La versión digital de esta tesis está protegida por la Ley de Derechos de Autor del Ecuador.

Transcripción

1 La versión digital de esta tesis está protegida por la Ley de Derechos de Autor del Ecuador. Los derechos de autor han sido entregados a la ESCUELA POLITÉCNICA NACIONAL bajo el libre consentimiento del (los) autor(es). Al consultar esta tesis deberá acatar con las disposiciones de la Ley y las siguientes condiciones de uso: Cualquier uso que haga de estos documentos o imágenes deben ser sólo para efectos de investigación o estudio académico, y usted no puede ponerlos a disposición de otra persona. Usted deberá reconocer el derecho del autor a ser identificado y citado como el autor de esta tesis. No se podrá obtener ningún beneficio comercial y las obras derivadas tienen que estar bajo los mismos términos de licencia que el trabajo original. El Libre Acceso a la información, promueve el reconocimiento de la originalidad de las ideas de los demás, respetando las normas de presentación y de citación de autores con el fin de no incurrir en actos ilegítimos de copiar y hacer pasar como propias las creaciones de terceras personas. Respeto hacia sí mismo y hacia los demás.

2 ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA ELABORACIÓN DE UN PLAN DE DISPONIBILIDAD DE TECNOLOGÍAS DE INFORMACIÓN (TI) PARA LA FUNDACIÓN PARA EL AVANCE Y REFORMAS DE OPORTUNIDADES GRUPO FARO PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN ELECTRÓNICA Y REDES DE INFORMACIÓN VELASCO TORO CÉSAR ALEJANDRO alevelasldu@gmail.com DIRECTOR: ING. WILLIAMS FERNANDO FLORES CIFUENTES fflores@mailfie.epn.edu.ec Quito, Enero 2013

3 DECLARACIÓN Yo, César Alejandro Velasco Toro, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentado para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluye en este documento. A través de la presente declaración cedo mis derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su reglamento y por la normatividad institucional vigente. César Alejandro Velasco Toro i

4 CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por César Alejandro Velasco Toro, bajo mi supervisión. Ing. Fernando Flores DIRECTOR DE PROYECTO ii

5 AGRADECIMIENTO A Dios, por haberme dado salud para lograr mis objetivos, por fortalecer mi corazón e iluminar mi mente. A mi madre Miriam, por haberme apoyado en todo momento, por sus consejos, sus valores, por creer en mí, pero más que nada, por su amor y apoyo incondicional. A mi padre César, por su apoyo moral y económico durante toda mi carrera universitaria. A mis hermanas Johana y Mishel, por las bromas, y los buenos deseos les quiero mucho. A mi Director del Proyecto, el Ingeniero Fernando Flores, por su valiosa colaboración en la elaboración de este trabajo. En fin, a todas aquellas personas que de una u otra forma, y de manera desinteresada, me brindaron toda la ayuda necesaria con la finalidad de lograr el desarrollo de un buen trabajo. iii

6 DEDICATORIA Este documento es un esfuerzo que involucra a muchas personas cercanas a mí. Por ello dedico esta tesis a mi mamá, mi papá, mis hermanas que gracias a sus consejos y palabras de aliento he crecido como persona, y principalmente a mi hija que es el motor de mi vida, y que me obliga a ser cada día mejor. A todos mis familiares y amigos, quienes me han brindado su apoyo en las caídas y con los que hemos celebrado las victorias en todo el proceso de la realización de este documento. Cami, eres el amor de mi vida, recuerda que siempre te voy a amar y que cuentas conmigo. iv

7 CONTENIDO CAPÍTULO I FUNDAMENTOS TEÓRICOS DETERMINACIÓN DE LOS REQUISITOS DE DISPONIBILIDAD ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) Identificar las Funciones y Procesos Críticos de la Organización Evaluar el impacto Financiero Operacional Evaluación del impacto financiero Evaluación del impacto estratégico Identificación de procesos críticos de la organización Identificación de sistemas y aplicaciones críticas de TI por proceso del negocio Identificación de tiempos máximos de caída (MTD) Identificación del tiempo objetivo de recuperación (RTO) Identificación del tiempo de recuperación de trabajo (WRT) Evaluación de RTO y WRT Análisis del daño a consecuencia de la interrupción de un servicio de TI REQUISITOS DE DISPONIBILIDAD Resumen de disponibilidad de servicio TI DISEÑO PARA LA DISPONIBILIDAD ELABORACIÓN DE LA INFRAESTRUCTURA TI Elementos de la red Almacenamiento Impresión y Digitalización Administración de TI Consideraciones para el entorno de la infraestructura de TI Consideraciones para el hardware y software Consideraciones de hardware Consideraciones de software ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES (SPOF) Análisis del impacto del fallo de un componente (CFIA) v

8 Análisis por arboles de fallos (FTA) GESTIÓN Y ANÁLISIS DE RIESGO Método de análisis y gestión de riesgos (CRAMM) Identificación y valoración de activos Identificación y valoración de amenazas Identificación y valoración de vulnerabilidades Evaluación de niveles de riesgos Tratamiento de riesgo DISEÑO DE LA RECUPERACIÓN CONSIDERACIONES DE SEGURIDAD LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO SEGURIDAD DE LA INFORMACIÓN SEGURIDAD FÍSICA Y DEL ENTORNO GESTIÓN DE COMUNICACIONES Y OPERACIONES GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS DE CÓMPUTO SEGURIDAD DE LA RED MONITORIZACIÓN MANTENIMIENTO DEL PLAN CAPÍTULO 2 ANÁLISIS DE LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN ANTECEDENTES DESCRIPCIÓN DE LA ORGANIZACIÓN CONSTITUCIÓN GRUPO FARO Miembros fundadores Consejo ejecutivo Consejo asesor Colaboradores DATOS GENERALES MISIÓN, VISIÓN, PERSPECTIVA Misión Visión vi

