Gestión del Riesgo en Infraestructura y Comunicaciones TI, para Empresa del Sector Financiero

Transcripción

1 UNIVERSIDAD TÉCNICA FEDERICO SANTA MARÍA DEPARTAMENTO DE ELECTRÓNICA VALPARAÍSO - CHILE Gestión del Riesgo en Infraestructura y Comunicaciones TI, para Empresa del Sector Financiero FERNANDO ENRIQUE MONTERO GONZALEZ Memoria de titulación para optar al título de Ingeniero Civil Telemático Profesor Guía: Sr. Walter Grote H. Abril 2011

2 Agradecimientos A mi madre por todo el esfuerzo que ha realizado para mi preparación profesional, a mi novia Milena Chaparro y a toda su familia y especialmente a mis compañeros que se han convertido como en mi familia: Ariel Acuña, Elías Gómez, Álvaro Cofre, Ricardo Toloza, Garri Figueroa, Nicolás Grandón, Carlos Patricio Santibañez y Francisca Giroz. 2

3 Gestión del Riesgo en Infraestructura y Comunicaciones TI, para Empresa del Sector Financiero Trabajo de Memoria presentado por Fernando Enrique Montero González. para optar al título de Ingeniero Civil Telemático. Profesor Guía: Walter Grote H. Abril 2011 RESUMEN En empresas del sector financiero, se destinan grandes esfuerzos para mantener la continuidad de los servicios de telecomunicaciones, por ser esenciales en mantener los sistemas informáticos de la empresa en funcionamiento en todo momento. La relevancia de ello radica en el hecho de que los sistemas informáticos permiten actualizar y almacenar todos los movimientos contables y relacionados con el giro de la empresa, haciendo posible que pueda operar eficientemente, proveyendo servicios en diferentes sucursales. Para evitar las consecuencias derivadas de amenazas tales como ataques informáticos, fallas de equipos y catástrofes naturales, es que se debe llevar a cabo un análisis y evaluación de riesgos, a los cuales se exponen todos los servicios informáticos e infraestructuras y comunicaciones TI, con la finalidad de mitigar la presencia o consecuencias de estos riesgos generando para ello alternativas de mejoras, controles y documentación. Este proyecto se centra en el análisis y evaluación de riegos, a los cuales se expone el servicio de interconexión del sitio principal a la red MPLS corporativa, para una empresa que opera en el rubro de seguros, permitiendo poder identificar, analizar y evaluar todos los posibles riesgos y consecuencias a los cuales se expone el servicio. Con esta información se establecen las alternativas de desarrollo para mitigar la magnitud de los riegos. El desarrollo de las alternativas seleccionadas, se realiza a través del software GNS3, el cual admite diseñar y simular las topologías de interconexión para el tratamiento de los riesgos establecidos. Lo anterior permite bajar los índices de magnitud de los riesgos, disminuyendo su impacto o probabilidad de ocurrencia, así como también su priorización, es decir el grado de atención que estos deben tener. Palabras claves: Análisis y evaluación de riesgos, redes de computadoras, plan de contingencias, plan de continuidad de negocios, plan de recuperación ante desastres. 3

4 Risk Management on Communications Infrastructure TI for Financial Sector Company Fernando Enrique Montero González. Final Project Report towards the partial fulfillment of the requirements of the Electronic Engineering Degree, majoring in Telecommunications (6 year program). Advising professor: Walter Grote April 2011 ABSTRACT Nowadays, financial sector companies, assign great efforts to keep the continuity of telecommunication services, because they are essential to keep the company s information systems available at all time. Its relevance lies in the fact that information systems update and keep track of all accounting movements and those related to the company s line of business, making it possible to efficiently provide services to different branches. To avoid the consequences derived from threats such as cyber attacks, hardware failures and natural disaster, an analysis and risks assessment is to be carried out of all computer services infrastructure and communications, in order to mitigate the risks, generating improved alternatives, controls and documentation. This project focuses on analysis and risk assessment, in which the interconnection service to the main site corporate MPLS network is exposed for a company offering insurance services, identifying, analyzing and evaluating all possible risks and its consequences, to which the service is exposed. Then different ways to lower the risks are established. The selected alternatives are developed using GNS3 software, which allows designing and simulating the existing and proposed network topologies, subjecting them to all possible risk situations, considered in the present work. Key words: Analysis and risk assessment, computer networks, contingency plan, business continuity plan, disaster recovery plan. 4

