Universidad Autónoma
1y ago
21 Views
1 Downloads
7.29 MB
329 Pages
Report/dmca
Download PDF

Transcription

UNIVERSIDAD AUTÓNOMA “GABRIEL RENE MORENO”FACULTAD DE INGENIERÍA EN CIENCIAS DE LACOMPUTACIÓN Y TELECOMUNICACIONES“UAGRM SCHOOL OF ENGINEERING”MAESTRÍA EN AUDITORIA Y SEGURIDAD INFORMÁTICA“MODELO DE GESTIÓN DE CONTINUIDAD DEL NEGOCIOBASADO EN LA NORMA ISO 22301 PARA EL GRUPOEMPRESARIAL DE INVERSIONES NACIONAL VIDA S.A.”TRABAJO FINAL DE GRADO BAJO LA MODALIDAD DE TESIS PARA OPTARAL TÍTULO DE MAESTRO EN CIENCIASAUTOR:Ing. Alexis Andrés García SandovalDIRECTOR DE TRABAJO FINAL DE GRADO:Alida Nersa Paneque Ginarte PhD.Santa Cruz, BoliviaMarzo, 2019

IICesión de derechosDeclaro bajo juramento que el trabajo aquí descrito, titulado “Modelo de Gestión deContinuidad del Negocio basado en la norma ISO 22301 para el Grupo Empresarial deInversiones Nacional Vida S.A.” es de propia autoría; que no ha sido previamente presentadopara ningún grado de calificación profesional; y, que se ha consultado las referenciasbibliográficas que se incluyen en este documento.A través de la presente declaro que cedo mi derecho de propiedad Intelectualcorrespondiente a este trabajo, a la UAGRM Facultad de Ingeniería en Ciencias de laComputación y Telecomunicaciones, según lo establecido por la Ley de Propiedad Intelectual,por su Reglamento y por la normatividad institucional vigente.Ing. Alexis Andrés García Sandoval

IIIDedicatoriaA mis padres por enseñarme a vencer los obstáculos de la vida con esfuerzo y perseverancia.A la memoria de mi hermano Juan Alejandro a quien recordaré por siempre.A mi amada esposa y amiga Carola, por acompañarme y ayudarme a formar un proyecto devida.A mis hijos Melissa, Eduardo y Andrés por el tiempo que estuve ausente mientras trabajaba yelaboraba el presente trabajo, el cual espero los pueda inspirar para formarseprofesionalmente.

IVAgradecimientoA Dios por ser mi fuente de inspiración y darme cada día una nueva oportunidad.A la escuela de Ingeniería de la Universidad Autónoma Gabriel Rene Moreno por abrirme suspuertas y darme la oportunidad de realizar mi maestría.Al Grupo Empresarial de Inversiones Nacional Vida S.A por facilitarme un entorno dondelogré contribuir y realizar el proyecto.A todos mis colegas y amigos que me han ayudado aportando consejos sobre el caminoapropiado a seguir en mi desarrollo profesional.A la profesora Alida Paneque Ginarte PhD. directora de tesis, por dedicarme su tiempo ycompartir sus conocimientos en el área de metodología de la investigación para realizar lapresente investigación.Al personal del área de IT de TECorp S.A., por ayudarme en la ejecución de la investigación,gracias por su compromiso y aporte para la culminación del proyecto.

VRESUMENLa presente investigación responde al problema científico ¿Cómo mejorar el TiempoObjetivo de Recuperación de los Servicios de Misión Crítica afectado por los nuevos Riesgosy Amenazas de Ciberseguridad que impactan las Tecnologías de Información yComunicaciones del Grupo Empresarial de Inversiones Nacional Vida S.A.? y define comoObjetivo General: Diseñar un Modelo de Gestión de Continuidad basado en la norma ISO22301 para mejorar el Tiempo Objetivo de Recuperación de los Servicios de Misión Crítica enel contexto mencionado.Se sistematiza los planteamientos de diferentes autores y a través del método de AnálisisDocumental, se caracterizan los riesgos, amenazas y Ciberseguridad, abordando las tendenciasde las amenazas de Ciberseguridad. Así también, las definiciones de tiempo objetivo derecuperación y sus tendencias.Mediante la aplicación de instrumentos de investigación: entrevista y encuesta seevalúan los procesos de misión crítica en el contexto investigado para identificar el tiempoObjetivo de Recuperación. Se identifica como problema crítico “Los tiempos objetivos derecuperación de incidentes no responden a la meta definida por la alta dirección”.Con un enfoque de sistemas, se estructura del Modelo de Gestión de Continuidad delNegocio. Se desarrollan, a partir de la aplicación de la norma ISO 22301, las diferentescláusulas y sus objetivos: Contexto de la Organización, Liderazgo, Planificación, Recursos yOperación.Finalmente, se valida metodológica y estadísticamente la mejora en el Tiempo objetivode recuperación después de aplicar el Modelo de Gestión de Continuidad de Negociopropuesto, con la aplicación de la prueba Chi Cuadrada de Pearson.

