UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO

Transcripción

1 UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO VOLUNTAD CONOCIMIENTO SERVICIO Nombre del Proyecto: IMPLANTACIÓN DE LAS BASES DE UN MODELO DE GOBIERNO E INFRAESTRUCTURA DE TIC EN EL INSTITUTO QUERETANO DEL TRASPORTE. Empresa: Memoria que como parte de los requisitos para obtener el Título de: Ingeniero en Tecnologías de la Información y Comunicación. Presenta Jorge Luis Reyes Noriega Asesor de la UTEQ Ing. Flor Adriana Monroy Villegas Asesor de la Organización Ing. Oscar Verano Quintanar Santiago de Querétaro, Qro. Mayo 2014

2 RESUMEN El 14 de Julio de 2013 desaparece la Dirección de Transporte perteneciente a la Secretaria de Gobernación del Estado de Querétaro, y da paso a la creación del Instituto Queretano del Transporte (IQT), organismo descentralizado, con personalidad jurídica y patrimonio propio, cuyo objetivo es diseñar, coordinar, ejecutar, vigilar y evaluar las políticas públicas, programas y acciones generales y particulares relativas a la prestación de los servicios público y especializado de transporte en el Estado de Querétaro, de conformidad con los principios y objetivos que establece la Ley de movilidad promulgada en junio de En la actualidad, el IQT cuenta con un área de Informática en la cual sus procesos se llevan de manera empírica y se utiliza como área de soporte y no como un área estratégica para el apoyo del cumplimiento de los objetivos del IQT. El propósito del presente proyecto es implementar las bases de un Modelo de Gobierno de Tecnologías de Información y Comunicación (GTIC) en el IQT, a través del apoyo de mejores prácticas de TIC, para alinear las estrategias, objetivos y regular proyectos del área de Informática y del IQT. Para ello este proyecto se realizara en dos partes: A. Formular un plan estratégico para la implementación proyectos de TIC basado en la metodología COBIT (Control Objetives for Information and 2

3 Related Techology), que provee un alto nivel de gobernabilidad, mejores prácticas y control en Tecnologías de Información. B. Analizar, diseñar y construir una solución de Infraestructura de TI que permita Satisfacer la alta demanda de servicios del IQT y con esto optimizar la productividad de los empleados, mejorar tiempos de respuesta, un control optimizado de los recursos y procesos de este Organismo Gubernamental, brindándoles las herramientas necesarias. 3

4 SUMMARY In recent decades, Information and Communication Technology (ICT) has been introduced powerful tools to achieve its objective as organization, which can t be carried empirically or as a support area; therefore this project developed during my internship implemented a proposal for a Strategic Plan to develop of the ICT project and policies for the proper use of resources ICT in Queretano Transportation Institute (IQT) in order to provide a tool for standardizing parameters, developing and managing projects. As a second stage, an ICT infrastructure solution was analyzed, designed and built, which consisted in strengthening the voice and data network and the implementation of two servers, which allow satisfy the high demand for services IQT, optimizing employee productivity, improving response times, Optimizing resources and processes of the Government Control Agency, with the necessary tools. This professional internship gave me a great experience in implementing and acquired new knowledge. 4

5 DEDICATORIAS A Mi Familia Este trabajo se lo dedico a mi madre, Concepción Noriega Paredes quien es mi motivación y orgullo, Es la persona que más amo y a la cual le debo todo lo que soy y hasta donde he llegado. Gracias a su sacrificio, apoyo y dedicación he logrado una meta más en mi vida. Gracias madre, por tu apoyo en esos momentos de desesperación y cuando quise tirar la toalla, supiste motivarme para continuar y salir adelante. Muchas Gracias Familia 5