5 Índice de Contenido 1 Introducción Escenarios de contingencia Plan de Continuidad de Negocios (BCP) Tipos de planes que complementan el BCP Cuáles son las fases que conforman un Plan de Continuidad de Negocio? Fase de Análisis y evaluación de riesgos Objetivos Alcance Servicio de interconexión del Sitio Principal a la red MPLS corporativa Análisis de la red de interés Análisis y evaluación de riesgos Introducción Proceso de Administración de Riesgos (AS/NZS 4360:2004) Análisis y Evaluación de riesgos para servicio de interconexión a la red MPLS del Sitio Principal Establecer Contexto Externo e Interno Identificación de Riesgos Análisis de Riesgos Evaluación de riesgos Tratamientos de Riesgos Desarrollo de alternativas seleccionadas Implementación planes de tratamiento Diseño a implementar Herramienta de trabajo Protocolos utilizados Interrupción servicio de Internet Análisis previo Integración clúster de Núcleos de Comunicaciones Configuración Previa Ejecución alternativa seleccionada Paso a producción (vuelta a atrás) Interrupción servicio WebBlocker Análisis previo Integración clúster de Núcleos de Comunicaciones Ejecución alternativa seleccionada Paso a producción (vuelta a atrás) Interrupción Firewall Análisis previo Integración clúster de Núcleos de Comunicaciones Ejecución alternativa seleccionada Paso a producción (vuelta a atrás) Resumen Planes de tratamiento Análisis de Resultados Mediciones en Clúster Mediciones en Proveedores Análisis alternativas seleccionadas Conclusiones Bibliografía

6 Índice de Ilustraciones Ilustración 1: Tipos de planes que complementan el BCP [1]... 8 Ilustración 2: Topología actual red MPLS Ilustración 3: Proceso de administración de riesgos [7] Ilustración 4: Matriz de Priorización [8] Ilustración 5: Criterios de evaluación de riesgos [9] Ilustración 6: Evaluación opciones de tratamiento [10] Ilustración 7: Matriz de priorización sin tratamiento Ilustración 8: Matriz de priorización con tratamiento Ilustración 9: Topología Propuesta Ilustración 10: Herramienta de trabajo Ilustración 11: Configuración HRSP Ilustración 12: Enrutamiento HSRP y EIGRP Ilustración 13: Diagrama de estados, STP [12] Ilustración 14: Topología Final Ilustración 15: Topología Internet Sitio Principal Ilustración 16: Nueva Topología Internet Sitio Principal Ilustración 17: Topología Internet Sitio Contingencia Ilustración 18: Topología interconexión Internet Ilustración 19: Nueva Topología interconexión Internet Ilustración 20: Topología de interconexión Internet alternativa Ilustración 21: Topología interconexión Servidores Ilustración 22: Nueva Topología interconexión Servidores Ilustración 23: Topología interconexión Servidores alternativa Ilustración 24: Equipos involucrados en la medición de disponibilidad del Clúster Ilustración 25: Tiempo de recuperación Clúster v/s n de medición Ilustración 26: Equipos involucrados en la medición de disponibilidad de proveedores Ilustración 27: Tiempo de recuperación proveedores v/s n de medición Índice de Tablas Tabla 1: Detalle enlaces de comunicaciones Tabla 2: Identificación de Riesgos Tabla 3: Análisis de Riesgos Tabla 4: Evaluación de riesgos Tabla 5: Alternativas de manejo de riesgos Tabla 6: Evaluación de alternativas Tabla 7: Impacto esperado Tabla 8: Índices de magnitud y prioridad esperados Tabla 9: Resumen planes de ejecución

