Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI.

Transcripción

1 Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. EDWARD FABIAN PENAGOS GRANADA UNIVERSIDAD TECNOLÓGICA DE PEREIRA FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN PEREIRA

2 En el proyecto de grado se propuso el definir una guía de procesos de auditoría interna para verificar el cumplimiento de los aspectos Gestión de comunicaciones y operaciones y Cumplimiento definido en la norma ISO 27001, el cual pueda ser utilizado en cualquier organización. Estos procesos sirven como una lista de chequeo para ayudarle al auditor interno a crear un informe de auditoría de los aspectos mencionados. Por lo tanto se le solicita su colaboración, como experto en el tema de seguridad de la información y la norma ISO 27001, para dar una valoración cuantitativa sobre si considera que con los procesos definidos en el proyecto se verifican efectivamente los controles especificados en el anexo A de los aspectos antes mencionados (A.10 y A.15) de la norma ISO La forma en que la auditoría de estos procesos va a ser llevada a cabo, está dividida en dos momentos, el momento previo a la auditoría y auditoría en sitio. La auditoría previa, es la etapa de recolección de la información relevante de los procesos y que este enmarcada dentro de lo necesario para dar unas buenas bases a la organización para posteriormente certificarse, en esta etapa, se solicitan documentos tales como políticas de seguridad, manuales de procedimientos, contratos, bitácoras, registros de auditoría entre otros, esto se hace con la finalidad de poder contextualizar al auditor cuáles serán los elementos más importantes a tener en cuenta y para cerciorarse luego que lo que se encuentra en los documentos, se está llevando a cabo en tiempo real en el sitio donde se realice la auditoría. Y la auditoría en sitio, es el momento en el cual, el auditor se presenta en donde se va realizar la auditoría y comienza a inspeccionar que todo lo que estaba en la documentación si está siendo cumplido, también observa que las mejoras y fallas que se hayan encontrado en auditorías pasadas si hayan sido solucionadas etc. Para medir el nivel de cumplimiento del proceso de auditoría interna con base en la norma se debe calificar cada indicador del aspecto en una escala de 0 a 5. Siendo 0 no cumple y 5 cumple completamente. 2

3 Cumplimiento con base en la norma ISO ASPECTO: Gestión de comunicaciones y operaciones (Auditoría Previa) Proceso Control Observaciones PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES RESPALDO GESTIÓN DE LA SEGURIDAD DE LAS REDES MANEJO DE LOS MEDIOS INTERCAMBIO DE LA INFORMACIÓN Documentación de los procedimientos de operación Gestión del cambio Distribución (segregación) de funciones Separación de las instalaciones de desarrollo, ensayo y operación Prestación del servicio Monitoreo y revisión de los servicios por terceros Gestión de los cambios en los servicios por terceras partes Gestión de la capacidad Aceptación del sistema Controles contra códigos maliciosos Controles contra códigos móviles Respaldo de la información Controles de las redes Seguridad de los servicios de la red Gestión de los medios removibles Eliminación de los medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información del negocio 3

4 SERVICIOS DE COMERCIO ELECTRÓNICO MONITOREO Comercio electrónico Transacciones en línea Información disponible al público Registro de auditorías Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas Sincronización de relojes Cumplimiento con base en la norma ISO ASPECTO: Gestión de comunicaciones y operaciones (Auditoría en Sitio) Proceso Control Observaciones PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES RESPALDO Documentación de los procedimientos de operación Gestión del cambio Distribución (segregación) de funciones Separación de las instalaciones de desarrollo, ensayo y operación Prestación del servicio Monitoreo y revisión de los servicios por terceros Gestión de los cambios en los servicios por terceras partes Gestión de la capacidad Aceptación del sistema Controles contra códigos maliciosos Controles contra códigos móviles Respaldo de la información 4

5 GESTIÓN DE LA SEGURIDAD DE LAS REDES MANEJO DE LOS MEDIOS INTERCAMBIO DE LA INFORMACIÓN SERVICIOS DE COMERCIO ELECTRÓNICO MONITOREO Controles de las redes Seguridad de los servicios de la red Gestión de los medios removibles Eliminación de los medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información del negocio Comercio electrónico Transacciones en línea Información disponible al público Registro de auditorías Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas Sincronización de relojes 5

6 Cumplimiento con base en la norma ISO ASPECTO: Cumplimiento (Auditoría Previa) Proceso Control Observaciones CUMPLIMIENTO DE LOS REQUISITOS LEGALES CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Protección de los registros de la organización Protección de los datos y privacidad de la información personal Prevención del uso inadecuado de los servicios de procesamiento de información Reglamentación de los controles criptográficos Cumplimiento con las políticas y las normas de seguridad Verificación del cumplimiento técnico Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información Cumplimiento con base en la norma ISO ASPECTO: Cumplimiento (Auditoría en Sitio) Proceso Control Observaciones CUMPLIMIENTO DE LOS REQUISITOS LEGALES Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Protección de los registros de la organización Protección de los datos y privacidad de la información personal Prevención del uso inadecuado de los servicios de procesamiento de información Reglamentación de los controles criptográficos 6

7 CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Cumplimiento con las políticas y las normas de seguridad Verificación del cumplimiento técnico Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información Para medir si el procedimiento de auditoría interna es claro se debe calificar cada indicador del aspecto en una escala de 0 a 5. Siendo 0 no claro y 5 totalmente claro. Cumplimiento con base en la norma ISO ASPECTO: Gestión de comunicaciones y operaciones (Auditoría Previa) Proceso Control Observaciones PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES Documentación de los procedimientos de operación Gestión del cambio Distribución (segregación) de funciones Separación de las instalaciones de desarrollo, ensayo y operación Prestación del servicio Monitoreo y revisión de los servicios por terceros Gestión de los cambios en los servicios por terceras partes Gestión de la capacidad Aceptación del sistema Controles contra códigos maliciosos Controles contra códigos móviles 7

8 RESPALDO GESTIÓN DE LA SEGURIDAD DE LAS REDES MANEJO DE LOS MEDIOS INTERCAMBIO DE LA INFORMACIÓN SERVICIOS DE COMERCIO ELECTRÓNICO MONITOREO Respaldo de la información Controles de las redes Seguridad de los servicios de la red Gestión de los medios removibles Eliminación de los medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información del negocio Comercio electrónico Transacciones en línea Información disponible al público Registro de auditorías Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas Sincronización de relojes 8