6 AGRADECIMIENTOS Quiero dar gracias a Dios que me brindó la oportunidad de continuar con mis estudios y por permitirme cumplir una de mis metas, estoy finalizando un ciclo que había dejado abierto y continuare realizando mi máximo esfuerzo por ver culminados mis seños. Hoy se termina un ciclo pero se abre uno nuevo, que implica nuevos retos. Estoy satisfecho con los resultados y doy gracias a todas las personas que me motivaron y ayudaron para continuar con esta meta. Gracias a mi madre, por su apoyo y motivación para continuar y no perderme en el camino. Mi madre es mi orgullo y mi inspiración, sé que sin ella nada de esto sería posible. Mis hermanos fueron factor y apoyo para retomar mis estudios y cerrar un ciclo que había quedado inconcluso en vida. La Ing. Flor Adriana Monroy Villegas por su apoyo, por ser una inspiración, por la motivación que siempre me dio, por su confianza y respaldo. Por la asesoría otorgada y el aporte que han hecho en mi desarrollo profesional. Adicionalmente doy gracias al Ing. Oscar Verano Quintanar, Encargado del área Tecnologías del IQT, por la oportunidad de realizar mi estadía profesional y por la confianza que medio dentro del área. 6

7 I N D I C E RESUMEN... 2 SUMMARY... 4 DEDICATORIAS... 5 AGRADECIMIENTOS... 6 I N D I C E... 7 I. INTRODUCCIÓN II. ANTECEDENTES III. JUSTIFICACIÓN Etapa A Necesidades: Objetivo: Etapa B Necesidades Objetivos IV. OBJETIVOS Etapa A: Etapa B: V. ALCANCE ALCANCE ETAPA A: ALCANCE ETAPA B VI. ANÁLISIS DE RIESGOS SUPOSICIONES Y RESTRICCIONES ETAPA A ETAPA B IDENTIFICACIÓN Y CONTROL DE RIESGOS Probabilidad de Ocurrencia Impacto

8 6.3 Matriz de Riesgos VII. FUNDAMENTACIÓN TEÓRICA ETAPA A GOBIERNO DE TI CON COBIT ETAPA B I. Aplicación y Robustecimiento de la red de datos y Voz del IQT II. Implementación de 2 Nuevos Servidores para el IQT (Servidor de aplicaciones y Controlador de Domino) VIII. PLAN DE ACTIVIDADES Etapa A Etapa B Tabla de Precedencias IX. RECURSOS MATERIALES Y HUMANOS Recursos y Productos Requeridos Matriz de Adquisiciones del Proyecto X. DESARROLLO DEL PROYECTO BASES DE MODELO DE GOBIERNO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN IMPLEMENTACIÓN DE INFRAESTRUCTURA DE TIC EN EL IQT I. Ampliación y Robustecimiento de la Red de Datos y Voz del IQT II. Implementación de 2 Nuevos Servidores para el IQT, que Brinden los Servicios Controlador de Dominio, DHCP, DNS, y Funcionen como Servidores de Aplicación, de Archivos y de Impresión XI. RESULTADOS OBTENIDOS XII. CONCLUSIONES & RECOMENDACIONES Conclusiones Etapa: A Conclusiones Etapa: B XIII. ANEXOS Plan estratégico para el Desarrollo de Proyectos de TIC en el IQT

9 10.4 Políticas de Seguridad y Recursos del IQT Propuesta de Solución de Red Inalámbrica IQT XIV. BIBLIOGRAFÍA Trabajos Citados Índice de ilustraciones Índice de Tablas

