocio y características particulares de cada organización, que deben ser sometidas a un análisis minucioso para tomar la decisión correcta. La transformación rápida es muy costosa y muy riesgosa. Exige de una planificación pormenorizada y distintos planes de contingencia para sostener la operación arriba con el mínimo tiempo offline. Estas transformaciones requieren de un cambio drástico en la infraestructura instalada y de la definición de nuevos procesos a bajo nivel. Una razón importante para elegir una transformación rápida radica en el hecho de que los riesgos de mayor criticidad y probabilidad de ocurrencia no pueden ser tratados efectivamente sin una mejora de la base tecnológica instalada. La transformación progresiva no es costosa, es segura y es lenta. Asegura que la operación continúe dado que los componentes afectados del sistema se modifican a largo plazo y en forma secuencial. No requiere de una planificación extensa, ni de planes de contingencia adicionales a los ya establecidos en el BCP. Resulta eficaz para corporaciones que no disponen de la liquidez necesaria. La transformación progresiva puede ser seleccionada para aquellas corporaciones en que el los riesgos analizados no manifiestan un alto grado de ocurrencia, y en la que el impacto al servicio u operación no es crítico. Recaudo Bogotá SAS no dispone de la infraestructura mínima requerida para mantener la operación si se elige una aproximación de transformación rápida: la tolerancia a fallos es pequeña, y la materialización de algunos de los riesgos de medio de pago (aún con una probabilidad de ocurrencia muy baja) asociados al FCS significa un colapso del ingreso al sistema Transmilenio. A pesar de que disponen de dos Datacenters “mirroring”, no disponen de las tecnologías suficientes que entreguen una tolerancia a fallos efectiva, automatizada y con el menor porcentaje de intervención humana Dado que la arquitectura tecnológica de Recaudo Bogotá S.A. (para el servicio clave medio de pago) no cuenta con las características adecuadas para mantener el servicio en operación, se recomienda efectuar una estrategia de cambio incremental progresivo que mejore y simplifique la base tecnológica instalada a largo plazo, sin impactar la operación.
74
5. CONCLUSIONES
El marco 4A es un framework para manejar el riesgo TI que provee una base sólida para implementar estrategias transversales en la compañía, que permitan una rápida de recuperación de los sistemas que soportan los procesos de negocio.
El marco 4A obtuvo el mayor puntaje de calificación (3,2) frente a Risk I.T y Magerit. El marco 4A provee un alto involucramiento del T.I en el negocio, facilita la alineación de los riesgos T.I. a la gestión de riesgos corporativos y permite establecer con claridad la relación riesgo-valor.
El marco 4A no se concentra simplemente en la reacción, sino que establece una fase vital de prevención de riesgos. Esta fase, conocida como “Fixing Foundation”, analiza y propone una simplificación y mejora de la base tecnológica instalada para reducir al máximo la ocurrencia de un riesgo que ponga en riesgo la cadena de valor de la compañía.
La adopción del marco 4A, como framework para manejo de riesgos TI, exige un cambio en la cultura tecnológica de la compañía para adaptarse a sus 4 valores principales. La mejor estrategia es un cambio transversal, progresivo y con alta disposición desde la alta gerencia.
El plan de continuidad de negocio (BCP) debe ser un documento prioritario y crítico para cualquier corporación en que sus procesos de negocio principales están soportados sobre sistemas tecnológicos complejos.
El análisis de impacto del negocio (BIA) y la evaluación de riesgos (RA) son herramientas imprescindibles para la construcción de un BCP efectivo y ajustado a la realidad de la compañía. El BIA determina y evalúa los potenciales efectos de la interrupción crítica de un servicio clave. El RA identifica las posibles amenazas que pueden materializarse en un determinado momento. El BIA y el RA son la materia prima del BCP, pues gracias a la información revelada por ambas herramientas es posible priorizar los riesgos de mayor criticidad y probabilidad de impacto, y definir una estrategia de recuperación que satisfaga el tiempo de recuperación objetivo.