7 1 Introducción En Chile las instituciones del sector financiero poseen una gran dependencia de los sistemas de información para el manejo interno de aplicaciones y servicios a sus clientes en general. A su vez para impulsar sus negocios cada vez más apuntan a la incorporación de nuevas tecnologías, lo que se traduce en asumir nuevos riesgos. En primer lugar figura el riesgo de la intrusión a la red de la institución, donde la información puede verse comprometida, y los sistemas informáticos pueden resultar dañados o alterados. Las organizaciones hacen grandes esfuerzos por prevenir este tipo de intrusiones, desarrollando mecanismos de protección y detección para frustrar los robos. En segundo lugar las empresas financieras deben mantener una gran disponibilidad de sus servicios, cualquiera que estos sean y más aun si estos son fundamentales para el giro de la empresa. Por lo tanto las entidades deben buscar sistemas que eliminen o rebajen el costo de los cortes de servicios, relacionados con los productos de seguridad, con las soluciones de red y con los proveedores de servicio de Internet. Las firmas financieras normalmente cuentan con muchas redes de sucursales y deben ser capaces de reforzar las políticas de seguridad, y gestionar la infraestructura de seguridad de forma efectiva en costos. Una solución que se utiliza frecuentemente hoy en día es la gestión centralizada de todos los componentes. Si el equipo de una sucursal pierde la conexión con la gestión central debido a un error en la configuración por parte del administrador, el equipo de la oficina sucursal volverá automáticamente a una versión previa conocida y solucionará el problema de conectividad. Para entornos críticos de producción en los que no se permiten las interrupciones de los servicios, son indispensables soluciones que contemplen un servicio global utilizando un conjunto de servidores (clustering de dispositivos), múltiples proveedores simultáneos de servicio de Internet y conexiones del tipo Multi-Link Virtual Private Network (Red Privada Virtual). De este modo, en caso de un malfuncionamiento global de un sitio, los demás, que aún permanecen operativos pueden recuperar automáticamente las conexiones de las comunicaciones perdidas. Se trata, en definitiva, de buscar una plataforma que reúna características básicas para la continuidad de negocio, como son la alta disponibilidad, la seguridad avanzada y el balanceo de carga dinámico. En el sector financiero, más que en ningún otro, conocen muy bien el coste que puede suponer un desliz en la protección de los activos de información, o unos segundos de cortes de servicios en los sistemas. 1.1 Escenarios de contingencia Es de vital importancia definir escenarios de contingencia, los cuales son condiciones previamente definidas y que suponen un impacto no aceptable en la capacidad de las organizaciones para cumplir con sus objetivos como por ejemplo: Interrupción de funcionamiento normal de sistemas Incendio Falla eléctrica mayor Indisponibilidad enlaces de comunicaciones La definición de estos escenarios ayuda a planificar los pasos a seguir para salir de esta condición de contingencia y así volver a un estado de producción normal. 7

8 1.2 Plan de Continuidad de Negocios (BCP) La documentación de un conjunto de instrucciones o procedimientos predeterminados que describen como las funciones de negocios deben actuar durante y después de una interrupción mayor, es lo que se considera un Plan de Continuidad de Negocios (en inglés: Business Continuity Plan: BCP). A su vez existen muchos planes que complementan el BCP y se interrelacionan directamente con el BCP tal como muestra la ilustración Tipos de planes que complementan el BCP Ilustración 1: Tipos de planes que complementan el BCP [1] Se aprecia en la ilustración 1 que existen los siguientes planes complementarios al BCP. Plan de comunicación de crisis: documento que contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los demás planes para asegurar que sólo comunicados aprobados sean divulgados y que solamente personal autorizado sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado al personal y al público. Planes de evacuación por edificio: contiene los procedimientos que deben seguir los ocupantes de una instalación o facilidad en el evento en que una situación se convierta en una amenaza potencial a la salud y seguridad del personal, el ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica. Plan de continuidad de operaciones por sede o filial (COOP por sus siglas en inglés, Continuity of Operations Plan): orientado a restaurar las funciones esenciales de una sede o filial de la entidad (ej: una agencia, la fábrica, el almacén de ventas) en una sede alterna y realizar aquellas funciones por 8