10 I. INTRODUCCIÓN En las últimas décadas se han instaurado como herramientas poderosas para materializar los objetivos más vitales en cualquier organización (Network Sec - Network Sec your IT Governance Parnert, 2014), Pública o privada, estas hoy en día constituyen una herramienta bastante eficaces para la mejora de rendimiento de toda organización, las cuales no pueden ser llevadas de forma empírica o como una área de soporte. Por lo cual se realiza una propuesta de un Plan Estratégico para el desarrollo de Proyectos TIC en el IQT, con el fin de desarrollar y gestionar proyectos que den solución a las necesidades del IQT, tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las TICs, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 5. COBIT 5 es un conjunto de herramientas de soporte que permite a la gerencia de las organizaciones el cerrar la brecha entre los requerimientos de control, problemas técnicos y los riesgos del negocio. Este marco provee buenas prácticas y presenta actividades para el Gobierno de TI que en una estructura manejable y lógica. Está enfocado en el Gobierno Empresarial de las TIC que se fundamenta en 5 principios (Satisfacer las necesidades de los interesados, Cubrir la empresa de extremo a extremo, Aplicar un solo marco 10

11 integrado, Habilitar un enfoque Holístico & Separar Gobierno de Administración) que permiten construir un efectivo marco de gobierno y administración de TI. Se basa en un conjunto holístico de 7 habilitadores que Considera las tendencias actuales de gobierno y administración y está alineado con otros marcos de referencia, estableciendo un nuevo Modelo de Referencia de Procesos de TI, mediante la evaluación de 37 procesos que define esta metodología, agrupados en 4 dominios (Evaluar, Dirigir y Supervisar; Alinear, Planear y Organizar; Construir, Adquirir e Implementar; Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 5. 11

12 II. ANTECEDENTES El IQT, como organismo descentralizado, con personalidad jurídica y patrimonio propio, con domicilio legal en la ciudad de Santiago de Querétaro, Qro., sectorizado a la Secretaría de Gobierno, cuyo objetivo es diseñar, coordinar, ejecutar, vigilar y evaluar las políticas públicas, programas y acciones generales y particulares relativas a la prestación de los servicios público y especializado de transporte en el Estado de Querétaro, de conformidad con los principios y objetivos que establece Ley de movilidad para el transporte público del estado. Considerar el rol de las TICs en una organización como un rol meramente de soporte o llevada de forma empírica, una función separada y diferenciada del resto del negocio era una práctica común. Actualmente el rumbo y las necesidades del negocio van de la mano de inversiones en infraestructura y nuevas aplicaciones de TIC (Network Sec - Network Sec your IT Governance Parnert, 2014). Conscientes de su misión las autoridades del IQT están dispuestas a hacer los esfuerzos necesarios para Integrar y mantener actualizada la dependencia. Así brindar las herramientas necesarias a sus empleados para poder brindar servicios de calidad a los ciudadanos y cumplir con el marco que la ley de movilidad establece. En su afán de mejorar los servicios, procesos de negocio y los tiempos de respuesta que el área de Tecnologías brinda al IQT en tema de Tecnologías de Información y Comunicación, en Enero de 2014 se inicia un proceso de implementación de infraestructura de TIC, el cual robustecerá los recursos tecnológicos y brindara al IQT soluciones que agilicen los procesos de negocio. La implementación y el gobierno eficaz de los recursos de TIC hoy en día se han vuelto un elemento crucial (Network Sec - Network Sec your IT 12

13 Governance Parnert, 2014). Estas tecnologías y servicios deben brindar información oportuna, veraz y exacta, que permita optimizar, mejorar la eficiencia de los objetivos, servicios y estrategias de la institución, así como robustecer sus fortalezas internas. Las TIC imponen el desafío de generar real valor agregado a la institución y estar siempre en línea con las estrategias de negocio (ISACA-Introducing COBIT 5 ONLINE). Para satisfacer en forma eficiente esta demanda y la utilización de mejores prácticas es crucial. Un Gobierno de TIC consta del liderazgo (ISACA - A Business Framework for the Governance and Management of Enterprise IT, 2014), estructuras organizacionales y procesos que garanticen que las TIC del IQT sustenten y extiendan las estrategias y objetivos institucionales. Y sus principales objetivos son: Alinear las estrategias de TIC con la estrategia de la organización. Disminuir el riesgo implementando políticas de seguridad de infraestructura y políticas de usos para administradores y usuarios finales. Proporcionar herramientas y soluciones de infraestructura que faciliten las funciones de los empleados. Proveer estructuras organizacionales que faciliten la implementación de estrategias y metas. Implementar Métricas de desempeño de TI Dado que el gobierno de las TIC es crítica para el éxito de la estrategia institucional, se requiere de una estructura de administración conocida para que cada uno sepa qué hacer (Planes, Políticas, Controles Internos y Mejores Prácticas Definidas). Las mejores prácticas proveen muchos beneficios, incluyendo aumento en la efectividad, menor dependencia de los expertos, 13