9 Perspectiva ESTRUCTURA ORGANIZACIONAL PROCESOS Y FUNCIONES DEL DEPARTAMENTO DE TI DE LA ORGANIZACIÓN EL DEPARTAMENTO DE TI DENTRO DE LA ORGANIZACIÓN Estructura del departamento ti de la organización Áreas relacionadas con el departamento de TI Descripción de los Perfiles y Responsabilidades del Área de TI ANÁLISIS DE LA INFRAESTRUCTURA DE TI Servidores Equipos Otros dispositivos SERVICIOS DE INTERNET Y CORREO ELECTRÓNICO DESCRIPCIÓN DE LOS SERVICIOS QUE SOPORTA EL DEPARTAMENTO DE TI LISTADO DE LOS PROCESOS DEL DEPARTAMENTO DE TI NECESIDAD DE DISPONIBILIDAD DE TI PARA GRUPO FARO CAPÍTULO 3 ELABORACIÓN DEL PLAN DE DISPONIBILIDAD DE TI MAPEO DE SERVICIOS QUE SOPORTAN LAS ÁREAS DEL NEGOCIO ACTIVIDADES DEL NEGOCIO ELEMENTOS DE CONFIGURACIÓN (CI) ELEMENTOS DE CONFIGURACIÓN DE HARDWARE Desktops Laptops Impresoras Switches Servidores Access Points Modem Unidades de Almacenamiento Sistema de Energía Ininterrumpida ELEMENTOS DE CONFIGURACIÓN DE SOFTWARE vii

10 Herramientas Ofimáticas BPMS Aura Portal Sistemas Operativos DETERMINACIÓN DE REQUERIMIENTOS DE DISPONIBILIDAD ANÁLISIS DE IMPACTO EN EL NEGOCIO Identificar las Funciones y Procesos Críticos de la Organización Evaluar el impacto Financiero Operacional Evaluación del impacto financiero Evaluación del impacto estratégico Identificación de procesos fundamentales de la organización Identificación de Servicios de TI, por procesos del negocio Identificación de tiempos máximos de caída (MTD) Identificación del Tiempo objetivo de recuperación RTO Identificación del tiempo de recuperación de trabajo (WRT) Análisis del daño a consecuencia de la interrupción de un servicio de TI REQUERIMIENTOS DE DISPONIBILIDAD DISEÑO DE LA DISPONIBILIDAD DESCRIPCIÓN DE LA INFRAESTRUCTURA Elementos de la red Administración de TI Respaldo y Almacenamiento Respaldo Back-up Impresión y Digitalización Consideraciones para el Hardware y el Software Requerimientos de Hardware Especificaciones de Software Consideraciones para la sala principal de equipos de Infraestructura TI Sala principal de equipos Análisis de Puntos individuales de fallo de componentes Análisis por arboles de Fallos FTA viii

11 Análisis del impacto de fallo de un componente CFIA Análisis y gestión de riesgos Método de Análisis y Gestión de Riesgos CRAMM Valoración de activos Identificación y valoración de amenazas Valoración de las amenazas Identificación de las vulnerabilidades Valoración de las vulnerabilidades Evaluación de niveles de riesgos Control y opciones de control de riesgos DISEÑO DE LA RECUPERACIÓN MEDIDA DE RECUPERACIÓN DE INCIDENTE MÉTRICAS DE RECUPERACIÓN RESPALDO O BACK-UP Aspectos de las copias de seguridad GESTIÓN DE SISTEMAS RESTAURACIÓN DEL SERVICIO CONSIDERACIONES DE SEGURIDAD LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS Capacidades GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO Seguridad de la información Gestión interna de soporte PLAN DE CONTINGENCIAS INFORMÁTICAS Estratégias Informáticas SEGURIDAD FÍSICA Y DE ENTORNO Identificadores de usuario y contraseñas QUEDA PROHIBIDO Software Recursos de red Conectividad a internet ACTUALIZACIONES DE LA POLÍTICA DE SEGURIDAD ix

12 3.6.7 BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA MANTENIMIENTO DEL PLAN PERIODICIDAD, RESPONSABILIDAD E INVOLUCRADOS Periodicidad Responsabilidad Involucrados MONITOREO Y GESTIÓN DE DISPONIBILIDAD ACTUALIZACIÓN DE REQUISITOS DE DISPONIBILIDAD MÉTODOS Y TÉCNICAS CAPÍTULO 4 CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA..159 ANEXOS x

13 ÍNDICE DE FIGURAS Capítulo 1 Figura 1. 1 Relación entre niveles de disponibilidad y costos totales Figura 1. 2 CFIA Figura 1. 3 Análisis y Gestión de Riesgos Capítulo 2 Figura 2. 1 Personal Grupo FARO Figura 2. 2 Ubicación Grupo FARO Figura 2. 3 Organigrama GRUPO FARO Figura 2. 4 Áreas relacionadas al departamento de TI Capítulo 3 Figura 3. 1 Actividades proactivas y reactivas Figura 3. 3 Análisis del Árbol de Fallos del Internet fuera de servicio Figura 3. 4 Diagrama de Red de Grupo FARO con especificación de CIs xi