9 un período máximo de 30 días antes de retornar a las operaciones normales. Debido a que un COOP se enfoca en sedes o filiales, debe ser desarrollado y ejecutado independientemente del BCP. Interrupciones menores que no requieren reubicación en una sede alterna típicamente no son cubiertas en un COOP. Plan de respuesta a ciber-incidentes: Establece procedimientos para responder a los ataques en el ciberespacio contra un sistema de Tecnología Informática (TI) de una entidad. Estos procedimientos son diseñados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes de cómputo maliciosos tales como: Acceso no autorizado a un sistema o dato, Negación de servicio, Cambios no autorizados a HW, SW o datos. Planes de contingencia de TI: orientado a ofrecer un método alterno para sistemas de soporte general y para aplicaciones importantes Debido a que un Plan de contingencia de TI debe ser desarrollado por sistema de soporte general y por cada aplicación importante, existirán múltiples planes de contingencia. Plan de recuperación de desastres (DRP): Orientado a responder a eventos importantes, usualmente catastróficos que niegan el acceso a la facilidad normal por un período extendido. Frecuentemente, el DRP se refiere a un plan enfocado en TI diseñado para restaurar la operabilidad del sistema, aplicación o facilidad de cómputo objetivo en un sitio alterno después de una emergencia. El alcance de un DRP puede solaparse con el de un Plan de Contingencia de TI; sin embargo, el DRP es más amplio en alcance y no cubre interrupciones menores que no requieren reubicación. Plan de recuperación del negocio: Permite restaurar un proceso de negocio después de una emergencia, pero al contrario del BCP, carece de procedimientos para asegurar la continuidad de procesos críticos durante una emergencia o interrupción, [2]. Se desprende de lo anterior la conveniencia de que un Plan de Continuidad del Negocio se complemente con otros planes que ayudan a su efectividad. Sin embargo, debido a la carencia de definiciones estándar para estos tipos de planes, en algunos casos, el alcance de los mismos puede variar entre las diferentes organizaciones Cuáles son las fases que conforman un Plan de Continuidad de Negocio? Estas fases han sido formuladas por el Instituto de Recuperación de Desastres (DRI Disaster Recovery Institute) [3]. Inicio y gestión del proyecto. Análisis y Evaluación del riesgo. Análisis de impacto del negocio (BIA). Desarrollo de estrategias para la continuidad del negocio. Respuesta ante emergencias. Desarrollo e implementación del BCP Programa de concientización y capacitación. Mantenimiento y ejercicio del BCP Comunicación de crisis. Coordinación con Autoridades públicas. 9

10 1.2.3 Fase de Análisis y evaluación de riesgos El objetivo de la evaluación de riesgos, es identificar, analizar, medir y prevenir las amenazas internas y externas, incluyendo concentraciones de riesgos, que pueden causar la interrupción o pérdida de las actividades críticas de una organización, así como la probabilidad (o frecuencia) de que ocurra una amenaza, permitiendo priorizar y manejar un plan de acción de gestión del riesgo [4]. 1.3 Objetivos Objetivo Principal Minimizar o el eliminar los riesgos, a los cuales se expone el servicio de interconexión del Sitio Principal a la red MPLS corporativa, en una empresa del sector financiero, desarrollando e implementado las alternativas seleccionadas para la mitigación de la magnitud de los riesgos. Objetivos particulares: Estudiar y comprender el servicio de interés. Identificar, analizar y evaluar, los riegos a los cuales se expone el servicio de interconexión. Desarrollar e implementar planes de tratamiento para los riesgos. 1.4 Alcance El proyecto contempla la implementación de la fase de Análisis y evaluación de riesgos según el estándar AS/NZS 4360:2004, sobre el servicio de interconexión del Sitio Principal a la red MPLS corporativa, en una empresa del sector financiero. Dentro de todas las alternativas seleccionadas para mitigar los riesgos establecidos, solo se desarrollarán las medidas en que el área de Infraestructura y Comunicaciones sea el responsable directo de la ejecución de estas mismas. 10

11 2 Servicio de interconexión del Sitio Principal a la red MPLS corporativa 2.1 Análisis de la red de interés La situación actual contempla una red MPLS (Multiprotocol Label Service: en español: Conmutación multiprotocolo mediante etiquetas) y corresponde a un mecanismo de transporte de datos estándar creado por la IETF y definido en el RFC Opera entre la capa de enlace de datos y la capa de red del modelo OSI. Es una nueva tecnología de conmutación creada para proporcionar circuitos virtuales en las redes IP [5]. Esta red MPLS abarca todo el territorio nacional, en donde todas las agencias acceden a la red a través de un enlace único dedicado, a diferencia de la casa matriz ubicada en Valparaíso y de su agencia ubicada en Santiago, las cuales se interconectan a la red a través de dos enlaces dedicados de diferentes proveedores, uno principal (Telmex) y otro de redundancia (Entel), debido a que en estos sitios se encuentran ubicados los centros de datos principal y secundario respectivamente. Su arquitectura tanto en su casa matriz como en su agencia de respaldo considera un equipo central Core (en español: Núcleo) 3750, al cual se interconectan los dos enlaces MPLS de comunicaciones, estando siempre ambos enlaces operativos, pero solo utilizando el principal. El resto de las agencias se interconectan a la red MPLS a través de un equipo Gateway Cisco 1861, los cuales están interconectados únicamente por el proveedor de enlace principal (Telmex) no teniendo otra alternativa de acceso a la red. La siguiente imagen ilustra la topología a nivel nacional, en donde se puede apreciar como los diferentes sitios están interconectados a la red MPLS. Ilustración 2: Topología actual red MPLS Se enmarca con líneas segmentadas, el enlace de interconexión de interés. 11