9 Cumplimiento con base en la norma ISO ASPECTO: Gestión de comunicaciones y operaciones (Auditoría en Sitio) Proceso Control Observaciones PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES GESTIÓN DE LA PRESTACIÓN DEL SERVICIO POR TERCERAS PARTES PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS Y MÓVILES RESPALDO GESTIÓN DE LA SEGURIDAD DE LAS REDES MANEJO DE LOS MEDIOS INTERCAMBIO DE LA INFORMACIÓN Documentación de los procedimientos de operación Gestión del cambio Distribución (segregación) de funciones Separación de las instalaciones de desarrollo, ensayo y operación Prestación del servicio Monitoreo y revisión de los servicios por terceros Gestión de los cambios en los servicios por terceras partes Gestión de la capacidad Aceptación del sistema Controles contra códigos maliciosos Controles contra códigos móviles Respaldo de la información Controles de las redes Seguridad de los servicios de la red Gestión de los medios removibles Eliminación de los medios Procedimientos para el manejo de la información Seguridad de la documentación del sistema Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información del negocio 9

10 SERVICIOS DE COMERCIO ELECTRÓNICO MONITOREO Comercio electrónico Transacciones en línea Información disponible al público Registro de auditorías Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas Sincronización de relojes Cumplimiento con base en la norma ISO ASPECTO: Cumplimiento (Auditoría Previa) Proceso Control Observaciones CUMPLIMIENTO DE LOS REQUISITOS LEGALES CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Protección de los registros de la organización Protección de los datos y privacidad de la información personal Prevención del uso inadecuado de los servicios de procesamiento de información Reglamentación de los controles criptográficos Cumplimiento con las políticas y las normas de seguridad Verificación del cumplimiento técnico Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información 10

11 Cumplimiento con base en la norma ISO ASPECTO: Cumplimiento (Auditoría en Sitio) Proceso Control Observaciones CUMPLIMIENTO DE LOS REQUISITOS LEGALES CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Protección de los registros de la organización Protección de los datos y privacidad de la información personal Prevención del uso inadecuado de los servicios de procesamiento de información Reglamentación de los controles criptográficos Cumplimiento con las políticas y las normas de seguridad Verificación del cumplimiento técnico Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información 11

12 Encuesta Validación En una escala de 0 a 5, donde 0 es complicado de usar y 5 fácil de usar la herramienta creada en Bizagi, como considera el uso de la herramienta. R//: En una escala de 0 a 5, donde 0 es no se entiende y 5 se entienden las actividades contempladas en la herramienta Bizagi, como considera la claridad de las actividades. R//: El tiempo para desarrollar la auditoría se consideró rápido?: R//: Cuánto tiempo se demora generar informes en la manera que lo vienen realizando? R//: Cuánto tiempo se demora generar informes con la herramienta creada en Bizagi? R//: Considera que los resultados obtenidos con la herramienta Bizagi son útiles para mejorar sus procedimientos y acercarse más a lo contemplado en la norma ISO e ISO 27002? R//: Considera que los resultados obtenidos con la herramienta Bizagi sirven para hacer una comparación con los análisis internos que realizan en la organización y así abarcar otros aspectos que no han sido tomados en cuenta? R//:

13 Considera que los pre-informes se muestran de manera clara y ordenada? R//:

14 Contenido 1. ASPECTOS GENERALES DE LA AUDITORÍA Auditoría y tipos de auditoria Auditoria interna Metodología para definición de procesos Consideraciones generales de los procesos Descripción de la auditoría AUDITORIA EMPRESA PILOTO Realizando una auditoría por primera vez Inicio de la auditoría Solicitud y revisión de documentos Realización de las actividades de auditoría Preparación y distribución del reporte de auditoría Finalización de la auditoría Validación de la Hipótesis... 13

15 1. ASPECTOS GENERALES DE LA AUDITORÍA La finalidad de realizar una auditoría es con el fin de establecer si el sistema de gestión con el cual está trabajando la organización si está siendo efectivo, para ello se deben establecer los objetivos a cumplir una vez se es auditado, estos varían según el tamaño y complejidad de la organización, el alcance, funcionalidad, etc., y para lograr esto, se deben implementar controles internos para alcanzar estos objetivos. En el libro Auditoría del control interno se definen los controles internos como un conjunto de normas, procedimientos y técnicas a través de las cuales se mide y corrige el desempeño para asegurar la consecución de objetivos y técnicas. Como conjunto constituye un todo, un QUE, esto es, un objetivo. Por ello está muy ligado al poder (social, cultural, político, económico, religioso, etc.). Por eso el control, como tal, busca asegurar la consecución de los objetivos. 1 El término auditoría se puede encontrar de varias formas, pero todas ellas concuerdan con el objetivo de esta, encontrar evidencias para evaluar el grado en que se están cumpliendo y llevando a cabo los objetivos. He aquí algunas de las definiciones. La norma ISO 9000: 2000 define una Auditoría de Calidad como: Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se cumplen los criterios de auditoría 2 La norma define auditoría como Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría Y en el libro Auditoría de sistemas una visión práctica se define la auditoría de sistemas como La parte de la auditoría interna que se encarga de llevar a cabo la evaluación de las normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiablidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de computadores; es decir, en estas evaluaciones se está involucrando tanto los elementos técnicos como humanos que intervienen en el proceso de la información 3 A partir de este último concepto partimos del hecho que hay varios tipos de auditoría, así como existen las auditorías internas, también las hay externas. 1 Tomado del libro AUDITORIA DEL CONTROL INTERNO p Tomado del libro AUDITORÍA DE SISTEMAS UNA VISIÓN PRÁCTICA p.9

16 1.1 Auditoría y tipos de auditoria Auditoria Interna: A veces llamada auditoría de primera parte, es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica. 4 Auditoría externa: se compone de Auditoría a proveedores y Auditorías de Tercera parte 5 Auditoría a proveedores: A veces llamada auditoría de segunda parte, es una parte interesada, como un cliente (de la empresa) o un inversor Auditoría de tercera parte: Esta es para propósitos legales, regulatorios y similares. Certifica el cumplimiento de requisitos como los de las normas ISO 6 Para la gestión de la seguridad de la información, encontramos que la norma ISO con el modelo Planear-Hacer-Verificar y Actuar (PHVA) es el más utilizado en Colombia 7, y el objetivo de este y objetivo primordial de las organizaciones es mantener la información segura y de los sistemas que la procesen, ya que es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. 8 Las fases de este sistema de gestión de seguridad de la información (SGSI) están de manera específica en la figura [1.1] Tomado de la norma ISO DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.5 y 8 6 Tomado del libro GESTION DE LA CALIDAD p

17 Figura [1.1]: Ciclo de mejora continua Planear Hacer Verificar y Actuar (PHVA) Fuente: norma ISO Para el desarrollo de este proyecto, se enfatizara en dos procesos para auditoría interna de la norma ISO 27001:2005: Gestión de comunicaciones y operaciones Cumplimiento De los cuales se hablará más adelante, pero antes se hará una descripción de una auditoría interna de los SGSI. 1.2 Auditoria interna La ISO ha venido desarrollando la norma ISO que contiene las directrices para la auditoría de los Sistemas de Gestión, en ella se contempla todo lo que debe tenerse en cuenta a la hora de realizar una auditoría Gestión de un programa de auditoría Realización de auditoría Competencia y evaluación de auditores 9