14 ÍNDICE DE TABLAS Capítulo 2 Tabla 2. 1 Relaciones internas del Administrador de TI Tabla 2. 2 Relaciones Externas del Administrador de TI Tabla 2. 3 Características hardware Servidor Grupo FARO Tabla 2. 4 Lista de equipos administrados por el departamento de TI Tabla 2. 5 Otros dispositivos administrados por el departamento de TI Tabla 2. 6 Descripción de los servicios soportados por el departamento de TI 49 Tabla 2. 7 Listado de Procesos del Departamento de TI Capítulo 3 Tabla 3. 1 Servicios de TI administrados por el departamento de Tecnología. 61 Tabla 3. 2 Funciones y Procesos del negocio, y su relación con TI Tabla 3. 3 Equipos Desktop administrados por el departamento de TI Tabla 3. 4 Equipos Laptop administrados por el departamento de TI Tabla 3. 5 Impresoras Matriciales y de tinta administradas por el departamento de TI Tabla 3. 6 Impresoras en Red administradas por el departamento de TI Tabla 3. 7 Switches administrados por el departamento de TI Tabla 3. 8 Servidores administrados por el departamento de TI Tabla 3. 9 Access Point administrados por el departamento de TI Tabla Modem administrado por el departamento de TI Tabla Unidades de almacenamiento administradas por el departamento de TI Tabla UPS administrado por el departamento de TI Tabla Herramientas ofimáticas administradas por el Departamento de TI 73 Tabla Frecuencia de uso de las herramientas ofimáticas administradas por el departamento de TI Tabla Herramientas de BMP administradas por el departamento de TI xii

15 Tabla Sistemas Operativos administrados por el departamento de TI Tabla Funciones y procesos de la organización Tabla Ponderación Impacto Financiero Tabla Evaluación del Impacto Financiero Tabla Ponderación del Impacto estratégico Tabla Evaluación del impacto estratégico Tabla Impactos Financiero y Operación Tabla Procesos del negocio y servicios de TI utilizados Tabla Escala MTD y equivalencia Tabla Suma de Impactos y escala de equivalencia MTD Tabla Definición de MTDs Tabla Escala de equivalencia RTO Tabla RTO en actividades de recuperación de Servicios de TI Tabla RTO y WRT por proceso de Negocio Tabla Análisis causado por la interrupción de un Servicio TI Tabla Requerimientos de Disponibilidad y recuperación de los servicios 104 Tabla Requerimientos mínimos para servidores Tabla Requerimientos mínimos para estación de trabajo Desktop Tabla Requerimientos mínimos para estación de trabajo Laptop Tabla Mejores condiciones físicas para Sala principal de Equipos Tabla Mejores condiciones físicas para el cuarto de servidores Tabla Mejores condiciones físicas para el entorno de oficina Tabla Matriz de la configuración del Análisis del Impacto de Fallo de un componente de Grupo FARO Tabla Valoración de activos de TI Tabla Valoración de amenazas Tabla Identificación de vulnerabilidades Tabla Valoración de las vulnerabilidades Tabla Evaluación de niveles de riesgos Tabla Control de riesgos Tabla Opciones de control de Riesgos Tabla Medidas de recuperación de incidentes Tabla Métricas de recuperación xiii

16 RESUMEN En la actualidad, debido a la difusión de aplicaciones en Internet, se ha hecho latente la necesidad de diseñar e implementar un plan de disponibilidad, y al no contar con dichas especificaciones se limita la capacidad operativa de la organización. La información es lo más importante dentro de un establecimiento, independientemente del tipo de actividad a la cual se dedique, por ello, la necesidad de mantenerla la mayor cantidad de tiempo disponible, y con mayor razón para esta institución, la cual la mayoría de sus aplicaciones se encuentran en Internet, debido a que se utiliza la plataforma de Google en la que se encuentran los servicios de correo electrónico (Gmail), calendario en línea (Google Calendar), Google Docs, Google Sites, y Google Chat para mensajería interna, los cuales son utilizados permanentemente por los usuarios. El proyecto se basa en la oficina central de Grupo FARO, en el departamento de Tecnologías de Información, ya que aquí se encuentran los ejes de Dirección, Subdirección, Administración, Ambiente y Sociedad, Investigación, Gobernanza de lo público entre otras, y se manejan diferentes aplicaciones como Internet, Correo electrónico, servidor de archivos, Impresiones, etc; por tal motivo es de vital importancia contar con una red de datos disponible y segura. La elaboración busca implementar las soluciones tecnológicas más adecuadas a la institución, que en conjunto con las normas y procedimientos descritos en las políticas de seguridad aseguren que los servicios TI estén disponibles y funcionen correctamente siempre que los clientes y usuarios deseen hacer uso de ellos. xiv

17 PRESENTACIÓN En el primer capítulo se describirá los conocimientos teóricos pertinentes al proyecto, los que se aplicarán en la Elaboración del Plan de Disponibilidad para Grupo FARO, basados en el capítulo Gestión de Disponibilidad de la librería Diseño del Servicio. ITIL V3. En el segundo capítulo se realizará una descripción completa de la organización, así como el mapeo de los servicios que soporta la empresa y los procesos del departamento de TI, lo cual nos dará una visión de los factores que requiere Grupo FARO, en la disponibilidad de TI A continuación en el tercer capítulo se determinarán los requisitos de disponibilidad identificando las actividades Vitales del Negocio y su relación con las TI mediante encuestas al personal Administrativo, además de presentar una lista de todos los dispositivos de hardware y software que forman parte de la infraestructura de TI. Posteriormente, se realizará el Análisis de Puntos individuales de fallo de componentes aplicando los mejores métodos descritos en la librerías, además del Análisis de Riesgo y en base a los resultados se especificarán criterios acerca de la gestión de riesgo, recuperación de los servicios, métricas de recuperación y consideraciones de seguridad. Se realizarán pruebas con interrupciones específicas a un servicio crítico, y gracias a los criterios presentados anteriormente, evaluar los resultados del Plan de Disponibilidad, mediante la restauración y disminución del tiempo de respuesta al mismo. Para finalizar en el cuarto capítulo se indicarán varias conclusiones obtenidas al realizar el proyecto, y además recomendaciones de cómo aprovechar de la mejor manera posible este Plan xv