12 Detalle de los enlaces: Tipo de enlace Principal Sitio de Producción Respaldo Sitio Producción Principal Sitio Contingencia Respaldo Sitio Contingencia Enlaces Secundarios Descripción Enlace del proveedor Telmex que interconecta al sitio principal Enlace del proveedor Entel que interconecta al sitio principal Enlace del proveedor Telmex que interconecta al sitio de contingencia Enlace del proveedor Entel que interconecta al sitio de contingencia Enlaces que interconectan, a través del proveedor Telmex, al resto de las agencias. Tabla 1: Detalle enlaces de comunicaciones El centro de datos principal, ubicado en Valparaíso provee de todos los servicios para las aplicaciones internas como externas y está siempre activo, a su vez el centro de datos de respaldo o contingencia, ubicado en Santiago, siempre está activo, pero solo opera cuando algunos servicios dejan de funcionar en el sitio principal. La capacidad del centro de datos de respaldo o contingencia no permite operar con el 100% de los servicios, ya que la capacidad de éste es limitada respecto al sitio principal. El principio básico con el cual se trabaja es siempre poder recuperar los servicios en el sitio principal antes de tener que operar en un estado de contingencia, por ende se procura ampliar siempre la disponibilidad de los servicios en el sitio principal. Los proyectos futuros apuntan esencialmente a eliminar puntos únicos de falla entre estos servicios y los usuarios finales. Si bien se cuenta con una estructura de respaldo, ésta no alberga todos los servicios que el sitio principal otorga, por ende existe una gran dependencia de la disponibilidad de los servicios y de la infraestructura de comunicaciones que soporta estos servicios, para el normal funcionamiento de la empresa. Para que un servicio alojado en el sitio principal deje de funcionar correctamente, no solo es necesario que este deje de operar, sino que además el servicio se puede detener si, por ejemplo, se ve afectado el switch (en español: conmutador) al cual está conectado, o sí falla el Núcleo de comunicaciones, o quizás si el enlace principal falla y el de respaldo no puede traficar el servicio por saturación del enlace. En todos los casos mencionados anteriormente, para el usuario, el servicio simplemente cesó y no podrá ejecutar su trabajo. Los dos enlaces en el sitio de producción se encuentran siempre operativos, pero solo se trafica por el enlace principal, a menos que éste deje de operar. En tal caso y solo en éste entra a operar el enlace secundario. Con esta configuración no se tiene exacta certeza del estado del enlace secundario, el cual podría estar indisponible, sin que el sistema de monitoreo registrase alguna alteración. Además perfectamente se podría utilizar este enlace para descongestionar el enlace principal, en algunos servicios, y así también de paso serviría para el monitoreo de éste. 12