18 En la figura [1.2] está el proceso PHVA con su respectivo capítulo de la norma para tener más conocimiento de su implementación. Figura [1.2]: Diagrama del flujo del proceso para la gestión de un programa de auditoría Fuente: norma ISO DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN Tomado de la norma ISO DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN p.15

19 En la implementación del programa de auditoría, en las actividades de auditoría; está la generación de informes. En estos informes específicamente para el SGSI, debe tenerse en cuenta ya que pueden indicar algunas de las siguientes consideraciones según la evaluación realizada: 1. Existe alguna anomalía: Establecer si todo está correcto o existe alguna falla. 2. Observaciones: las cuales no tiene excesiva relevancia, pero deben ser tenidas en cuenta en la siguiente fase de auditoría, para ser revisadas en el momento o para tenerla en cuenta en el siguiente ciclo de mejora. 3. No conformidades menores: Son incidencias encontradas en la implantación del SGSI, subsanables mediante la presentación de plan de acciones correctivas, en el que se identifica la incidencia y la manera de solucionarla. 4. No conformidades mayores: Las cuales deben ser subsanadas por la empresa; sin su resolución y en la mayor parte de los casos, sin la realización de una auditoría extraordinaria por parte de la entidad de certificación, no se obtendrá el certificado, ya que se trata de incumplimientos graves de la norma. Se deben incluir la verificación de las acciones tomadas y el reporte de los resultados de la verificación. Es por esto que en el modelamiento de procesos del que trata este proyecto, se consideran los campos en las formas necesarios para que el auditor ingrese estos parámetros y los tenga disponibles para realizar el informe de auditoría de forma más precisa. 2.3 Metodología para definición de procesos Para la definición de procesos se consideró las propiedades que debe reunir un buen modelo de procesos según lo indicado en la metodología Magerit: El proceso: Tiene un objetivo claramente definido Permite obtener una visión general y de detalle de los procesos Identifica eventos que disparan actividades del proceso Identifica conexiones lógicas entre actividades Establece las relaciones con el cliente final Actúa como repositorio y organizador del proceso de información Ayuda en la identificación de las áreas con problemas que afecten al nivel de satisfacción del cliente Contiene gráficos y texto

20 Crea un vocabulario común Para el cumplimiento de estas características se definió el siguiente formato que será utilizado para describir los procesos principales y los procesos de apoyo, en este formato se explica el contenido que debe indicarse en cada apartado: Tabla [2.3]: Descripción general de procesos Fuente: Definición de procesos de auditoría interna del sistema de gestión de seguridad de la información soportado en TIC's Consideraciones generales de los procesos Para cada uno de los procesos de este proyecto se tiene un modelo de datos, los cuales se presentan en la tabla [1.5], los atributos del modelo de datos representan la información que se requiere almacenar para cada proceso y están 11 Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.38

21 relacionados con las actividades, en él se consideran las formas de evaluar cada aspecto, Todo está correcto, Observaciones, No conformidad mayor, No conformidad menor, así como el control, que permiten al auditor continuar con la auditoría y algunas variables propias para definir el flujo del proceso. Existen dos tipos de actividades que pueden ser encontradas en los procesos descritos, las actividades de verificación y/o revisión y las de declaración de no conformidades, para cada una de estas, se definió una forma a través de la cual el auditor puede agregar información del proceso para posteriormente realizar el informe de auditoría final. 12 Tabla [1.5]: Actividades de verificación y/o revisión MODELO DE DATOS 12 Universidad Tecnológica de Pereira, Tomado de la tesis DEFINICIÓN DE PROCESOS DE AUDITORÍA INTERNA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TIC'S p.34-39

22 FORMA DE VERIFICACIÓN Y/O REVISIÓN FORMA DE DECLARACIÓN DE NO CONFORMIDAD FORMA DE RESUMEN 1.5 Descripción de la auditoría Para obtener las actividades que se emplearon en el modelamiento y automatización de estos procesos, se realizó una revisión de la Guía de auditoría ISO 27k ISMS implementers forum (Inglés y español), la ISO-IEC y el Check list Sans Institute, esto con el fin de darle al auditor las herramientas y los ítems relevantes en los procesos que se describen más adelante. La forma en que la auditoría de estos procesos va a ser llevada a cabo, está dividida en dos momentos, el momento previo a la auditoría y auditoría en sitio. La auditoría previa, es la etapa de recolección de la información relevante de los procesos y que este enmarcada dentro de lo necesario para dar unas buenas

23 bases a la organización para posteriormente certificarse, en esta etapa, se solicitan documentos tales como políticas de seguridad, manuales de procedimientos, contratos, bitácoras, registros de auditoría entre otros, esto se hace con la finalidad de poder contextualizar al auditor cuáles serán los elementos más importantes a tener en cuenta y para cerciorarse luego que lo que se encuentra en los documentos, se está llevando a cabo en tiempo real en el sitio donde se realice la auditoría. Y la auditoría en sitio, es el momento en el cual, el auditor se presenta en donde se va realizar la auditoría y comienza a inspeccionar que todo lo que estaba en la documentación si está siendo cumplido, también observar que las mejoras y fallas que se hayan encontrado en auditorías pasadas si hayan sido solucionadas y que la documentación se encuentra disponible para el personal (autorizado) en todo momento que lo necesite. Se debe tener en cuenta que no todas las actividades tienen ambos momentos de la auditoría, existen algunas actividades que solo pueden ser comprobadas en sitio, o que se pueden realizar de manera previa, por ejemplo, no es necesario estar en sitio para pedir manuales y analizarlos, pero si es necesario estar en sitio para corroborar que los tiempos de restauración de backups si cumplen con el tiempo especificado. En los formularios de descripción de procesos asociados a cada uno de estos aspectos de la norma, se encuentran divididas las actividades que se deben llevar a cabo en cada momento para facilitar el trabajo del auditor como también se encuentran los documentos y las herramientas de apoyo que debe solicitar para garantizar el cumplimiento de cada una de las actividades. 2. AUDITORIA EMPRESA PILOTO Para realizar la prueba de auditoría se envió una carta a una empresa de la región solicitando autorización para hacer una validación de los modelos automatizados anteriormente con la herramienta Bizagi. En esta carta se informó que aspectos de la norma iban a ser analizados y se dio un aproximado de la duración de la auditoría tanto para el análisis de documentación como para la validación en sitio. Junto con la carta, también fue anexado el plan de trabajo de auditoría donde se especificaban los documentos requeridos para hacer la validación como también estaban contemplados los aspectos con los controles a cumplir, el método de validación y los recursos necesarios para validar cada control en específico.