18 1 CAPÍTULO 1 FUNDAMENTOS TEÓRICOS Debido a que nuestras vidas, tanto personales como profesionales, dependen cada vez más de la tecnología, la cual ha aumentado su velocidad y aplicaciones de una manera vertiginosa, la gestión de Disponibilidad es responsable de optimizar y monitorizar los servicios de TI, para que estos funcionen ininterrumpidamente y de manera fiable y todo ello a un costo razonable. En el presente capítulo, se describe el procedimiento, el cual está de acuerdo a la Gestión de Disponibilidad de TI, descrito en la librería ITIL V3 y las actividades que se recomiendan seguir para la elaboración del Plan de Disponibilidad de Tecnologías de Información (TI). Las actividades descritas en este capítulo para la elaboración del Plan de Disponibilidad, son las siguientes. Determinación de los requisitos de disponibilidad. o Análisis de Impacto en El Negocio (BIA) 1. o Requerimientos de Disponibilidad. Diseño para Disponibilidad. o Elaboración de la infraestructura TI. o Análisis de puntos individuales de fallo de componentes (SPOF). 2 o Gestión y análisis de riesgo. Diseño de la Recuperación. o Medida de recuperación de Incidente o Métricas de recuperación. o Respaldo o Back-up. o Restauración del Servicio. Consideraciones de Seguridad. o Lineamientos para la adquisición de bienes informáticos. 1 Business Impact Analysis (BIA) 2 Single Point Of Failure (SPOF)

19 2 o Gestión interna de instalación de equipos de cómputo. o Seguridad de la información. o Gestión interna de soporte. o Plan de contingencias informáticas. o Estrategias informáticas. o Seguridad física y de entorno. o Identificadores de usuario y contraseñas. o Queda prohibido. o Actualizaciones de la política de seguridad. o Beneficios de implantar políticas de seguridad informática. Mantenimiento del Plan. 1.1 DETERMINACIÓN DE LOS REQUISITOS DE DISPONIBILIDAD Es de suma importancia cuantificar los requisitos de Disponibilidad debido a que son la base para evaluar la capacidad operativa, que se posee en la Infraestructura de TI y estimar el soporte que la organización de TI debe proporcionar para satisfacer las necesidades de Disponibilidad del negocio. Antes de establecer los Requisitos de Disponibilidad de TI del negocio se deben desarrollar las siguientes actividades: Análisis de Impacto en El Negocio (BIA). Requerimientos de Disponibilidad ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) El Análisis de Impacto en el negocio define la relación entre la tecnología existente, los servicios ofrecidos por el departamento de TI y los procesos de negocio que los utilizan. Entre los objetivos principales al realizar el Análisis se tienen: Identificar las Funciones y Procesos Críticos de la organización. Determinar prioridad de cada proceso.

20 3 Evaluar el Impacto financiero y estratégico. Identificar los Sistemas y Aplicaciones Críticas de TI. Determinar los tiempos máximos tolerables de interrupción (MTD) 3 y priorizar los procesos del negocio. Especificar los tiempos Objetivos de Recuperación (RTO) 4. Identificar el Tiempo de recuperación del Trabajo (WRT) 5. Apoyar el proceso de determinar estrategias adecuadas de recuperación Identificar las Funciones y Procesos Críticos de la Organización. En esta sección se identifican todas las funciones y procesos críticos de la organización. Las funciones son las áreas contempladas en el plan de disponibilidad, a las cuales se las asocia con los procesos los cuales son las actividades específicas realizadas en cada área de negocio Evaluar el impacto Financiero Operacional Evaluación del impacto financiero El impacto financiero será evaluado de forma cualitativa, puesto que por criterios de seguridad financiera, las cifras reales no son publicables para la organización. El objetivo es tener una idea de la magnitud del impacto de pérdida financiera, si los procesos del negocio fuesen interrumpidos Evaluación del impacto estratégico La evaluación del impacto estratégico u operacional, se realiza para evaluar el nivel de daño que afectaría a la organización debido a un fallo en los servicios de TI, pero en sentido de los factores mostrados a continuación. 3 MTD : Maximum Tolerable Downtime 4 RTO: Recovery Time Objective 5 WRT: Work Recovery Time 6 Fuente: Tesis Elaboración del plan de disponibilidad de ti para la Empresa Reliance

21 4 Para la realización de la ponderación, se basará en el grado de magnitud de impacto sobre: Falta de confiabilidad operacional, satisfacción a los usuarios, eficacia del servicio Identificación de procesos críticos de la organización. Los procesos críticos de la organización, se basan en una evaluación cuantitativa, de los resultados anteriores, mediante la suma de los resultados de Impacto Financiero e Impacto estratégico. Un proceso será considerado como crítico, si: Retrasa las actividades del personal de la organización. Afecta a la correcta elaboración de las tareas del personal. Discontinua la marcha de las operaciones de la organización. Y cuantitativamente según los siguientes valores En el Impacto Financiero se obtuvo un valor de 3 (impacto medio) 3, (impacto alto). Si en el Impacto estratégico existen al menos dos valores, de 3 (impacto medio), ó 4 (impacto alto) Identificación de sistemas y aplicaciones críticas de TI por proceso del negocio En esta sección se identificará todo proceso de la empresa, que utilice servicios de TI, los cuales pueden ser sistemas, aplicaciones y recursos, administrados por el Departamento de TI Identificación de tiempos máximos de caída (MTD) Uno de los objetivos fundamentales del BIA, es determinar el Maximum Tolerable Downtime (MTD), el cual es el tiempo máximo sin servicio que una organización puede soportar y seguir cumpliendo con sus objetivos de negocio. Con este cálculo se intenta obtener valores cuantitativos con relación al impacto financiero operacional que un evento adverso pueda tener sobre la organización.