13 3 Análisis y evaluación de riesgos 3.1 Introducción El riesgo es inherente a todo lo que se hace, se convive con él todos los días, aunque no se esté consciente de ello. Aunque siempre se piensa en desastres, el riesgo más común que las empresas enfrentan, es el de no cumplir con sus objetivos y metas. La administración de riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. Administración de riesgos es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. Administración de riesgos es tanto identificar oportunidades como evitar o mitigar pérdidas. El proceso de administración de riegos (AS/NZS 4360:2004), establece cómo se debe llevar a cabo el análisis de los diferentes riesgos que potencialmente podrían afectar a la institución, sus procesos, infraestructura o cualquier actividad en general. En este capítulo se aplica el procedimiento de administración de riesgos (AS/NZS 4360:2004) al servicio de interconexión del Sitio Principal a la red MPLS, el cual se analiza desde el punto de vista de la empresa, con cualquier motivo que pueda interrumpir la interconexión, como del punto de vista del proveedor, con algún corte de servicio en el enlace MPLS. 3.2 Proceso de Administración de Riesgos (AS/NZS 4360:2004) El estándar provee una guía genérica para la administración de riesgos, además de entregar los componentes de la administración de riegos. Es genérico e independiente de cualquier tipo de industria o sector económico y su diseño e implementación depende de las necesidades de la organización [6]. El objetivo de este estándar es proveer una guía a las organizaciones que lo adopten para alcanzar: Una mejor base para la planeación y la toma de decisiones. Mejor identificación de oportunidades y riesgos. Ganar valor de la incertidumbre y la variabilidad. Administración proactiva en vez de reactiva. Mayor efectividad en la distribución y uso de recursos. Mejora en la administración de incidencias con una reducción de pérdidas y costos, incluyendo primas de seguros. Mejorar la confianza y credibilidad de las partes interesadas. Mejora en el cumplimiento con la legislación relevante. 13

14 A continuación se ilustra el proceso de administración de riesgos AS/NZS 4360:2004 Ilustración 3: Proceso de administración de riesgos [7]. 3.3 Análisis y Evaluación de riesgos para servicio de interconexión a la red MPLS del Sitio Principal Establecer Contexto Externo e Interno Es necesario establecer el contexto para poder definir que es un riesgo. Para poder identificar los riesgos se requiere una total comprensión de los objetivos. Riesgo es todo aquello que pudiera afectar el logro exitoso de los objetivos. 14

15 En este caso cualquier evento que interrumpa la conexión física, lógica o sensación de conectividad por parte de los usuarios, respecto a la interconexión del Sitio Principal con la red MPLS, debe ser considerado como riesgo Identificación de Riesgos En la siguiente tabla se establecen todos los potenciales riesgos a los cuales se podría ver afectado el servicio de interconexión a la red MPLS del Sitio Principal. La identificación incluye los riesgos independientemente de que estén bajo control o no en la organización. Tipo de Riesgo Descripción Posibles consecuencias Riesgo 1 Externo/Interno Corte de energía Falla red eléctrica, que alimenta a los equipos de comunicaciones. Inoperatividad de los equipos de comunicaciones y de acceso. Desconexión de la red MPLS. 2 Interno Falla en la UPS Falla equipo de respaldo eléctrico Interrupción del servicio de interconexión 3 Interno Falla en equipos de ventilación Temperatura no adecuada momentáneamente. Baja el desempeño de los equipos de comunicaciones a la red MPLS 4 Externo/Interno Inundaciones Agua en las instalaciones Daño total del equipamiento y Desconexión de la red MPLS 5 Externos Terremotos Eventos naturales Daño total del equipamiento y Desconexión de la red MPLS 6 Externo Tsunami Eventos naturales Daño total del equipamiento y Desconexión de la red MPLS 7 Externo/Interno Incendios Fuego en las instalaciones Daño total del equipamiento y Desconexión de la red MPLS 8 Interno Desconexión física hacia proveedor principal 9 Interno Desconexión física hacia proveedor de respaldo 10 Interno Corte de servicio en Corte cable, cable desconectado o en mal estado Corte cable, cable desconectado o en mal estado Servicios no disponibles Desconexión de la red MPLS. No hay desconexión, pero enlace principal queda sin respaldo Usuarios no obtendrán el acceso a servicios 15