Recaudo Bogotá SAS, explícita diversos procesos formales (servicio clave medio de pago) para cada uno de los sistemas de información e infraestructura involucrada. No obstante, estos documentos publicados en la intranet y enseñados a los roles y cargos respectivos, no hacen parte de una estructura mayor que los ordene, clasifique y sirvan al objetivo de prevenir y mantener el sistema en operación.
75
Recaudo Bogotá SAS puede efectuar múltiples acciones de mejora, que modernicen y simplifiquen su base tecnológica actual, focalizada hacia la entrega continua e ininterrumpida de su cadena de valor.
76
6. BIBLIOGRAFÍA
WESTERMAN G., HUNTER, R IT Risk: Turning Business Threats Into Competitive Advantage. 2007. [citado el 20 de febrero de 2015]
(Trelles, CAPITULO 2 “CONCEPTUALIZACIÓN PARA EL ANÁLISIS DE RIESGOS”, 2008)[En línea]<http://www.dspace.ups.edu.ec/bitstream/123456789/573/4/CAPITULO2.pdf> [citado el 3 de febrero del 2015]
(Menéndez, 2010)Análisis y Gestión de Riesgo en Tecnología de la Información [En línea] <http://www.suarez-menendez.com/Publicaciones/BrochuresServicios/Analisis%20de%20Riesgo%20de%20TI.pdf> citado el 3 de febrero del 2015
(Camilo Gutiérrez Amaya, 2012)¿Qué es y por qué hacer un Análisis de Riesgos? <http://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis- riesgos/>[citado el jueves 5 de febrero de2015]
(GESTIÓN DE LOS RIESGOS TECNOLÓGICOS )[En línea]http://www.aemes.org/index.php/revista-de-procesos-y-metricas/numeros-publicados/ano-2008-volumen-5/volumen-5-g-numero-1-g-enero-2008/183-gestion-de-los-riesgos-tecnologicos/download [citado el jueves 5 de 2015]
Adrian Villegas Dianta, 2012 IMPACTO DE LAS TICS EN LA VIDA DIARIA [En línea] <http://metodologiaclasedigital.blogspot.com/p/contenidos.html> http://searchdatacenter.techtarget.com/es/tutoriales/Guia-de-evaluacion-de-riesgos-de-TI https://biblioteca.uniandes.edu.co/visor_de_tesis/web/?SessionID=L1Rlc2lzXzIyMDA5X3NlZ3VuZG9fc2VtZXN0cmUvOTk4LnBkZg%3D%3D>pagina 10 diagrama de proceso y funcionamiento del marco de gestión de riesgos de TI Magerit tomado de Internet 20 de abril de 2016. Enlace=[http://www.securitybydefault.com/2012/10/ccn-cert-magerit-v3-y-17-nuevas-guias.html]
https://seguridadinformaticaufps.wikispaces.com/RISKT.I. John Santa Delgado. análisis de marcos de gestión del riesgo de T.I. Los Marcos 4ª, RiskIt y la construcción de una herramienta de análisis. Bogotá, 2009, pág. 10.trabajo de grado ingeniero de sistemas y de computación. Universidad de los Andes. ingeniería de sistemas y computación.[en línea]<https://biblioteca.uniandes.edu.co/visor_de_tesis/web/?SessionID=L1Rlc2lzXzIyMDA5X3NlZ3VuZG9fc2VtZXN0cmUvOTk4LnBkZg%3D%3D> [Citado el 10 de febrero de 2016]
https://drive.google.com/drive/u/1/folders/0B_juMl9f_ztiUUdsOEZHdVRTUTg
77
https://technet.microsoft.com/es-es/systemcenter/ee923652.aspx https://www.ipswitch.com/Ipswitch/media/Ipswitch/Documents/Resources/Data%20Sheets/DS-WuG-BasicView-ES.pdf
http://www.zdnet.com/article/freak-another-day-another-serious-ssl-security-hole/ http://chimera.labs.oreilly.com/books/1230000000545/ch04.html#TLS_HANDSHAKE http://www.veracode.com/security/man-middle-attack
78
Anexos Anexo 1 Operational-Level questions on the 4A´s Encuestado: Luis Felipe Trejos Uribe, PMP® Jefe de Proyectos de la PMO Fecha: 23/02/2016 Disponibilidad 1. ¿Para los procesos y sistemas críticos, exactamente cuánto tiempo pueden
funcionar sin los sistemas, antes de que ocurran consecuencias intolerables?