22 5 La identificación de los MTD s, se procede en función a la suma total de los puntos de los impactos financiero y estratégico Identificación del tiempo objetivo de recuperación (RTO) El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en otras palabras cuanto puede permanecer la Organización sin ejecutar una actividad, el uso de una aplicación (hardware y/o software) o información relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El RTO se utiliza para decidir cada cuanto se deben realizar respaldos de información o backups; también es útil para decidir que infraestructura es requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de similares especificaciones al existente en la Organización, o un call center paralelo en una ubicación diferente a la que se utiliza de manera permanente Identificación del tiempo de recuperación de trabajo (WRT). El WRT (Work Recovery Time) es el tiempo disponible para recuperar datos perdidos una vez que los sistemas están reparados dentro del Tiempo Máximo de Inactividad MTD Evaluación de RTO y WRT Para la evaluación de los tiempos de RTO, se debe tener claro el tiempo que el área de Tecnología de la organización se demora en la recuperación de los sistemas y recursos críticos, esto se debe a que los servicios entregados y administrados por esta área son de alta criticidad para las actividades del negocio. La escala para el RTO se la valora en función del tiempo. La suma de los tiempos del RTO y WRT serán iguales o menores que el MTD, jamás pueden ser mayores. 7 Camelo, Leonardo. Análisis de Impacto de Negocios / Business Impact Analysis (BIA).

23 Análisis del daño a consecuencia de la interrupción de un servicio de TI En este tema se especifican las consecuencias que se tendrían en la organización a causa de un incidente que involucre a un servicio o recurso de TI REQUISITOS DE DISPONIBILIDAD En esta sección del documento se especifica la base para determinar la capacidad de la Infraestructura de TI, implementada actualmente y el soporte que la organización de TI debe proporcionar para satisfacer las necesidades de Disponibilidad del negocio. Para plantear los requisitos del negocio de Disponibilidad de TI se considera lo siguiente: Una definición de las actividades vitales para el negocio que dependan de los servicios TI. Una definición del tiempo de caída del servicio TI, es decir, las condiciones bajo las cuales el negocio considera que el servicio TI no está disponible. El impacto sobre el negocio ocasionado por la pérdida del servicio. Las horas de servicio necesarias, esto es, cuándo se va a proporcionar el servicio. Las necesidades de seguridad específicas Resumen de disponibilidad de servicio TI En este punto del documento se representa un resumen de los servicios TI con los siguientes criterios: Tipo de servicio. Nombre del servicio. Disponibilidad. Tiempo de recuperación. Tipo de Soporte. Utilidad. Mantenimiento. Responsable.

24 7 1.2 DISEÑO PARA LA DISPONIBILIDAD El Diseño para la disponibilidad es una actividad relacionada con la elaboración técnica de la infraestructura de TI, orientada a evitar la pérdida de disponibilidad de los servicios de TI, además de aportar criterios con la relación de proveedores internos y externos necesarios para satisfacer las necesidades de Disponibilidad de un servicio de TI. Los principales beneficios al elaborar un buen Plan de Disponibilidad son: Reducción de costos asociados con cada nivel de disponibilidad. Notar una mejor calidad de Servicio por parte del usuario. Aumentar progresivamente los niveles de disponibilidad. Reducir número de incidentes. Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio en el desarrollo de los nuevos servicios TI de forma que estos cumplan los estándares plasmados en el Plan de Disponibilidad. Un diferente nivel de disponibilidad puede requerir cambios drásticos en los recursos utilizados o en las actividades necesarias para suministrar un determinado servicio TI. Las actividades que deben realizarse para el diseño de la disponibilidad son: Elaboración de la Infraestructura TI. Análisis de Puntos Individuales de Fallo de Componentes (SPOF) 8 Análisis de Impacto de Fallo de Componentes (CFIA) 9. Análisis por Árboles de Fallos (FTA) 10. Gestión y Análisis de Riesgo. 8 SPOF: Single Point of Failure 9 CFIA: Component Failure Impact Analysis 10 FTA: Fault Tree Analysis

25 ELABORACIÓN DE LA INFRAESTRUCTURA TI El objetivo la elaboración de la Infraestructura TI es realizar recomendaciones para el mejoramiento de la misma, contando con un mapeo de los elementos ya disponibles en la organización y con sugerencias en la adquisición de nuevos elementos tanto de hardware, software y técnicas, que permitan tener una elevada disponibilidad de servicios de TI. La Infraestructura de TI la componen hardware, software y servicios profesionales, necesarios para el correcto desempeño de las múltiples aplicaciones de tecnología de información, y que permite a la organización la automatización y apoyo de los procesos de negocio. Para establecer una mayor disponibilidad de los servicios de TI, es necesario también una gran inversión en cuanto a las soluciones existentes, como se muestra a continuación. Figura 1. 1 Relación entre niveles de disponibilidad y costos totales Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión

26 Elementos de la red Los elementos de la red, son todos los componentes mediante los cuales se tiene la posibilidad de ingresar electrónicamente desde puntos locales y remotos a las aplicaciones con las que se trabaja en la organización, plataformas de impresión, bases de datos, recursos de la red, brindando al usuario un mayor soporte, control y disponibilidad de los servicios de TI, de manera segura y confiable. Los beneficios que ofrecen los recursos de la Red a los usuarios son los siguientes: Ingreso a plataformas internas, desde puntos remotos. Acceso a la información mediante las tres propiedades indispensables de la información: Confidencialidad, Integridad, Disponibilidad. Compartición de recursos dispersos a lo largo de la infraestructura Almacenamiento Son las herramientas de preservación, respaldo y disponibilidad de la información, las cuales ayudan a salvaguardar uno de los principales activos de la organización, la información, y así, encaminar la continuidad del negocio. Los beneficios que se obtienen con los componentes de almacenamiento son los siguientes: Posibilidad de respaldos automáticos y en línea. Protección de la información del negocio. Disponibilidad de información en caso de contingencia Impresión y Digitalización Es el conjunto de equipos y herramientas de captura, digitalización y presentación de información impresa en papel. Los beneficios que se obtiene con los componentes de impresión y digitalización son los siguientes:

27 10 Organización en el almacenamiento de la información. Disponibilidad de contratos, solicitudes, oficios, informes, que permiten una manipulación más directa con el usuario. Disponer de una mejor manera el espacio físico utilizado anteriormente para el almacenamiento de la información. Posibilidad de tener una copia digitalizada de los documentos físicos de alta importancia, y así también ahorrar papel y colaborar con el medio ambiente Administración de TI Son todas aquellas herramientas tecnológicas que permiten controlar diversos aspectos como: inventarios, activos, prevención de riegos, ancho de banda, monitoreo, prevención de riesgos y fallas, etc. Los beneficios que se obtienen con los elementos de administración de TI son los siguientes: Gestión de activos. Mejor control y administración de recursos de TI, para evitar las fallas en los sistemas. Ahorro de tiempo al distribuir software de manera centralizada. Administración de plataformas de hardware y software. Productividad al verificar que el software cargado en los clientes corresponda a su función Consideraciones para el entorno de la infraestructura de TI En esta sección se especificarán las mejores condiciones necesarias para la sala principal de Equipos de Tecnologías de Información como: acceso, ubicación, visibilidad, piso interno, etc.

28 Consideraciones para el hardware y software Consideraciones de hardware En este punto se especificarán las características mínimas necesarias que deberán tener los dispositivos informáticos a nivel de hardware, para mantener la disponibilidad de los servicios de TI Consideraciones de software En este punto se especificarán las características mínimas necesarias que deberán tener los aplicativos y herramientas de ofimática, para mantener la disponibilidad de los servicios TI ANÁLISIS DE PUNTOS ÚNICOS DE FALLO DE COMPONENTES (SPOF) Un Punto Único de Fallo es un riesgo potencial planteado por una falla en el diseño, la ejecución o la configuración de cualquier componente de la infraestructura de TI, o sistema en el que un fallo o mal funcionamiento hace que todo el sistema deje de funcionar, y se tenga así un impacto negativo sobre el negocio y los usuarios. 12 Cada vez que un sistema se expande (añadiendo una estación de trabajo a una red, o añadiendo nuevas aplicaciones a una red de computadores) el número de lugares donde un Punto Único de Fallo puede ocurrir, también se expandirá Análisis del impacto del fallo de un componente (CFIA) Component Failure Impact Analysis (Análisis del Impacto de Fallo de Componentes). Esta técnica consiste en identificar el impacto que tiene en la disponibilidad de los servicios TI el fallo de cada elemento de configuración involucrado. 12 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión

29 12 El desarrollo del CFIA nos proporciona: 1. Identificar los Elementos de Configuración (CI) que pueden causar un incidente o falla. 2. Buscar elementos de configuración que no tienen back-up. 3. Evaluar el riesgo de las fallas en cada Elemento de configuración. 4. Justificar inversiones futuras 5. Tiempos de recuperación de los componentes. Figura 1. 2 CFIA 13 Para la realización del CFIA se procede a seleccionar un Servicio de TI, y obtener la lista de Elementos de Configuración de los elementos de la infraestructura detallada anteriormente. 13 Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión

30 13 Si no hay ninguna Base de Datos de Gestión de Configuración CMDB 14, entonces pedir a documentación, diagramas, y conocimiento en general de las tecnologías de información a quien corresponda. A continuación, se lista en una columna, los elementos de configuración CI los Servicio de TI en la fila superior. A continuación se realiza el siguiente procedimiento para cada Elemento de Configuración debajo de cada servicio. Marcar una "X" en la columna en caso de que el fallo en dicho CI provoque un incidente e inoperatividad del servicio. Marcar una "A" cuando el CI tiene un respaldo alternativo inmediato que pueda proporcionar el servicio. Marcar una "B" cuando el CI tiene un respaldo alternativo, no tan inmediato para proporcionar el servicio. Ahora disponemos de una matriz básica de la CFIA. Cada "X" y "B" es una responsabilidad potencial. Para finalizar se debe realizar una matriz que representa a los Elementos de Configuración, el efecto que produce en las diferentes áreas del negocio, y el total de usuarios que son afectados por la pérdida de servicios de TI Análisis por arboles de fallos (FTA) El Análisis del Árbol de Fallos consiste en analizar cómo se propagan los fallos a través de la infraestructura y así tener claro su impacto en la disponibilidad del servicio. Las ventajas fundamentales del FTA son: Permite realizar cálculos de la Disponibilidad. Permite realizar las operaciones sobre el árbol de fallos resultante. Permite elegir el nivel deseado de detalle del análisis. 14 CMDB: Central Management Data Base.