14 menos errores. Existen varios marcos de referencia que lideran, en términos de mejores prácticas, pero para este proyecto se eligió: COBIT 5.0 (Control Objectives for Information and related Technology), que provee un alto nivel de gobernabilidad y control en Tecnologías de Información. 14

15 III. JUSTIFICACIÓN Dada la necesidad este proyecto será realizado en dos etapas principales: 3.1 Etapa A En la actualidad, el IQT cuenta con un área de Informática en la cual sus procesos se llevan de manera empírica y se utiliza como área de soporte y no como un área estratégica para el apoyo del cumplimiento de los objetivos del IQT. Necesidades: No existen instrumentos de estandarización para el desarrollo de proyectos de TIC. Todos los proceso se llevan de forma empírica El área de tecnologías es un área de soporte, sin procesos estandarizados. No existen políticas que regulen el uso de los recursos del área de Tecnologías. Objetivo: Mediante este trabajo se pretende brindar un instrumento de estandarización para el desarrollo e implementación de Proyectos de Tecnologías de la Información y Comunicación, de esta forma estandarizar los proceso que brinden soluciones al IQT; el desarrollo de políticas que den gobernabilidad al área de Tecnologías sobre los recursos de infraestructura y de Software con los que cuenta el IQT de esta forma se estaría implantando las bases de un gobierno TIC y con esto se dé pauta para alinear al área de tecnologías con los objetivos del IQT. 15

16 3.2 Etapa B Dada la reciente creación del IQT, actualmente no se cuenta con herramientas de soluciones de infraestructura que faciliten, optimicen y automaticen las funciones de los empleados y brinden seguridad a la información. Muchos son los problemas que el IQT puede enfrentar ante la falta de sistemas de seguridad, como lo son: la fuga información, perdida o alteración de registros en los sistemas, accesos de personal no autorizado a sistemas o información confidencial, falla de aplicaciones, mala administración de los recursos, vulnerabilidades de ataques externos y la perdida de ventaja competitiva. Necesidades La falta de infraestructura de servidores que provean los servicios de Controlador de Domino, Servidor Web, DNS, Impresión y de Aplicaciones, o un servidor que fortalezcan la seguridad al principal activo con el que cuenta el IQT que es su información. La necesidad de incrementar y robustecer la red de datos y voz ya que la actual no es suficiente para satisfacer la alta demanda del IQT. Objetivos Implementación de infraestructura y servicios necesarios para robustecer la seguridad y con esto satisfacer la alta demanda de servicios que deben proporcionar los servidores del IQT, con esto optimizar la productividad de los empleados, mejorar tiempos de respuesta y un control optimizado de los procesos de este IQT. 16

17 IV. OBJETIVOS Este proyecto pretende satisfacer en forma paralela dos áreas de oportunidad del IQT. Por lo cual el desarrollo del mismo se llevara a cabo en dos etapas. 4.1 Etapa A: Sentar las bases que den gobernabilidad al área de tecnologías sobre los recursos de infraestructura y de software del IQT, a través del apoyo de mejores prácticas y la estandarización de procedimientos para el desarrollo de proyectos de TIC, para alinear las estrategias y objetivos del área de tecnologías y del IQT 4.2 Etapa B: Analizar, diseñar y construir una solución de Infraestructura de TI que permita satisfacer la alta demanda de servicios del IQT y con esto optimizar la productividad de los empleados, mejorar tiempos de respuesta, un control optimizado de los recursos, procesos y brindar seguridad a la información de este Organismo Gubernamental, brindándoles las herramientas necesarias. 17