RTA Nuestros procesos críticos, comprenden 3 componentes:
1. sistema de recaudo Los dispositivos funcionan offline, con esto se tiene un periodo de 24 hrs de fallo del sistema en general, con consecuencias tolerables, pasado este periodo, las consecuencias podrían ser incumplimiento de las cláusulas del contrato ocasionando multas y problemas en la operación.
2. Sistema control de flota, Ante un fallo, el servicio de transporte se seguirá prestando, porque el sistema del bus es independiente, pero tendría consecuencias de procesos operativos, y para la empresa seria un incumplimiento, lo máximo de inactividad seria 1hr. En caso que se presentaran no habría paneles de información, ni se sabría qué conductores están en el bus.
3. Sistema de información al usuario: No es un sistema imprescindible para la función del servicio, su fallo no acarrearía consecuencias graves en la operación de servicio de transporte, pero si generaría consecuencias de incumplimiento de los acuerdos de niveles de servicio. Se estima un límite máximo de 12 horas, de falla en el sistema.
2. ¿Qué tan probable es una interrupción importante para estos sistemas, de
factores internos o externos (como el clima, un corte de energía regional, un desastre natural, la edad y la calidad técnica, o la falta de un vendedor o de apoyo interno)?
RTA Es poco probable, puesto que se tienen sistemas redundantes, tanto a nivel de sistema como de comunicaciones.
3. ¿Tienen copias de seguridad, sitios de recuperación, soluciones manuales u
otros medios eficaces de reducir el potencial de pérdida de disponibilidad de estos sistemas?
79
RTA Se tiene política de backups, tanto de información y como de configuración de equipos, adicionalmente se tiene redundancia a nivel de servidores y comunicaciones y hay un plan de continuidad del negocio, incluyendo plan de recuperación de desastres, documentado.
4. ¿Tienen signos de alerta temprana de la insuficiencia ya presente en todos los
procesos (como cortes frecuentes, un importante apagón reciente, o cambios significativos en los factores externos que pueden producir el fracaso)?
RTA Se tiene un monitoreo constantes de los equipos a través de diversas herramientas, las cuales generan alertas y alarmas, tanto a nivel de servidores y de equipos en campo, y que están siendo revisadas constantemente. Por medio de un software llamado Whatsup Gold.
Acceso 5. ¿Hay indicios de que las protecciones actuales para nuestros tipos más
sensibles de la información pueden ser menos que adecuada? 6. ¿Han ocurrido violaciones recientes? ¿en caso afirmativo, en qué circunstancias?
RTA 5. No hay señales, hay implementadas políticas de seguridad de la información y restricción de entrada a la información sensible. 6. No nos hemos enterado de ello.
7. ¿Los empleados tienen acceso a suficiente información para realizar su trabajo?
¿Tienen acceso a más información de la que necesitan?
RTA Cada empleado tiene información relevante a su trabajo, ya la información sensible se maneja de acuerdo a las políticas de la información, y los permisos de acceso a la información sensible sólo son asignados mediante aprobación de un miembro del comité ejecutivo encargado de estas aprobaciones.
8. ¿Nos aseguramos de que nuestros socios externos, proveedores y contratistas
están protegiendo el acceso, así como nos gustaría?
80
9. ¿Los contratos especifican información de cómo acceder, identificadores de usuario y si las contraseñas serán protegidas?
RTA 8. Se incluye dentro de los contratos cláusulas de confidencialidad de la información, con penalidades y se hacen auditorías periódicas para revisar el cumplimiento de estas cláusulas, tanto a nivel de bases de datos y de aplicaciones. 9. En los contratos no se especifica, pero si se le entrega un código a los proveedores, con las políticas de seguridad de la información que incluye los ítems anteriores.
10. ¿Existen procedimientos para eliminar el acceso inmediato cuando termina la
relación?