16 servidores internos 11 Interno Corte de servicio en servidores externos 12 Interno Interrupción de servicio Callmanager 13 Externo Corte servicio MPLS proveedor principal 14 Externo Corte servicio MPLS proveedor de respaldo 15 Interno Falla sobre Núcleo de comunicaciones 16 Interno Saturación en el núcleo de comunicaciones 17 Interno Saturación de carga en el enlace 18 Externo Interrupción servicio de Internet 19 Interno Interrupción servicio WebBlocker 20 Interno/Externo Interrupción Firewall Servicios Web y DNS no disponibles Servidor de enrutamiento de llamadas deja de funcionar Cualquier motivo atribuible al proveedor principal, que origine un corte Cualquier motivo atribuible al proveedor de respaldo, que origine un corte Desperfecto eléctrico o cualquier problema interno en el núcleo de comunicaciones. Problemas en memoria, procesamiento entre otras Por sobrecarga de tráfico el servicio colapsa Falla en el acceso al servicio de internet Falla en el equipo de filtraje Web Falla en el equipo de filtraje internos ni tampoco a intranet. Usuarios externos no tendrán acceso web y pérdida de navegación web para usuarios internos. Interrupción del servicio telefónico entre anexos y local hacia Valparaíso. Desconexión momentánea, mientras se conmuta al enlace de respaldo. Posible pérdida del servicio de Internet, debido a que el mismo equipo físico provee ambos servicios. No hay desconexión, pero enlace principal queda sin respaldo Desconexión de la red MPLS Pérdida de desempeño hasta posible desconexión de la red MPLS Pérdida de desempeño hasta posible desconexión de la red MPLS, en este último caso se conmutará al enlace de respaldo. Operaciones que necesiten internet para efectuarse se ven afectadas. Posible desconexión de la red MPLS, debido a que el mismo equipo físico provee ambos servicios. Pérdida momentánea del servicio de internet Desconexión hacia servidores y hacia Internet 16

17 21 Interno Acceso no autorizado al Núcleo de comunicaciones Acceso de personas, sin permiso, a la configuración del Núcleo de comunicaciones. Desconexión de la red MPLS Tabla 2: Identificación de Riesgos Detalle de Consecuencias Desconexión red MPLS: Desconexión equipos de acceso: Desconexión equipos de comunicaciones: Daño total equipamiento Todos los usuarios externos al sitio principal quedan desconectados de la red MPLS, no obteniendo el acceso a los sistemas internos, internet, correo eléctrico y aplicaciones. La desconexión de estos equipos, afecta a los usuarios locales del sitio de principal, no permitiéndoles el acceso a la red. Estos equipos permiten las comunicaciones entre los usuarios y los servidores, por ende una desconexión de estos, producirá una interrupción en el acceso a los sistemas internos, corte en internet, correo eléctrico e interrupción de las aplicaciones a nivel nacional. Sitio principal inoperativo, todos los usuarios quedan sin servicios. Como se ha mencionado antes, el proceso de administración de riesgos contempla la identificación de de todos los posibles riesgos a los cuales el servicio de interconexión a la red MPLS del Sitio Principal, se vea afectado. Estos riesgos son de diversos tipos y de variados orígenes tanto internos como externos. Cabe resaltar que existen riesgos directos e indirectos, que pueden afectar el funcionamiento o la percepción de disponibilidad de servicio, por ejemplo un desperfecto eléctrico del Núcleo de comunicaciones es un riesgo directo, ya que este equipo es un componente físico que permite la interconexión del sitio. A su vez un riesgo indirecto puede ser una interrupción del servicio DNS, ya que si bien este no participa en la disponibilidad del servicio, para los usuarios finales no será posible la comunicación Análisis de Riesgos Se debe tener un total entendimiento y comprensión de los riesgos, para poder determinar cómo deben ser tratados de manera costo-efectiva. Involucra: La probabilidad de ocurrencia. La determinación de su impacto potencial (consecuencias). Análisis de riesgos, mediante una combinación de Impacto y su probabilidad de ocurrencia. Evaluación de Controles Se deben identificar los controles existentes en los procesos y actividades que ayudan a minimizar los riesgos negativos o mejoran los riesgos positivos. Se debe evaluar sus fuerzas y debilidades de los controles. 17

18 La Magnitud del Riesgo La Magnitud de un riesgo se determina por su probabilidad de ocurrencia y sus consecuencias o impactos asociados. Matriz de Priorización El riesgo se debe medir de acuerdo al impacto y la probabilidad y se debe ubicar en la Matriz de Priorización. Probabilidad: Frecuencia que podría presentar el riesgo. ALTA: Es muy factible que el riesgo se presente MEDIA: Es factible que el riesgo se presente BAJA: Es muy poco factible que el riesgo se presente Impacto: Forma en la cual el riesgo podría afectar los resultados del proceso. ALTO: afecta en alto grado la disponibilidad del servicio MEDIO: afecta en grado medio la disponibilidad del servicio BAJO: afecta en grado bajo la disponibilidad del servicio A continuación se presenta la Matriz de Priorización, con la cual se clasificarán los riesgos de acuerdo a su Magnitud, donde: Magnitud A: Nivel Alto de riesgo Magnitud B: Nivel Medio de riesgo Magnitud C: Nivel Bajo de riesgo ALTA B A A Probabilidad MEDIA B B A BAJA C B B BAJO MEDIA ALTO Impacto Ilustración 4: Matriz de Priorización [8] En la siguiente tabla, primordialmente, se entrega información sobre la magnitud de los riesgos analizados. La cual será de suma importancia para la etapa de evaluación, en donde serán priorizados o clasificados según los criterios definidos. 18