18 V. ALCANCE Dadas las necesidades de este proyecto y como ya se mencionó con anterioridad, el proyecto se desarrollara en dos etapas. 5.1 ALCANCE ETAPA A: La primera etapa de este proyecto tiene como alcance principal implementar un PLAN ESTRATÉGICO PARA EL DESARROLLO DE PROYECTOS DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN, que será un instrumento de estandarización para el Área de Tecnologías en El IQT, de esta forma establecer políticas de calidad y alinear las necesidades del IQT a nivel institucional; así como un estándar en la ejecución y documentación de proyectos. Adicionalmente cumpliendo con los lineamientos de COBIT 5.0, el desarrollo de políticas que den gobernabilidad al área de Tecnologías sobre los recursos de infraestructura y de Software con los que cuenta el IQT de esta forma se estaría implantando las bases de un gobierno TIC. 5.2 ALCANCE ETAPA B Dada la reciente creación del IQT y debido a que se encuentra en crecimiento, tiene una previsible adaptación a los nuevos sistemas de información y a la evolución tecnológica, por ello, el Jefe del Área de Tecnologías del IQT considera necesario el desarrollo, evolución e implementación de su infraestructura; por lo cual la segunda etapa de este proyecto tiene como alcances principales el robustecimiento de la red de voz y datos, propuesta de solución de una red inalámbrica, la implementación de dos servidores que brinden los servicios Controlador de Dominio, DHCP, DNS, y funcionen como Servidores de Aplicación, de Archivos y de Impresión. De esta forma se satisfagan las necesidades y la alta demanda de servicios del IQT, con esto se estaría consiguiendo robustecer la seguridad, dar gobernabilidad al acceso de los recursos y de la información. 18

19 VI. ANÁLISIS DE RIESGOS 6.1 SUPOSICIONES Y RESTRICCIONES Las suposiciones y restricciones respecto al Proyecto, que se derivan directamente de las entrevistas y sesiones de trabajo con el área de tecnologías del IQT: ETAPA A Suposiciones Se cuenta con la información necesaria para elaborar el Plan estratégico. Se cuenta con la experiencia para la planeación y formulación del Proyecto. La comunicación con los asesores es excelente. A continuación se enumeran las restricciones definidas: Tiempo limitado a la dedicación de la elaboración del proyecto. No se cuenta con experiencia necesaria implementación del marco de trabajo de control COBIT. ETAPA B Suposiciones Presupuesto: o Los fondos que se disponen son limitados ya que existe un presupuesto asignado y controlado por el departamento administrativo del IQT. Tiempo: 4 meses. El Área de Tecnologías y el IQT estarán dispuesto a entregar toda la información posible, relacionada con el proceso y funcionamiento de dicha dependencia, ya sea los puntos positivos como los puntos críticos, 19

20 donde se deberá hacer más hincapié para llevar acabo el desarrollo, la evolución e implementación de Infraestructura (Red Informática y la Implementación de los Servidores). El grupo de trabajo de análisis, diseño, y desarrollo estará compuesto por 3 (tres) integrantes, a partir de sus conocimientos y de las tareas a realizar. Se deberán entregar en tiempo y forma la infraestructura de Red, la Implementación de los Servidores y las propuestas de solución. Las Tarjetas que se tienen que adquirir, deben ser de Marca Panasonic, para el conmutador TDA100D-PBX. La responsabilidad de la gestión para la adquisición de los nuevos servidores es del Departamento Administrativo y el Jefe del Área de Tecnologías el Ing. Oscar Verano Quintanar. INFRAESTRUCTURA: Debe contemplarse las implicaciones de los siguientes puntos críticos: o Compatibilidad de la solución con protocolos IPv4 - IPv6. o Caracteres multilingües. o La actividad de la dependencia es lo más importante por lo cual se requiere de Sistemas seguros: protección de información, seguridad y fiabilidad en las trasmisiones de datos en internet. o Gestión de flujos de trabajo, seguridad de transacciones e intercambio de información. o Adaptación a la normativa de Protección de Datos. o Controladora de Dominio. o Asignación de direcciones IP por protocolo de configuración dinámico DHCP. o Resolución de nombres de dominio o Plataforma de Base de Datos compatible a la Actual (SQL 20