RTA Si se elimina toda la cuenta una vez se haya finalizado su contrato.
Precisión 11. ¿Cuáles son los riesgos/beneficio/costo tanto para los stakeholders (grupos de
interés) internos y externos (tales como gerentes, empleados, proveedores, clientes y reguladores) de proporcionar (o no proporcionar) información integrada para los procesos que actualmente carecen de esta información?
El riesgo a nivel del cliente principal 'Transmilenio' es un posible incumplimiento contractual, el cual podría terminar en imposición de una multa, y si es muy grave en la terminación anticipada del contrato. El otro riesgo que existe es de tener que rehacer algunos procesos, por no proveer la información correcta. (o una demanda)
12. ¿cuáles son las mayores fuentes de datos que no son del sistema con mayor
inconsistencia (tales como habilidades, entrada manual de datos, identificadores difíciles de manejar, la falta de verificación para la entrada de datos, etc.)?
RTA El ingreso manual de datos cuando se personalizan las tarjetas. A nivel de fss a nivel del sistema de recaudo.
81
13. ¿Qué cambios relativamente simples en los controles internos, la automatización, o procedimientos de gestión podrían reducir problemas de precisión?
RTA Capacitación de los trabajadores, y mejora de los formularios de entrada de la información.
Agilidad 14. ¿Qué tan bien la organización de TI, en un proyecto aporta a las necesidades
de cada unidad de negocio? 15. ¿Si existen diferencias en la percepción a través de unidades, es debido a las
diferentes capacidades de TI, diferentes organizaciones de TI basadas en el negocio de unidad, diferentes necesidades o alguna otra razón?
RTA 14. Más o menos, debido a que no hay un área de tecnología centralizada y las aprobaciones para nuevas solicitudes son demoradas. 15. La percepción es la misma a través de las unidades de negocio.
16. ¿Cómo se puede mejorar el historial de entrega?
RTA Mejores políticas, mejores procesos, y personal más capacitado.
17. ¿qué iniciativas son necesarias para reducir la dificultad de los cambios
estratégicos proyectados? 18.
RTA: Políticas de capacitación al personal, re ingeniería en procesos, mejores herramientas existentes.
82
Anexo 2 Operational-Level questions on the 4A´s Encuestado: Diego Alejandro Corredor García-Gerencia de planeación estratégica y control Fecha: 08/03/16 Disponibilidad
1. ¿Para los procesos y sistemas críticos, exactamente cuánto tiempo pueden funcionar sin los sistemas, antes de que ocurran consecuencias intolerables?
RTA Actualmente existe un contrato de concesión con Transmilenio en él se estipulan los Acuerdos de nivel de servicio en donde se tienen acordados los tiempos de reacción para cada sistema. Los esquemas de contingencia están sujetos a mejora debido a que la organización ha estado hasta Diciembre de 2015 en etapa de implementación; a partir de esa fecha ingreso la etapa operativa.
2. ¿Qué tan probable es una interrupción importante para estos sistemas, de
factores internos o externos (como el clima, un corte de energía regional, un desastre natural, la edad y la calidad técnica, o la falta de un vendedor o de apoyo interno)?
3. ¿Tienen copias de seguridad, sitios de recuperación, soluciones manuales u
otros medios eficaces de reducir el potencial de pérdida de disponibilidad de estos sistemas?
RTA Se cuentan con políticas de respaldos de información únicamente para sistemas core del negocio y que estén obligados en el contrato de concesión. La política está en función de la periodicidad, retención y rotación de los back ups de información core. Esta información está centralizada en un área.
4. ¿Tienen signos de alerta temprana de la insuficiencia ya presente en todos los
procesos (como cortes frecuentes, un importante apagón reciente, o cambios significativos en los factores externos que pueden producir el fracaso)?
RTA La probabilidad y el impacto están definidos en el plan de continuidad del negocio donde se determinan estos escenarios; Los cuales están enfocados más a nivel tecnológico. El sistema más inestable es el sistema de control de flota cualquier interrupción es probable debido a la inestabilidad del sistema.