19 Riesgo Control existente Probabilidad Impacto Magnitud 1 Corte de energía UPS y Grupo Baja Medio B electrógeno 2 Falla en la UPS - Baja Alto B 3 Falla en equipos de Mantención Baja Bajo C ventilación mensual 4 Inundaciones Piso elevado Baja Alto B 5 Terremotos - Baja Alto B 6 Tsunami Data center en 3 Baja Medio B piso de altura 7 Incendios Extinguidores Baja Alto B 8 Desconexión física hacia Control de acceso y Baja Alto B proveedor principal monitoreo 9 Desconexión física hacia Control de acceso y Baja Medio B proveedor de respaldo monitoreo 10 Corte de servicio en Respaldo en Baja Alto B servidores internos contingencia 11 Corte de servicio en Respaldo en Baja Medio B servidores externos (Web y DNS) contingencia 12 Interrupción de servicio Call Call manager de Baja Bajo C manager respaldo 13 Corte servicio MPLS Enlace de respaldo Media Alto A proveedor principal 14 Corte servicio MPLS Enlace principal Media Medio B proveedor de respaldo 15 Falla sobre Núcleo de - Media Alto A Comunicaciones 16 Saturación en el Núcleo de - Media Alto A comunicaciones 17 Saturación de carga en el - Media Alto A enlace 18 Interrupción servicio de Enlace de respaldo Media Alto A Internet 19 Interrupción servicio WebBlocker - Media Medio B 20 Interrupción Firewall - Baja Alto B 21 Acceso no autorizado al Baja Alto B Núcleo de comunicaciones Lista de acceso y conexión a través de SSH Evaluación de riesgos Tabla 3: Análisis de Riesgos El propósito de la evaluación de riesgos es tomar decisiones basadas en los resultados del análisis de riesgos, identificar cuáles deben ser tratados y la prioridad para su tratamiento. 19

20 Establecer prioridades o criterios Riesgos con Magnitud alta (A), sin controles efectivos, requieren acciones preventivas inmediatas. Riesgos con Magnitud alta (A) y media (B) con controles no efectivos, requieren acciones de preventivas. Riesgos con Magnitud alta (A) y media (B) con controles efectivos, pero no documentados, requieren acciones de preventivas. Riesgos con priorización baja (C) o alta (A) y media (B) que tienen controles documentaddos y efectivos, requieren seguimiento. Ilustración 5: Criterios de evaluación de riesgos [9] A continuación se presenta la tabla de evaluación de riesgos, en la cual se establece la prioridad de cada riesgo y la determinación del tratamiento. Riesgo Criterio 1 Corte de energía 4 2 Falla en la UPS 3 3 Falla en equipos de ventilación 4 4 Inundaciones 3 5 Terremotos 2 6 Tsunami 3 7 Incendios 2 8 Desconexión física hacia proveedor principal 4 9 Desconexión física hacia proveedor de respaldo 4 10 Corte de servicio en servidores internos 11 Corte de servicio en servidores externos 12 Interrupción de servicio Call manager 13 Corte servicio MPLS proveedor principal 14 Corte servicio MPLS proveedor de respaldo 15 Falla sobre Núcleo de Comunicaciones 16 Saturación en el Núcleo de comunicaciones 17 Saturación de carga en el enlace 18 Interrupción servicio de Internet 19 Interrupción servicio WebBlocker 20 Interrupción Firewall 21 Acceso no autorizado al Núcleo de comunicaciones Tratar riesgo NO SI NO NO SI NO SI NO NO SI SI NO SI SI SI SI SI SI SI SI NO Tabla 4: Evaluación de riesgos 20