21 SERVER). o Control de acceso. o Sistemas seguros: protección de información, seguridad en las trasmisiones de datos (PKI), etc. o Gestión de flujos de trabajo, seguridad de transacciones e intercambio de información. o Adaptación a la normativa de Protección de Datos. o Cumplir con los requisitos mínimos para el cableado estructurado. 6.2 IDENTIFICACIÓN Y CONTROL DE RIESGOS Probabilidad de Ocurrencia Prioridad Puntos Descripción Muy Alto 100 Riesgo altamente probable para ocurrir, Tiene la posibilidad más alta de ocurrir, entre 80% y 99% de ocurrir Alto 80 Riesgo altamente probable para ocurrir, Tiene una posibilidad más antes de ocurrir, entre 60% y 80% de ocurrir. Mediano 60 Riesgo medianamente probable para ocurrir, Tiene una posibilidad mediana de ocurrir, entre 40 % y 60%. Bajo 40 Riesgo poco probable para ocurrir, Tiene una posibilidad baja de que ocurra el Riesgo.10% a 40% Muy Bajo Impacto 20 Riesgo muy poco probable para ocurrir, La posibilidad de que ocurra este Riesgo y el impacto en el proyecto es casi o totalmente nula. Prioridad Puntos Descripción Tabla 1 - Probabilidad de ocurrencia Muy Alto 100 el impacto en el proyecto ya es más de la mitad de los recursos ya planeados para el área donde se encontró el riesgo Alto 80 el impacto en el proyecto es alto, puede ocupar el 30% o 40% más de los recursos ya planeados para el área donde se encontró el riesgo Mediano 60 El impacto que tiene en el proyecto es notable, puede ocupar un 20% más de los recursos de lo ya planeado en el área que se encontró el riesgo. Bajo 40 El Impacto que tendrá en el proyecto no es mucho, es decir, será como un 7% más de los recursos de lo ya planeado en el área que se encontró el riesgo. Muy Bajo 20 Impacto insignificante para el proyecto, no es posible determinar la magnitud del mismo en el proyecto por lo pequeño que este resulta. Tabla 2 - Impacto 21