24 Para poder tener acceso al sitio y a la documentación de esta empresa, se firmó un acuerdo de confidencialidad y sesión de derechos, donde el auditor se comprometía a guardar absoluta discreción sobre la identidad de la organización, las personas involucradas en este proceso y la documentación y hallazgos con el fin de mantener la confidencialidad de la información. Esta empresa trabaja con el Modelo Estándar de Control Interno (MECI) como se muestra en la Figura [2.1]. Figura [2.1]: Modelo de Control Interno Fuente: Empresa colaboradora 2.1 Realizando una auditoría por primera vez Como se había mencionado previamente durante el desarrollo de este proyecto en el capítulo 1, para realizar una auditoría se emplearía la norma ISO la cuál presenta una serie de pasos que fueron tomados como punto de partida para validar este proyecto. Estas actividades son las que se mencionan a continuación: Inicio de la auditoría Alcance: Auditar los aspectos asociados a la seguridad de la información: Gestión de comunicaciones y operaciones y Cumplimiento con un tiempo aproximado de 12 días para el análisis previo, y 5 días para la validación en sitio. Objetivo: Conocer el cumplimiento de los controles de seguridad de la información referentes a los aspectos Gestión de comunicaciones y operaciones y Cumplimiento

25 Criterios de auditoría: Todo correcto. Observaciones. No conformidad mayor No conformidad menor Solicitud y revisión de documentos Para la realización de la auditoría, se solicitaron los documentos asociados a los aspectos mencionados anteriormente, entre los documentos se encuentran los siguientes: Declaración de aplicabilidad. Política de seguridad de la información. Manuales de procedimientos. Documento de roles y responsabilidades. Registros de auditoría y todo lo relacionado con la parte de cumplimiento para los controles involucrados. Posteriormente se procedió a verificar que estos procedimientos si son efectuados y que esta información también se encuentra completa en sitio para el personal (autorizado) en todo momento que lo necesite. En esta etapa, se debía tener en cuenta que la organización está en el proceso de implementación del SGSI y por consiguiente no pudo ser suministrada con anterioridad toda la información necesaria para hacer un análisis de documentación más detallado, los documentos a los que se pudo tener acceso fueron los que ya estaban tramitados en calidad y que se encuentran disponibles al público. Por lo tanto, algunas de las actividades que se debían desarrollar previamente, tuvieron que ser validadas en sitio Realización de las actividades de auditoría Antes de realizar la auditoría se tuvieron en cuenta las siguientes actividades: Se hizo una pequeña presentación del plan de trabajo de auditoría. Se realizó la presentación de la Metodología a utilizar. Se auditaron los aspectos definidos en el alcance. Se escucharon los comentarios y observaciones sobre el proceso desarrollado.

26 Cierre de la reunión Preparación y distribución del reporte de auditoría Con los procesos modelados y automatizados con la herramienta Bizagi, se obtuvo como resultado de la auditoría previa y en sitio unos informes parciales donde estaban contenidas las observaciones y no conformidades encontradas en la empresa, los cuales se pueden observar en el apéndice y que posteriormente fueron utilizados para la construcción del informe final Finalización de la auditoría Inicialmente se explicó el uso y funcionamiento de la herramienta y luego se presentaron los pre-informes que fueron socializados con el profesional de desarrollo para su aprobación y luego compartir los resultados con la dirección. Luego de su aprobación, se procedió a realizar el informe final que fue analizado nuevamente con el profesional de desarrollo y la jefe de división. 2.2 Validación de la Hipótesis Los procesos se diseñaron con base en la norma ISO 27001:2005 y la ISO 27002, la Guía de auditoría ISO 27k ISMS implementers fórum y el Check list SANS Institute que posteriormente se modelaron y automatizaron en la herramienta Bizagi, estos modelos fueron probados por el autor del proyecto para corroborar que la información almacenada se mantuviera y no se presentara algún tipo de alteración durante el desarrollo del proceso. Por otra parte, estos modelos también fueron verificados por expertos en la región en ISO para finalmente ser validado en el entorno real de una organización. Para este proyecto se definieron los siguientes procesos y procesos de soporte. Tabla [2.1]: Procesos definidos Procesos principales Gestión de comunicaciones y operaciones. Procesos de soporte Procedimientos operacionales y responsabilidades. Gestión de la prestación del servicio por terceras partes. Planificación y aceptación del sistema. Protección contra códigos maliciosos y móviles. Respaldo.

27 Gestión de la seguridad de las redes. Manejo de los medios. Intercambio de la información. Servicios de comercio electrónico. Monitoreo. Cumplimiento. Cumplimiento de los requisitos legales. Cumplimiento de las políticas y las normas de seguridad. Consideraciones de la auditoría de los sistemas de información Fuente: Autor En la tabla [2.2] se especifican las variables para validar la hipótesis. Tabla [2.2] Variables validadas en la hipótesis. Variable Indicador esperado Indicador obtenido Número de procesos Fuente: Autor

28 Sistema de gestión de seguridad soportado en TIC s para realizar una porte a la competitividad de las empresas de la región INFORME FINAL DE AUDITORÍA INFORME FINAL DE AUDITORÍA DE LOS ASPECTOS Gestión de comunicaciones y operaciones y Cumplimiento. Auditoría realizada como parte del proyecto de grado Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. para verificar el cumplimiento de los aspectos Gestión de comunicaciones y operaciones y Cumplimiento de la norma ISO ALCANCE, OBJETIVOS, CRITERIOS Y METODOLOGÍA Alcance: Auditar los aspectos asociados a la seguridad de la información: Gestión de comunicaciones y operaciones y Cumplimiento. Objetivo: Conocer el cumplimiento de los controles de seguridad de la información referentes a los aspectos Gestión de comunicaciones y operaciones y Cumplimiento Criterios de auditoría: Todo correcto. Observaciones. No conformidad mayor No conformidad menor Metodología Para realizar la auditoría, se establecieron dos momentos, uno para el análisis de documentación, etapa en la cual la se hace una revisión de los procedimientos y la información que la organización suministró para los dos aspectos mencionados anteriormente y un segundo momento in situ, en el cual se procede a verificar que los procedimientos que están documentados si se ejecutan conforme a lo que está escrito y cerciorarse que la información se encuentra disponible para el personal (autorizado) en todo momento que lo necesite. Tiempo estimado para la auditoría previa: 12 días. Aspecto gestión de comunicaciones y operaciones: 10 días Aspecto cumplimiento: 2 días Tiempo real. Aspecto gestión de comunicaciones y operaciones: 1 día, 4 horas. Aspecto cumplimiento: 4 horas.