83
RTA Se cuentan con herramientas de monitoreo para temas eléctricos, redes e infraestructura las cuales permiten en cualquier instante alarmar al personal técnico; así mismo ante una eventualidad la mesa de ayuda trabaja 24 X 7 para brindar los escalamientos necesarios para la solución de incidentes de operación crítica.
Acceso 5. ¿Hay indicios de que las protecciones actuales para nuestros tipos más
sensibles de la información pueden ser menos que adecuada? 6. ¿Han ocurrido violaciones recientes? ¿en caso afirmativo, en qué circunstancias?
RTA La información contenida en los sistemas core es salvaguardada y cumple con políticas de seguridad; se debe reforzar dentro de la organización el uso de información confidencias tales como contratos, documentos sensibles, oficios y generar controles para mitigar riesgos acerca de la perdida de integridad de la información.
7. ¿Los empleados tienen acceso a suficiente información para realizar su trabajo?
¿Tienen acceso a más información de la que necesitan? 8. ¿Nos aseguramos de que nuestros socios externos, proveedores y contratistas
están protegiendo el acceso, así como nos gustaría? 9. ¿Los contratos especifican información de cómo acceder, identificadores de
usuario y si las contraseñas serán protegidas?
RTA Falta mejorar controles e implementar sistemas que permitan la consulta de los contratos; actualmente se está revisando esa parte de los contratos ya que no se cuenta con una herramienta para el manejo de los contratos y que permita perfilar la confidencialidad entre los empleados.
10. ¿Existen procedimientos para eliminar el acceso inmediato cuando termina la
relación?
RTA Para empleados si, para proveedores se está implementando un sistema que permita controlar dicha información.
RTA En la organización un empleado tiene herramientas; pero habría que trabajar mejor en la clasificación de la información que tiene que tener un empleado.
84
Precisión 11. ¿Cuáles son los riesgos/beneficio/costo tanto para los stakeholders (grupos de
interés) internos y externos (tales como gerentes, empleados, proveedores, clientes y reguladores) de proporcionar (o no proporcionar) información integrada para los procesos que actualmente carecen de esta información?
12. ¿cuáles son las mayores fuentes de datos que no son del sistema con mayor inconsistencia (tales como habilidades, entrada manual de datos, identificadores difíciles de manejar, la falta de verificación para la entrada de datos, etc.)?
RTA Los manuales se des actualizan debido a que la documentación técnica es entregadas por los Proveedores y no se actualiza. Si falta verificación y filtros de dicha información.
13. ¿Qué cambios relativamente simples en los controles internos, la
automatización, o procedimientos de gestión podrían reducir problemas de precisión?
RTA La automatización de alertas para que no dejen pasar algo; controles cruzados para revisión de información y datos, también se aplican en algunos casos controles aleatorios.
Agilidad
14. ¿Qué tan bien la organización de TI, en un proyecto aporta a las necesidades de cada unidad de negocio?
15. ¿Si existen diferencias en la percepción a través de unidades, es debido a las diferentes capacidades de TI, diferentes organizaciones de TI basadas en el negocio de unidad, diferentes necesidades o alguna otra razón?
RTA 14- La organización de TI está adoptando buenas prácticas de ITIL, es un proyecto largo; hasta ahora estamos en las fases de inicio; así mismo hasta ahora se está reestructurando la oficina de proyectos. 15- No se tiene claro el portafolio de servicios de TI; por eso la percepción no se recibe ante las otras unidades.
- Los riesgos están asociados a la pérdida de integridad de la información; para ello la organización cuenta con una política donde se prohíbe la divulgación de información a entes externos sin la debida autorización.
85
16. ¿Cómo se puede mejorar el historial de entrega?
RTA - Mejorando el seguimiento a los entregables; teniendo en cuenta las capacidades de las áreas. - Contando con una herramienta que contiene todas los requerimientos de negocio. - Contando con personal competente que sepa hacer su labor. - Creando y adoptando metodologías eficientes que contribuyen al logro.
17. ¿qué iniciativas son necesarias para reducir la dificultad de los cambios estratégicos proyectados?