22 6.3 Matriz de Riesgos Nro. De Ref. Descripción del problema Riesgo Causas Raíz Tipo de Riesgo Amenaza Oportunidad Categoría de Riesgo Alcance Objetivo de proyecto afectado Tiempo Costo Calidad Tipo de Impacto Directo Indirecto Probabilidad Prioridad Responsable Etapa A R01 La falta de conocimiento sobre qué implica disponer de mecanismos para gestionar el gobierno. Gestión Falta de preparación, desactualización de los estándares actuales Evitar IQT, Área de Tecnologías x x x x 70% Alta Ing. Oscar Verano, Depto. Administrativo R02 La falta conciencia sobre la necesidad de contar con ellos. Gestión Desinformación sobre la evolución de gestión de las TIC Evitar IQT, Área de Tecnologías x x x 70% Alta Jorge Luis Reyes Noriega R03 R04 R05 R06 R07 Los Directivos deben aceptar a TI como un elemento importante del negocio. No se cuenta con experiencia implementación del marco de trabajo de control COBIT. No contar con un marco de referencia para la gestión de los proyectos en cuanto a su iniciación, planificación, ejecución, control y cierre, o aplicar ese marco de referencia deficientemente. Desarrollo de proyectos no alineados al Plan Estratégico Contar con un plan estratégico no alineado a la estrategia institucional. Gestión Gestión Gestión Gestión Operación Desconocimiento de la influencia que tiene las TIC sobre los proceso del negocio Falta de experiencia y desconocimiento del estándar No hay metodología oficial para la gestión de proyectos. Aceptar proyecto que no han sido validados contra el Plan Estratégico. O Desconocimiento del Plan Estratégico. Se modifica la estrategia y no se comunica Se desarrollan sistemas que no responden a la estrategia institucional Evitar Mitigar Evitar / Transfe rir IQT x x x 50% Mediana Mitigar Mitigar Área de Tecnologías Equipo de trabajo, Área de Tecnologías Área de Tecnologías Equipo de Trabajo/Área de Tecnologías x x x x 80% Alta x x x 80% Alta Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega x x x 20% Muy Bajo Ing. Oscar Verano x x x 40% Bajo Ing. Oscar Verano, Jorge Luis Reyes Noriega 22

23 Nro. De Ref. R08 R09 R10 R11 Etapa B Descripción del problema Riesgo Causas Raíz Adquisición de soluciones automatizadas que no satisfagan las necesidades de la institución. Desarrollar productos que no cumplen con las especificaciones. Desarrollar productos basados en requerimientos incorrectos. Adquisición de tecnologías que no aportan valor a la organización. FASE 0. ANTEPROYECTO: R01 R02 R03 FASE 1. INICIO: Mala apreciación de áreas de Oportunidad Mal análisis de Requerimientos Mala Identificación de los interesados del Proyecto Gestión / Operación Gestión Gestión Gestión Análisis Gestión / Análisis Análisis R04 Recursos No contemplados Análisis Falta de un Instrumento de referencia, que alineé las necesidades y objetivos del IQT con Área de tecnologías Falta de una metodologías para Desarrollar Soluciones Automatizadas Ausencia de validación de requerimientos Se instalan tecnologías con base a convenios y no al plan estratégico Omitir o falta de visión sobre áreas de mejora Especificación de requerimientos no adecuada. No se validó el cumplimiento del producto. Falta de comunicación con las áreas involucradas Mal análisis en la gestión de las adquisiciones del proyecto 23 Tipo de Riesgo Amenaza Evitar Evitar Evitar Mitigar Evitar Evitar Mitigar Oportunidad Mitigar Categoría de Riesgo Área de Tecnologías Equipo de trabajo, Área de Tecnologías Equipo de trabajo, Área de Tecnologías Equipo de trabajo, Área de Tecnologías Equipo de trabajo, Área de Tecnologías Equipo de trabajo, Área de Tecnologías IQT, Equipo de trabajo y Área de Tecnologías Equipo de trabajo, Área de Alcance Objetivo de proyecto afectado Tiempo Costo Calidad Tipo de Impacto Directo Indirecto Probabilidad Prioridad Responsable x x 60% Mediana Ing. Oscar Verano x x x x x 80% Alta x x x x x 60% Mediana x x x x 20% Muy Bajo x x x 20% Muy Bajo x x 40% Bajo x x 20% Muy Bajo x x x x x 50% Mediana Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo Ing. Oscar Verano, Jorge Luis Reyes Noriega