29 Sistema de gestión de seguridad soportado en TIC s para realizar una porte a la competitividad de las empresas de la región Tiempo estimado para la auditoría en sitio: 5 días Aspecto gestión de comunicaciones y operaciones: 3 días Aspecto cumplimiento: 2 días Tiempo real. Aspecto gestión de comunicaciones y operaciones: 2 horas Aspecto cumplimiento:1 hora 2. RESULTADOS DE LA AUDITORÍA Una vez finalizada la auditoría en los aspectos Gestión de comunicaciones y operaciones y Cumplimiento se encontraron los siguientes resultados: 2.1 Situaciones de no conformidad en la auditoría previa: Gestión de comunicaciones y operaciones No hay una política de seguridad completamente definida. No hay una división física entre los ambientes de producción y desarrollo, la división se encuentra a nivel lógico en el servidor. Los niveles de prestación de servicios con el tercero se acuerdan al realizar los contratos, pero después de ello no se ejercen labores de vigilancia para constatar el cumplimiento de los términos. Solo se ha realizado una prueba de restauración de un back up y se tardó 24 horas y a partir de este resultado se basan para hacer cálculos. No hay un procedimiento definido para la administración de los medios removibles del computador tales como cintas, discos, casetes, memorias y reportes. No existe un documento donde se registre que han sido eliminados elementos sensibles, a fin de mantener un rastro de auditoría. Hay un LOG de fallas presentadas en el sistema, pero no hay un registro del procedimiento empleado para solventar dicha falla.

30 Sistema de gestión de seguridad soportado en TIC s para realizar una porte a la competitividad de las empresas de la región Riesgos asociados No se pueden certificar en ningún sistema de gestión de seguridad de la información si no hay una política definida. No se puede tener control sobre posibles alteraciones de código ya que no se tienen áreas de trabajo específicas para cada fase de desarrollo. Se pueden estar incumpliendo términos establecidos en el contrato de la prestación de servicios y no se está ejerciendo ningún tipo de control. No se puede tener garantía solo con una prueba que la restauración que hagan de cualquier back up tomará un día. No se puede llevar trazabilidad sobre los elementos que han sido eliminados. Se pueden gastar recursos innecesarios en la búsqueda de soluciones para solventar fallas que se han presentado antes debido a que no hay un registro de los procedimientos realizados para solucionar problemas presentados con anterioridad. Cumplimiento El documento donde están siendo definidos explícitamente los estatutos relevantes, regulaciones y requerimientos contractuales para cada sistema de información esta apenas en construcción. El documento donde estén especificados los controles y las responsabilidades individuales para cumplir con estos requisitos está en fase de desarrollo. La estructura de gestión y control para proteger los datos y la privacidad de la información personal está en fase de desarrollo. La dirección no aborda labores de monitoreo Riesgos asociados No es posible determinar que se están logrando los objetivos generales y específicos de la organización si la dirección cabeza del negocio omite labores de vigilancia.

31 Sistema de gestión de seguridad soportado en TIC s para realizar una porte a la competitividad de las empresas de la región 2.2 Situaciones de no conformidad en sitio: Gestión de comunicaciones y operaciones. No se están empleando las labores asociadas a la seguridad de la información por parte del personal por falta de procedimientos y cultura. No hay acuerdos para realizar funciones de auditoría y supervisión sobre los servicios acordados con terceros por lo tanto tampoco existe una persona o equipo que realice esta función. No se cuenta con una política bien definida sobre la utilización de códigos móviles. No se realiza supervisión sobre las características de seguridad que se deben tener en cuenta en el almacenamiento para cada tipo de medio removible, como las condiciones de almacenamiento recomendadas por el fabricante. No existen procedimientos para la eliminar los medios de comunicación que ya no son utilizados. No se cuenta con medios de comunicación alternativos para afrontar situaciones con incidentes reales. No se verifican los resultados fruto del monitoreo de las actividades del sistema Riesgos asociados: No se encuentran procedimientos detallados y para algunos casos no se encuentran los procedimientos para la operación de labores cotidianas y puede dificultar el trabajo de los encargados causando que no se hagan de la manera apropiada. Se pueden presentar riesgos en los desarrollos de software por la falta de división física en los ambientes de desarrollo ya que no se pueden ejercer mecanismos de control para comprobar que tipo de actividad se están realizando en cada ambiente. La falta de acuerdos entre la organización y las partes externas no permite que se lleve control sobre los niveles de servicio acordados y no se pueden analizar los riesgos asociados a cualquier tipo de

32 Sistema de gestión de seguridad soportado en TIC s para realizar una porte a la competitividad de las empresas de la región modificación que hagan en el procesamiento de información y a los medios para hacerlo. Si no se cuenta con procedimientos definidos o planes de contingencia para afrontar situaciones de emergencia, en caso que se presenten, la continuidad del negocio se puede ver afectada con consecuencias legales y económicas. Ignorar las fallas cuando se presentan, puede causar que la organización más adelante tenga que invertir más recursos en acciones correctivas. Cumplimiento Al momento del registro de inicio, no existe un mensaje de advertencia que indique que el servicio de procesamiento de información al cual se está ingresando es propiedad de la organización y que no se permite el acceso no autorizado No existe ningún tipo de mecanismo para determinar si los controles criptográficos cumplen todos los acuerdos, las leyes y los reglamentos pertinentes Es considerado dentro de todas las áreas de la organización una revisión periódica para asegurar el cumplimiento de las políticas de seguridad, estándares y procedimientos y los sistemas de información son controlados regularmente para cumplir con la implementación de los estándares de seguridad pero no hay ninguna política que defina cuales son los niveles de servicio que deben cumplir Riesgos asociados Personas ajenas a la organización podrían realizar modificaciones, extraer información, ingresar a lugares críticos del sistema y salir bien librados de cualquier consecuencia legal ya que no hay una evidencia clara de haber cometido una infracción. En caso de que la banca cometa una omisión sobre los controles criptográficos la organización puede acarrear sanciones económicas y jurídicas ya siempre debe cerciorarse que se estén cumpliendo los controles debido a que ambas partes son responsables.

33 Sistema de gestión de seguridad soportado en TIC s para realizar una porte a la competitividad de las empresas de la región Información sensible puede quedar expuesta ya que no se define que niveles de servicios y hasta qué punto deben ser analizados. 2.3 Recomendaciones: Durante el desarrollo de la auditoría se tuvo conocimiento que muchas de las inconformidades presentadas se deben a la falta de recursos y personal, debido a eso y apoyándome de la siguiente oración extraída de la política de seguridad de la información de la organización: Para la organización la información es considerada como un activo de valor estratégico, se debe realizar una consecución de recursos para solventar todas la inconformidades asociadas a los problemas de seguridad actuales y futuros, entre estos recursos se debe realizar inversión en personal y en compra y alquiler de equipos de cómputo para realizar pruebas. Se debe contar con procedimientos más detallados para realizar las tareas operativas con más claridad. Se deben establecer auditorías periódicas con los prestadores de servicios, solicitar informes con cambios que ellos realicen que puedan afectar la continuidad del negocio, realizar revisiones de los términos convenidos en el contrato. La dirección debe ejercer labores continuas de monitoreo sobre las actividades relevantes, bien sea realizando reuniones periódicas con el jefe de área, con todos los temas a tener en cuenta, producción, seguridad, metas, etc. O a través de informes periódicos presentados por los miembros del equipo de desarrollo para su posterior revisión. Con la finalidad de poder certificar la organización en algún sistema de gestión de seguridad de la información se debe contar con prontitud con documentos como: Política de seguridad, documento de riesgos y documento de aplicabilidad. 2.4 Hallazgos durante la auditoría. Uno de los aspectos que más resaltan en esta auditoría fueron los resultados obtenidos en cuanto a los tiempos de auditoría estimados frente a los reales, una de las razones fue debido a que no se tuvo