31 14 Para el desarrollo del FTA, se distingue los siguientes sucesos: Sucesos Básicos: Puntos terminales del árbol de fallo, como la pérdida de suministro eléctrico o un error del operador. Los sucesos básicos no se investigan con más profundidad. Si los sucesos básicos se investigan con más profundidad, automáticamente se convierten en sucesos resultantes. Sucesos Resultantes: Nodos intermedios del árbol de fallos que resultan de una combinación de sucesos. Habitualmente, el punto superior del árbol de fallos es el fallo del servicio TI. Sucesos Condicionados: Sucesos que solo ocurren bajo ciertas condiciones, como por ejemplo, el fallo del equipo de aire acondicionado solo afectara al servicio TI si la temperatura de los equipos supera los valores de servicio. Sucesos Desencadenantes: Sucesos que lanzan otros sucesos, por ejemplo, el equipo de detección de la pérdida del suministro eléctrico puede lanzar el cierre automático de servicios TI. Estos sucesos se combinan mediante operadores lógicos, como: AND: El evento resultante solo sucede cuando todos los sucesos entrantes ocurren simultáneamente. OR: El evento resultante ocurre cuando suceden uno o más de los eventos entrantes. OR exclusivo: El evento resultante solamente ocurre cuando se satisface la condición de entrada. Inhibidor: El evento resultante solamente ocurre cuando no se satisface la condición de entrada Office of Government Commerce (OGC). ITIL la Llave para la Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión

32 GESTIÓN Y ANÁLISIS DE RIESGO Análisis del Riesgo: Identifica y determina el nivel de (medida) los riesgos calculados a partir de los valores estimados de los activos y los valores estimados de las amenazas y las vulnerabilidades de tales activos. Gestión del Riesgo: Cubre la identificación, selección y adopción de contramedidas justificadas por los riesgos identificados para los activos en términos de su impacto potencial sobre los servicios si ocurriera un fallo, y la reducción de tales riesgos a un nivel aceptable. En esta sección se realizará la búsqueda de cada una de las vulnerabilidades que posee la organización a los fallos de la configuración y la capacidad de la organización TI enfocados en el análisis a las configuraciones de cada uno de los activos tecnológicos de la organización. Análisis y Gestión de Riesgos es una técnica que se puede utilizar para identificar y cuantificar los riesgos además de medidas justificadas que se pueden implementar para proteger la disponibilidad de los sistemas informáticos. Para este análisis se utiliza el método CRAMM 16 (Método de Análisis y Gestión de Riesgos), la cual es una técnica que consiste en identificar los riesgos y vulnerabilidades de la infraestructura para implementar contramedidas que los reduzca. Figura 1. 3 Análisis y Gestión de Riesgos CRAMM: Central Computer and Telecommunications Agency Risk Analysis and Management Method 17 Estructura de la figura tomada de: Office of Government Commerce (OGC). ITIL la Llave para la

33 Método de análisis y gestión de riesgos (CRAMM) CRAMM proporciona un armazón para calcular el riesgo del recurso, valor y vulnerabilidades, llamado el Análisis de Riesgo. El armazón también le ayuda a evitar, reducir, o escoger aceptar estos riesgos, llamado la Gestión de Riesgo. La idea es que analizando recursos, uno puede comprender el daño potencial causado por una falla en la Confidencialidad, Integridad o Disponibilidad. CRAMM puede mitigar el riesgo a un costo efectivo con un análisis estructurado de costos. Los pasos para realizar un correcto análisis de riesgos, son las siguientes Identificación y valoración de activos En primer lugar, se define el alcance de la revisión (datos, activos, software, etc). Aquí se puede utilizar la Base de datos de gestión de configuración CMDB, pero si no la tenemos se debe preguntar acerca de los datos importantes, software o activos físicos Identificación y valoración de amenazas En esta sección se procede a identificar, clasificar y valorar las amenazas las cuales son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa. 18 Para ello nos basaremos en la siguiente tabla: Nivel Alta Media Baja Definición La amenaza está altamente promovida, y es suficientemente capaz de llevarse a cabo La amenaza es posible La amenaza no posee suficiente motivación y capacidad Tabla 1. 1 Probabilidad de ocurrencia de un evento determinado Gestión de los Servicios TI. Mejores Prácticas para la Provisión del Servicio. versión

34 Identificación y valoración de vulnerabilidades. En esta sección se procede a identificar, clasificar y valorar las vulnerabilidades (puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa) 19 Para la identificación de las vulnerabilidades sobre la plataforma de tecnología nos basamos en los siguientes campos: Amenaza Humana: Robo. Hackers. Artefactos explosivos. Fugas de gas o agua. Incendios. Amenaza Natural Inundaciones. Sismos. Lluvias torrenciales. Incendios. Terremotos. Amenaza Tecnológica Sabotaje computacional. Acceso al centro de cómputo. Escasez de energía. Fallas en la red. Acceso a la red por parte de personas ajenas a la entidad. Falla en los dispositivos de almacenamiento del Servidor.

35 18 Falla en los dispositivos de almacenamiento de las computadoras. Fallo en el hardware de los equipos. Configuración incorrecta de aplicaciones. Sobredimensionamiento de clientes inalámbricos en la red. Virus. Falla de capacitación de TI Evaluación de niveles de riesgos Un riesgo es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se entiende también como la medida de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y está en relación con la frecuencia con que se presente el evento. 20 EL proceso de evaluación del riesgo permite a una organización alcanzar los requerimientos estándar sobre su plataforma tecnológica, con el fin de generar un plan de implementación de controles que aseguren un ambiente informático seguro. El objetivo de la evaluación es identificar y evaluar los riesgos. Los riesgos son calculados por una combinación de valores de las amenazas, el valor de los activos y las vulnerabilidades Tratamiento de riesgo El tratamiento de riesgo se define, como el conjunto de decisiones tomadas con cada activo de información. Para el manejo del riesgo se pueden tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto. 20 Villalva, Juan. Riesgos