24 Nro. De Ref. Descripción del problema Riesgo Causas Raíz Tipo de Riesgo Amenaza Oportunidad Categoría de Riesgo Alcance Objetivo de proyecto afectado Tiempo Costo Calidad Tipo de Impacto Directo Indirecto Probabilidad Prioridad Responsable Tecnologías R05 R06 Mala corroboración de los Requerimientos Mala evaluación de las propuestas de solución FASE 2. PLANEACIÓN: Gestión / Análisis Gestión Falta de capacidad para analizar y documentar requerimientos No seguir el Plan estratégico y no hacer una evaluación objetiva Evitar Evitar Equipo de trabajo, Área de Tecnologías Equipo de trabajo, Área de Tecnologías x x x x x 40% Bajo x x x x 40% Bajo Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega R07 Los recursos de la infraestructura tecnológica no son suficientes para atender las demandas de servicios. Análisis /Gestión / Operación No se planificaron las compras con base al crecimiento de la infraestructura. Se da un crecimiento en recursos no planificado Evitar Equipo de trabajo, Área de Tecnologías x x x 30% Bajo Ing. Oscar Verano, Jorge Luis Reyes Noriega R08 Se adquiere equipo no compatible con la infraestructura en uso. FASE 3. EJECUCIÓN Y PRUEBAS: R09 Instalación de parches sin seguir las recomendaciones del proveedor. Análisis / Diseño Operación Elaboración de especificaciones incorrectas. Aceptación de un modelo diferente. No se tiene control sobre los parches autorizados. No se revisa la documentación del proveedor Evitar Evitar Equipo de trabajo, Área de Tecnologías Equipo de trabajo, Área de Tecnologías x x x x 10% Muy Bajo x x x x 20% Muy Bajo Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega R10 Fallas en los servidores Infraestructur a Falta de capacidad del personal. El equipo se dañó. Se alteró la configuración. Alteración del sistema eléctrico Evitar Equipo de trabajo, Área de Tecnologías x x x x x 40% Bajo Ing. Oscar Verano, Jorge Luis Reyes Noriega 24

25 Nro. De Ref. Descripción del problema Riesgo Causas Raíz R11 Uso de software no licenciado Seguridad R12 R13 R14 R15 R16 R17 R18 Cambios de la red Red alámbrica e inalámbrica insegura. Defectos o daños de equipos de comunicación Defecto o daño de Cable Mala Configuración de Equipo Daños a equipo en la construcción Fallas eléctricas Infraestructur a Seguridad / Infraestructur a Seguridad / Infraestruct ura Infraestructur a Seguridad / Infraestructur a Infraestructur a Infraestructur a En el equipo de usuario final las políticas no estaban aplicadas Modificaciones o adecuaciones no contempladas La red es vulnerable, No se tiene la capacidad para configurar la seguridad adecuadamente en la red Manejo inapropiado de los equipos. Falta de calidad en los productos. Manejo inapropiado en la instalación del cableado. No cumple con el estándar de calidad en los productos. Falta de capacidad y conocimiento sobre la configuración. Falta de pericia y capacidad en el manejo delos equipos Instalación eléctrica no adecuada. Fallas en el suministro eléctrico. 25 Tipo de Riesgo Amenaza Evitar Mitigar Evitar Transfe rir Transfe rir Evitar Mitigar Transfe rir Oportunidad Categoría de Riesgo Equipo de trabajo, Área de Tecnologías IQT, Equipo de trabajo y Área de Tecnologías Equipo de trabajo, Área de Tecnologías Proveedores, Equipo de trabajo y Área de Tecnologías Proveedores, Equipo de trabajo y Área de Tecnologías Equipo de trabajo, Área de Tecnologías Equipo de trabajo, Área de Tecnologías Alcance Objetivo de proyecto afectado Tiempo Costo Calidad Tipo de Impacto Directo Indirecto Probabilidad Prioridad x 10% Muy Bajo x x x x 30% Bajo x x 40% Bajo x x x 5% Muy Bajo x x x 40% Bajo x x x x 20% Muy Bajo x x x x 30% Bajo Proveedores x x x 60% Mediana Responsable Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo, Proveedores Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo, Proveedores Ing. Oscar Verano, Jorge Luis Reyes Noriega Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo, Proveedores Ing. Oscar Verano, Jorge Luis Reyes Noriega, Depto. Administrativo, Proveedores