34 Sistema de gestión de seguridad soportado en TIC s para realizar una porte a la competitividad de las empresas de la región acceso total a los documentos, por otra parte, como se mencionó en las recomendaciones, hace falta documentación que todavía no se encuentra a disposición del público, por lo tanto no toda la información pudo ser analizada y tuvo que ser validada en sitio, y es aquí donde se produjo una disminución considerable en los tiempos y fue gracias a que la persona que me acompañó durante el proceso tenía un conocimiento total sobre el funcionamiento de la organización y de los procesos involucrados para validar los modelos, y es por ello que muchas de las actividades que se debían resolver previamente fueron solventadas con rapidez y eficiencia. En muchos de los procedimientos existen roles que no están definidos en el documento de roles de la organización. Se presenta una ambigüedad entre función y responsabilidad, ya que algunos de los procedimientos que aparecen a cargo de una persona, aparece en funciones para unos y en responsabilidades para otros. Hay personas que desarrollan tareas que no aparecen asociadas en su rol. Algunos procedimientos tienen un nombre al interior del procedimiento, diferente al que aparece en el listado de procedimientos en el portal web. Algunos de los roles no aparecen con el mismo nombre que aparece en el portal web. Algunos procedimientos es sus actividades tienen como responsables a varias personas, sin embargo, en la parte donde se hace la descripción de los roles, no aparecen todos los procedimientos que este cargo involucra. Ya que algunos roles tienen asignado el mismo código, hace muy confusa la tarea de averiguar qué persona es responsable de una determinada actividad, se sugiere asignar un código a cada miembro o escribir el nombre completo del cargo en el procedimiento en la parte de responsable.

35 MANUAL

36 Contenido MANUAL 1. OBJETIVO Qué es BPMN? Por qué es importante modelar con BPMN? Instalando Bizagi BPMN Conociendo la interfaz de Bizagi Process Modeler Elementos gráficos de BPMN Objetos de flujo Eventos: Canales Artefactos Instalación Bizagi edición.net Consideraciones de Bizagi BPMN y Bizagi Studio Ejecutando un proceso desde Bizagi BPMN Conociendo la interfaz de Bizagi Studio Model Process: Model Data Define Forms Business Rules Usando la herramienta Consideraciones importantes Utilizando el proyecto automatizado Links adicionales... 31

37 1. OBJETIVO El objetivo de este documento es brindar una ayuda al auditor, para que se familiarice con la herramienta Bizagi BPMN para el modelado de procesos y Bizagi XPRESS para la automatización de procesos. Se dará una breve descripción sobre los elementos de la herramienta que serán suficientes para que el auditor pueda comenzar a utilizarla. Adicional a ello, se explicará cómo utilizar los procesos automatizados para realizar los procesos de auditoría en los aspectos GESTIÓN DE COMUNICACIONES Y OPERACIONES y CUMPLIMIENTO. 2. Qué es BPMN? Business Process Model and Notation (BPMN) es una notación gráfica que describe la lógica de los pasos de un proceso de Negocio. Esta notación ha sido especialmente diseñada para coordinar la secuencia de los procesos y los mensajes que fluyen entre los participantes de las diferentes actividades. BPMN proporciona un lenguaje común para que las partes involucradas puedan comunicar los procesos de forma clara, completa y eficiente. De esta forma BPMN define la notación y semántica de un Diagrama de Procesos de Negocio (Business Process Diagram, BPD). BPD es un diagrama diseñado para representar gráficamente la secuencia de todas las actividades que ocurren durante un proceso, basado en la técnica de Flow Chart, incluye además toda la información que se considera necesaria para el análisis. BPD es un diagrama diseñado para ser usado por los analistas, quienes diseñan, controlan y gestionan procesos. Dentro de un Diagrama de Procesos de Negocio BPD se utiliza un conjunto de elementos gráficos, agrupados en categorías, que permite el fácil desarrollo de diagramas simples y de fácil comprensión, pero que a su manejan la complejidad inherente a los procesos de negocio Por qué es importante modelar con BPMN? BPMN es un estándar internacional de modelado de procesos aceptado por la comunidad. BPMN es independiente de cualquier metodología de modelado de procesos. 1 Tomado de p.2 2

38 BPMN crea un puente estandarizado para disminuir la brecha entre los procesos de negocio y la implementación de estos. BPMN permite modelar los procesos de una manera unificada y estandarizada permitiendo un entendimiento a todas las personas de una organización Instalando Bizagi BPMN Para comenzar a utilizar Bizagi BPMN se accede al siguiente link desde donde se podrá realizar la descarga ( emid=267) Una vez descargado, se ejecuta y lo primero que saldrá será una ventana como esta, pulse Aceptar En la ventana que sale a continuación no se debe realizar ninguna acción, se debe dejar así hasta que aparezca la ventana de instalación de Bizagi Process Modeler. 2 Tomado de p.2 3

39 Pulse Siguiente y aparecerán los términos de acuerdo de licencia. Acepto los términos del acuerdo de licencia y pulse Siguiente. 4

40 Saldrá una ventana como se muestra a continuación, en esta se deben rellenar los campos (puede ser su propio nombre en ambos), pulse Siguiente A continuación se define el lugar de instalación, viene el disco (C:\) por defecto. Pulse Siguiente. 5

41 Pulse Instalar para comenzar con el proceso. Acto seguido, aparecerá una ventana en la cual no se debe realizar alguna operación, solo esperar. 6

42 Una vez terminado el proceso de instalación saldrá un recuadro como el que se muestra, pulse Finalizar y el proceso habrá terminado. 5. Conociendo la interfaz de Bizagi Process Modeler Cuando el proceso de instalación de Bizagi Process Modeler se ha completado, deberá aparecer en el escritorio un icono como este. 7

43 De clic dos veces sobre él, hasta que salga una ventana como esta. OPCIONAL: en caso de que se esté trabajando con una versión anterior (No es indispensable actualizarla para poder trabajar) Puede seleccionar la opción Después o Descargar dependiendo de su interés. 5.1 Elementos gráficos de BPMN Estando ya en el programa, se pueden observar una serie de elementos gráficos de BPMN, estos elementos se encuentran clasificados en 4 categorías: Objetos de flujo. Objetos de conexión. Canales. Artefactos Objetos de flujo Son los principales elementos gráficos que definen el comportamiento de los procesos. Dentro de los objetos de Flujo encontramos: Eventos: Son algo que sucede durante el curso de un proceso de negocio, afectan el flujo del proceso y usualmente tienen una causa y un resultado. 8