Anexo 3 Operational-Level questions on the 4A´s Encuestado: David Bravo-Analista de Procesos y Documentación Técnica de la PMO Fecha: 2016-03-04 Disponibilidad
1. ¿Para los procesos y sistemas críticos, exactamente cuánto tiempo pueden funcionar sin los sistemas, antes de que ocurran consecuencias intolerables?
RTA Una semana
2. ¿Qué tan probable es una interrupción importante para estos sistemas, de
factores internos o externos (como el clima, un corte de energía regional, un desastre natural, la edad y la calidad técnica, o la falta de un vendedor o de apoyo interno)?
RTA - Establecer un plan de comunicaciones para dichos cambios. - Filtrar la información y los grupos de interés para dicha información. - Establecer un grupo de gestión del cambio que abarque a las diferentes áreas de la organización. - Capacitar al personal.
86
RTA Poco probable dado que los servicios están en la nube.
3. ¿Tienen copias de seguridad, sitios de recuperación, soluciones manuales u
otros medios eficaces de reducir el potencial de pérdida de disponibilidad de estos sistemas?
RTA Sí
4. ¿Tienen signos de alerta temprana de la insuficiencia ya presente en todos los
procesos (como cortes frecuentes, un importante apagón reciente, o cambios significativos en los factores externos que pueden producir el fracaso)?
RTA Sí
Acceso 5. ¿Hay indicios de que las protecciones actuales para nuestros tipos más
sensibles de la información pueden ser menos que adecuada? 6. ¿Han ocurrido violaciones recientes? ¿En caso afirmativo, en qué circunstancias?
RTA 5. No 6. No
¿Los empleados tienen acceso a suficiente información para realizar su trabajo? ¿Tienen acceso a más información de la que necesitan?
RTA Sí
7. ¿Nos aseguramos de que nuestros socios externos, proveedores y contratistas
están protegiendo el acceso, así como nos gustaría? 8. ¿Los contratos especifican información de cómo acceder, identificadores de
usuario y si las contraseñas serán protegidas?
87
RTA 8. Sí 9. Sí
9. ¿Existen procedimientos para eliminar el acceso inmediato cuando termina la
relación?
RTA No explícitamente o documentados.
Precisión 10. ¿Cuáles son los riesgos/beneficio/costo tanto para los stakeholders (grupos de
interés) internos y externos (tales como gerentes, empleados, proveedores, clientes y reguladores) de proporcionar (o no proporcionar) información integrada para los procesos que actualmente carecen de esta información?
RTA: El proporcionar trae como beneficio el que todos los interesados pueden tener la misma información y por tanto conocimiento en el uso de los sistemas, sin embargo esto trae como riesgo el que sea una vulnerabilidad a la seguridad o la continuidad del servicio.
11. ¿cuáles son las mayores fuentes de datos que no son del sistema con mayor
inconsistencia (tales como habilidades, entrada manual de datos, identificadores difíciles de manejar, la falta de verificación para la entrada de datos, etc.)?
RTA La información de los documentos externos que son base de los procesos.
12. ¿Qué cambios relativamente simples en los controles internos, la
automatización, o procedimientos de gestión podrían reducir problemas de precisión?
RTA Tener pasos de verificación en los casos de uso que impliquen la digitación de datos de documentos externos.
Agilidad
13. ¿Qué tan bien la organización de TI, en un proyecto aporta a las necesidades de cada unidad de negocio?
88
14. ¿Si existen diferencias en la percepción a través de unidades, es debido a las diferentes capacidades de TI, diferentes organizaciones de TI basadas en el negocio de unidad, diferentes necesidades o alguna otra razón?
15. ¿Cómo se puede mejorar el historial de entrega?
RTA Usando procesos de mejora continúa.
1. ¿Qué iniciativas son necesarias para reducir la dificultad de los cambios
estratégicos proyectados?
RTA 14, Mejores tiempos de respuesta, respuesta y soportes más congruentes, menor probabilidad de fallo, etc. 15, Diferentes necesidades.
RTA Tomar como prioridad en el diseño de los sistemas implementar la necesidad de construir componentes flexibles que hagan más fácil la implantación de cambios.