36 19 Aceptar el riesgo: Se basa en aceptar el riesgo, y no tomar medidas para anularlo, reducirlo o transferirlo. Anular el riesgo: Reside en eliminar completamente el riesgo mediante cambios y mejoras sustanciales en los procesos operacionales. Reducir el riesgo: Se trata de reducir la probabilidad de un riesgo al nivel más bajo nivel posible. Los métodos generalmente son los más sencillos, económicos y aplicables. Transferir el riesgo: Reside en repartir la responsabilidad con otra área o servicio externo, de igual manera, al transferir el riesgo, éste es minimizado. 1.3 DISEÑO DE LA RECUPERACIÓN Uno de las características principales de la disponibilidad de la información es la recuperación de la información, debido a que debe asegurarse un diseño efectivo para garantizar el retorno a las operaciones normales del negocio cuando fallen los servicios, tan pronto como sea posible. Actividades: Medida de recuperación de incidente La gestión de la Disponibilidad tiene relación con la Gestión del Incidente, para determinar parámetros de conocimiento acerca de los fallos y asegurarse la no repetición de los mismos. Para determinar de una manera clara la medida de recuperación de incidente es recomendable: Definir procedimientos claros para la medida de recuperación de cada servicio. Definir los roles y responsabilidades claros de los encargados de la recuperación.

37 20 Métricas de Recuperación. En este punto se elaborará una especificación de ciertos parámetros, los cuales se evaluarán en función del tiempo lo que proporcionará una estimación oportuna de los procesos para los cuales la recuperación tomará mayor cantidad de tiempo, y la priorización de los mismos. Respaldo o Back-Up. En esta sección, se procede a especificar los parámetros de recuperación, periodicidad, medio, de los componentes de hardware, software y datos en los que se basan los servicios de Tecnologías de la Información. Gestión de Sistemas Para aumentar los niveles de disponibilidad de la información, se debe proveer al departamento de TI de herramientas de gestión de sistemas. El correcto uso de estas herramientas ayuda con la detección y diagnóstico de los fallos permitiendo una recuperación más eficiente. Restauración del servicio. En esta sección se especificarán las acciones a realizar para la recuperación de un servicio de TI de la organización. Además se elaborará un ejemplo de interrupción del servicio, y los procedimientos a realizarse para su restauración.

38 CONSIDERACIONES DE SEGURIDAD Los sistemas de información son esenciales para las organizaciones y deben ser protegidos. La seguridad de TI consiste en garantizar que los recursos de software y hardware de una organización se usen responsablemente ya sea por el Área de Tecnologías de Información como todas las áreas de la organización. La seguridad informática se resume, por lo general, en tres objetivos principales: Integridad: certificar que los datos no han sido modificados por personas no autorizadas. Confidencialidad: garantizar el acceso a la información únicamente por los individuos autorizados. Disponibilidad: asegurar el acceso a la información por personal autorizado en el momento que lo requieran LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS Es muy importante para el departamento de Tecnologías de Información de la organización, tener claramente definido la persona responsable de la adquisición de los bienes informáticos, así como las características tanto de hardware como de software de los equipos a ser adquiridos. Además de los elementos de software permitido a ser instalados en los equipos GESTIÓN INTERNA DE INSTALACIÓN DE EQUIPOS DE CÓMPUTO En esta sección se determinarán los lineamientos a los que la instalación, ubicación y disposición de un equipo de cómputo nuevo o reasignado se debe acoger tales como: área, diagramas de ubicación, suministro eléctrico e infraestructura de cableado.

39 22 El objetivo es impedir daños, pérdidas, interrupción de actividades tanto del Área de Tecnologías de Información, como de las otras Áreas Transversales mediante la protección del equipamiento de las amenazas indicadas anteriormente SEGURIDAD DE LA INFORMACIÓN La Seguridad de la Información se basa en cuidar y proteger la información, en el interior de la organización mediante la aplicación de medidas preventivas y reactivas coordinadas por el personal de Tecnologías de la información. La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos. Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información SEGURIDAD FÍSICA Y DEL ENTORNO El objetivo principal es impedir el acceso físico no autorizado, daños e interferencia en las instalaciones e información de la organización, así como impedir pérdidas, exposiciones al riesgo de los activos mediante la protección de la información crítica. Para la protección contra amenazas externas y del ambiente, se recomienda que se diseñe y aplique medios de protección contra daños potenciales causados por fuego, inundación, terremoto, y otras formas del hombre en áreas protegidas. 21

40 GESTIÓN DE COMUNICACIONES Y OPERACIONES El objetivo es asegurar la operación correcta y segura de los recursos de tratamiento de información. Se recomienda establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos para el tratamiento de la información GESTIÓN INTERNA DE SOPORTE E INSTALACIÓN DE EQUIPOS DE CÓMPUTO. El objetivo es mantener la integridad y la disponibilidad de los servicios, aplicaciones y medios externos de la información. Se recomienda establecer procedimientos rutinarios de respaldo para realizar copias de seguridad y probar su puntual recuperación, basándose en una evaluación de riesgos para determinar los activos de información más relevantes SEGURIDAD DE LA RED El objetivo es asegurar la protección de la información en redes y la protección de la infraestructura de soporte MONITORIZACIÓN El objetivo es detectar las actividades de manipulación de información no autorizadas. Se recomienda monitorear los sistemas y los eventos de la seguridad de información registrados. El registro de los operadores y los registros de fallos deberían ser usados para garantizar la identificación de los problemas del sistema de información. El monitoreo del sistema debería ser utilizado para verificar la efectividad de los controles adoptados.