44 Dentro de los anteriores ejemplos utilizamos inicio, fin y temporizador, estos elementos son eventos y a su vez se encuentran clasificados en 3 tipos. Dentro de BPMN existen muchas formas de iniciar o finalizar un proceso e igualmente existen muchas cosas que pueden llegar a suceder durante el transcurso del proceso, por lo tanto existen diferentes tipos de eventos de inicio, eventos de fin y eventos intermedios. Actividades: Estas Representan el trabajo que es ejecutado dentro de un proceso de negocio. Las actividades pueden ser compuestas o no, por lo que dentro del proyecto, fueron utilizados los dos tipos de actividades existentes: Dentro de los anteriores ejemplos existen diferentes tipos de tareas (Simple, automáticas, manuales, de usuario, entre otras) y de subprocesos (embebido, reusable, etc.) que nos permiten diagramar con más profundidad los procesos suministrando más información y claridad al lector 3 Compuertas Son elementos del modelado que se utilizan para controlar la divergencia y la convergencia del flujo. Existen 5 tipos de compuertas, dentro de los ejemplos desarrollados en este documento pudimos ver el uso de la compuerta Exclusiva y de la compuerta Inclusiva Los 5 tipos de compuertas son: Compuerta Exclusiva Compuerta Basada en eventos Compuerta Paralela Compuerta Inclusiva Compuerta Compleja 3 Tomado de p.21 9

45 Objetos de conexión Son los elementos usados para conectar dos objetos del flujo dentro de un proceso. Dentro de los ejemplos utilizamos la Líneas de secuencia, que conectan los objetos de flujo, y las asociaciones, que son las líneas punteadas que nos permitieron asociar anotaciones dentro de algunos flujos. Existen 3 tipos de objetos de conexión: Líneas de Secuencia Asociaciones Líneas de Mensaje Canales Son elementos utilizados para organizar las actividades del flujo en diferentes categorías visuales que representan áreas funcionales, roles o responsabilidades. Pools Lanes Fases Artefactos Los artefactos son usados para proveer información adicional sobre el proceso. Dentro de los ejemplos se utilizaron algunas anotaciones dentro del flujo. Existen 3 tipos: Objetos de Datos Grupos Anotaciones 4 4 Tomado de p.22 10

46 6. Instalación Bizagi edición.net A la hora de instalar Bizagi para la automatización de procesos se encontrará con que hay varias opciones, para este manual se seleccionó la versión.net que encontrará en esta página. ( emid=270) Normalmente se seleccionaría Bizagi Xpress, pero con el cambio que se ha venido presentando con el cambio de arquitectura de 32 a 64 bits, tendrá problemas de compatibilidad si descarga la versión Bizagi XPRESS y su computadora corre con un sistema operativo de 64 bits ya que esta versión solo tiene soporte para 32 bits. La funcionalidad de Bizagi Enterprise.net es la misma que la de Bizagi XPRESS solo que la versión ENTERPRISE es más robusta. Se puede apreciar el cuadro comparativo aquí. ( emid=271) Para comenzar a instalar, se realizan unos pasos similares a la instalación de Bizagi BPMN. Se comienza ejecutando el archivo descargado como administrador para evitar posibles problemas de permisos. 11

47 Selecciona Español y luego pulsa Aceptar Saldrá una ventana como la mostrada a continuación, allí no se debe hacer nada. 12

48 Una vez aparece el asistente para el instalador, pulsa Siguiente Al igual que con Bizagi BPMN se acepan los términos de acuerdo de licencia y pulsa Siguiente 13

49 Para el funcionamiento de Bizagi, se necesita una base de datos, así que el asistente preguntará si desea descargar el SQL Server para crear una, o también tiene la opción para continuar por si ya la tiene instalada. Para el propósito de este manual, se explicará la opción de instalar SQL Server, pulse Siguiente. 14

50 Saldrá un mensaje de instalación de SQL Server, este proceso se tardará varios minutos mientras se termina la configuración. Una vez terminado, se llenan los campos de registro al igual que en Bizagi BPMN (acá también puede poner su propio nombre en ambos campos), pulse Siguiente. El paso a continuación es muy importante, en el proceso de instalación se proporcionan dos ambientes para incluirlos en la instalación de Bizagi, para el objetivo de este manual y de este trabajo que es la automatización de procesos, se debe seleccionar Ambiente de desarrollo (Construcción) y pulsar Siguiente 15

51 Luego se selecciona el lugar de instalación, al igual que en Bizagi BPMN, está por defecto el disco (C:\), pulsa Siguiente Saldrá una ventana para comprobar actualizaciones, no es necesario realizarlo, si usted desea puede hacerlo. Pulse Siguiente Pulse Instalar. 16

52 Aparecerán ventanas como estas, mientras se descargan los archivos necesarios. Hasta que salga una ventana con el estado de la instalación 17

53 Una vez terminado este proceso, se pedirá reiniciar Después de reiniciar el equipo e incluso antes de hacerlo, debe tener en su escritorio un icono como este. 18

54 Finalmente ya estará instalado Bizagi Studio para la automatización de procesos 7. Consideraciones de Bizagi BPMN y Bizagi Studio Antes de comenzar a trabajar con Bizagi BPMN y Bizagi Studio es importante mencionar que: Los 2 productos de Bizagi son complementarios y por lo tanto su enfoque y alcance son diferentes. Mientras que el modelo desarrollado en el Process Modeler tendrá como objetivos diagramar y documentar, con Bizagi Studio esta especificación de atributos se hace en la definición del modelo de datos, para convertir sus procesos en una aplicación completa, donde pueda ejecutar y automatizar los modelos 5, 6 8. Ejecutando un proceso desde Bizagi BPMN Si una vez creado un modelo se quiere ejecutar desde la interfaz de Bizagi BPMN, se pulsa Ejecutar Workflow que aparece en la parte superior izquierda de la pantalla

55 Después de pulsar esa opción, saldrá una ventana para importar el diagrama del proceso. Se seleccionan ambas opciones, pulsa Next. Saldrá una ventana nueva donde se dará el nombre al proceso (No puede ser muy largo), pulse Next. 20

56 El siguiente paso es elegir el nombre del proyecto que será almacenado en la base de datos, puede crear uno nuevo o seleccionar uno que ya este creado, pulse Next. Acá debe agregar el nombre que tendrá la base de datos y pulsar Next Este paso también es muy importante, a la hora de autenticarse en la base de datos, si instaló el SQL Server desde Bizagi, el usuario ya queda registrado automáticamente, sino es su caso, en Login name digite sa y en Password BizAgi2009 o BizAgi2010 que son las credenciales de Bizagi por defecto, si 21

57 usted ya tenía una base de datos instalada, deberá loguearse con los datos asociados a ese servidor, pulse Next Después de esta paso, saldrá una nueva ventana de creación del proyecto, este proceso, tardará unos minutos. 22

58 Una vez completado este proceso, llegará a la interfaz de Bizagi Studio NOTA: El siguiente paso se realiza cuando ya están creados los procesos en la base de datos y se van a abrir para trabajar directamente en Bizagi Studio. Al ejecutar Bizagi Studio una vez ya ha sido creado un proceso y se quiere seguir con el trabajo de automatización, saldrá una ventana como esta donde se seleccionara uno existente o si es su deseo puede crear uno nuevo. 23

59 En caso de seleccionar uno ya creado, este lo llevará directamente a la interfaz de Bizagi presentada en la imagen anterior. NOTA IMPORTANTE Es posible que al seleccionar el proyecto, se demore un poco en ejecutar y salga un mensaje de error como este Para solucionar este problema tanto para Windows 7 y 8, se deben seguir los siguientes pasos: Vaya a inicio -> Panel de Control -> Vista por iconos -> Herramientas administrativas -> Servicios -> En la lista que se despliega buscan el "Bizagi Server Operations Service, clic derecho y escogen la opción iniciar, luego vuelven a seleccionar el proyecto en que deseaban trabajar y el error debe estar solucionado. 9. Conociendo la interfaz de Bizagi Studio Etapas de Bizagi Studio. Este manual solo hará una descripción de las primeras 4 etapas, que fueron las empleadas para la realización de este proyecto. Model Process Model Data Define Forms Business Rules (Define Expressions) 9.1 Model Process: Modelar el proceso es uno de los primeros pasos en la implementación de Bizagi. Esta es una etapa vital porque la aplicación está definida con base en el flujo del proceso que ha sido modelado. 24

60 9.2 Model Data: De acuerdo a la estructura de datos definida en la fase de diseño de Bizagi, la cual tiene la información requerida por el proceso basado en las especificaciones del negocio, una vez el proceso es modelado el modelo relacional es creado para el proceso. El modelo relacional especifica las entidades y atributos, y las relaciones existentes entre ellos, permitiendo a la información ser agrupada en un camino simple y lógico. 9.3 Define Forms: Una vez el modelo relacional del proceso es creado y de acuerdo a las formas o interfaces definidas durante la fase de diseño de Bizagi, las formas son creadas, las cuales serán visualizadas en una aplicación web por el usuario final. 9.4 Business Rules: Las organizaciones están gobernadas bajo ciertas políticas o normas, derivadas de diferentes estrategias y objetivos de las compañías. Como resultado, existen restricciones, excepciones y cualquier variedad de condiciones en las diferentes actividades o tareas que componen el proceso. En la parte superior derecha encontraran el proceso principal, y un menú desplegable con los subprocesos que este tenga 10. Usando la herramienta IMPORTANTE: Cuando ejecute el proyecto automatizado, se deben haber configurado los tiempos de las actividades para poder observar el análisis de 25

61 los procesos, se debe tener en cuenta que los indicadores se presentan en forma de semáforo: Verde: A tiempo. Amarillo: Próximo a vencerse El criterio para indicar que una tarea muestre un ícono en "semáforo amarillo" corresponde al vencimiento de la misma en el día actual. Esta advertencia no es actualmente configurable y las tareas tendrán un semáforo amarillo si el mismo día se vencen. 7 Rojo: Vencidos. Consideraciones importantes Un día en la herramienta Bizagi equivale a 8 horas, que es el tiempo por defecto 8, si desea modificar el esquema de horario laboral de la organización visite este link. ( Tiempo_de_Trabajo#Esquema_de_Horario_de_Trabajo) Para obtener más información sobre como configurar los tiempos de ejecución visite el siguiente link ( Otra consideración importante es que los tiempos de actividades son diferentes a los tiempos de un proceso, un proceso puede vencerse y sin embargo las actividades estar a tiempo Utilizando el proyecto automatizado Una vez el proceso ha sido automatizado, se procede a ejecutarlo, para ello, se va a la parte superior izquierda de Bizagi Studio y dar clic en la opción Run. Aquí se abrirá una ventana en su navegador predefinido y cargará una interfaz como esta

62 Asegúrese que en la barra de direcciones tenga algo como esto: El (localhost:[puerto_por_donde_se_ejecuta]/[nombre_de_la _base_de_datos]) Ahora bien, en la interfaz web de Bizagi, se procederá a ejecutar un caso, se va a Nuevo y se selecciona el proceso a ejecutar. La primer ventana que saldrá, es la ventana de verificación y/o revisión. Acá se dará la fecha en que comenzó esa actividad del proceso de auditoría, el campo Existe Alguna Anomalía se debe marcar en si, solo en caso de encontrar una no conformidad menor o no conformidad mayor y será llevado a la forma de declaración de no conformidad, de lo contrario, marque la casilla con no y continuará con la actividad siguiente, el campo observación será marcado si tiene alguna recomendación que hacer sobre esta actividad, ya sea que haya una no conformidad o no (no es de uso obligatorio), y posteriormente agregar su sugerencia en el campo recomendaciones. 27

63 Si desea obtener más información sobre la actividad, como el número del caso, ruta del proceso, fecha de expiración de la actividad, etc. De clic sobre la pestaña que se encuentra al lado izquierdo de cada actividad (la parte marcada con rojo en la imagen anterior), y obtendrá un recuadro como el que se muestra a continuación. Continuando con el proceso de auditoría, si tuvo alguna anomalía en esa actividad, seleccione la opción si en Existe Alguna Anomalía como se muestra en la imagen y este lo llevara a la forma de declaración de no 28

64 conformidad, en caso de no haber encontrado alguna irregularidad, llegará a la interfaz de la siguiente actividad. Los campos No Conformidad Mayor y No Conformidad Menor, no son obligatorios, solo se usan si se presenta una no conformidad. En la esquina superior izquierda está la opción de Regresar, esta opción es para dejar la auditoría en pausa, y podrá comenzar con ella de nuevo cuando lo desee, estas actividades que quedan pendientes, se pueden visualizar en la interfaz web principal. Al terminar la auditoría, ya sea porque ha finalizado todas las actividades satisfactoriamente o porque haya tenido que detenerla, aparecerá la forma de resumen como la que se muestra a continuación con toda la información relevante de las actividades que fueron ejecutadas para que la organización conozca sus puntos débiles y así corregirlos. 29

65 Ahora bien, si se desea tener datos estadísticos sobre el caso en ejecución se utiliza la opción BAM (Monitoreo de Actividad de Negocio) En el BAM de procesos se muestra la información relacionada con el caso actual de acuerdo a los tiempos que hayan sido configurados. En el BAM de tareas se muestra la información relacionada con la tarea particular que se esté ejecutando de ese proceso de acuerdo a los tiempos que hayan sido configurados. En el análisis de procesos, muestra la información general sobre todos los casos que se han ejecutado y el análisis de tareas la información general relacionada con las tareas. 30

66 11. Links adicionales Si desea realizar una copia de seguridad de sus procesos y restaurarla nuevamente, visite el siguiente link ( _Datos_Bizagi) Si desea copiar un proyecto a otro servidor, visite el siguiente link ( ervidor) 31