VIABSTRACTThe purpose of this research work is to answer the question to the scientific problem:“How to improve the Recovery Time of the Critical Mission Services affected by the newCybersecurity Risks and Threats that impact the Information and CommunicationsTechnologies of the Nacional Vida S.A. Investment Group? In addition, establish a GeneralObjective, which will outline a Continuity Management Model based on the ISO 22301standard to improve the Recovery Time of the Critical Mission Services in the aforementionedcontext.The explanations of different authors are systematized through the method ofDocumentary Analysis, characterizing the risks of cybersecurity threats, as well as thedefinitions of objective time of recovery and its trends.Through the application of research tools such as interviews and surveys, the criticalmission processes in the research are evaluated to identify the Recovery Time Objectives. Acritical problem is identified if the objective times of recovery of incidents do not respond tothe goal defined by senior management".The Business Continuity Management Model is structured along a systems approach.Based on the application of the ISO 22301 standard, the different clauses and their objectivesare developed: Context of the Organization, Leadership, Planning, Resources andOperation.Finally, the improvement in the Target Recovery Time is validatedmethodologically and statistically after applying the proposed Business ContinuityManagement Model, with the application of Pearson's Chi Square test.

VIIÍNDICE GENERALINTRODUCCIÓN . 11.Antecedentes del Problema . 32.Planteamiento del problema . 52.1. Objeto de Estudio . 52.2. Campo de Acción . 53.Objetivos . 53.1. Objetivo General . 53.2. Objetivos específicos . 54.Idea Científica a Defender . 65.Justificación . 66.Delimitación de la investigación . 87.Diseño Metodológico . 97.1. Tipo de Investigación . 97.2. Métodos de Investigación. 97.3. Técnicas e Instrumentos de Investigación . 107.4. Población y Muestra . 11CAPÍTULO I. MARCO TEÓRICO Y CONCEPTUAL. 121.1. Riesgos y Amenazas de Ciberseguridad . 121.1.1. Riesgo. 121.1.2. Amenazas . 141.1.3. Ciberseguridad . 171.1.4. Tendencias de las amenazas de Ciberseguridad. 201.2. Tiempo Objetivo de Recuperación . 241.2.1. Definiciones Principales. 241.2.2. Tendencias. 271.3. Norma ISO 22301 . 271.3.1. Origen . 271.3.2. Características Principales. 30

VIII1.3.3. Tendencias de la Gestión de Continuidad . 321.4. Norma ISO 31000 . 351.4.1. Evolución . 361.4.3. Características Principales. 371.4.4. Tendencias de la Gestión de Riesgos de Ciberseguridad . 401.5. Gestión de Continuidad del Negocio (BCM) . 421.6. Análisis de Riesgo . 431.7. Análisis de Impacto (BIA: Business Impact Analysis). 431.8. Estrategias de Recuperación . 441.9. Plan de Continuidad del Negocio (BCP). 45CAPITULO II. DIAGNÓSTICO . 472.1. Acercamiento al contexto que se investiga . 472.1.1. Estructura organizacional de la empresa . 482.2. Procedimiento para el Diagnóstico. 482.2.1. Definición conceptual. 492.2.2. Definición operacional de las variables. 502.2.3. Instrumentos de investigación . 502.3. Análisis de los resultados de la aplicación de los instrumentos . 512.3.1. Resultados de la aplicación del Cuestionario de Encuesta . 512.3.2. Resultados de la aplicación del Cuestionario de Entrevista . 582.3.3. Guía de Observación . 602.4. Triangulación de los resultados de los instrumentos e identificación de los problemas . 61CAPÍTULO III. PROPUESTA. 643.1. Estructura del Modelo de Gestión de Continuidad del Negocio . 643.1.1. Por qué la ISO 22301 . 663.2. Contexto de la Organización (Cláusula 4) . 683.2.1. Descripción de la Organización . 683.2.2. Necesidades y expectativas de las partes interesadas . 753.2.3. Alcance del Modelo de Gestión de Continuidad del Negocio . 793.3. Liderazgo (Cláusula 5) . 82

IX3.3.1. Responsabilidades y Empoderamiento. 823.4. Planificación (Cláusula 6) . 903.4.1. Direccionar Riesgos, Oportunidades . 903.4.2. Objetivos y planes para Alcanzarlos . 913.5. Recursos (Cláusula 7). 923.5.1. Competencia . 933.5.2. Toma de conciencia. 953.5.3. Comunicación. 973.6. Operación (Cláusula 8) Disaster Recovery Institute (DRI) . 1043.6.1. P01 Planificación y Control Operacional . 1053.6.2. P02 Evaluación de Riesgos . 1193.6.3. P03 Análisis de Impacto al Negocio (BIA) . 1523.6.4. P04 Estrategias de Continuidad de Negocio . 1733.6.5. P06 Desarrollo e Implementación del Plan de Continuidad del Negocio (BCP) . 1943.7. Validación metodológica y estadística del proceso pre-experimental . 2163.7.1. Soporte metodológico y estadístico. 216CONCLUSIONES. 222RECOMENDACIONES . 223REFERENCIA BIBLIOGRÁFICA. 224BIBLIOGRAFÍA . 228ANEXOS . 231

XÍNDICE DE CUADROSCuadro No. 1. Desglose del Tiempo de Inactividad . 2Cuadro No. 2. Ejemplos de Estrategia de la Gestión del Riesgo . 14Cuadro No. 3. Instrumentos de Investigación . 50Cuadro No. 4. Encuestados por Cargo . 51Cuadro No. 5. Encuestados por Edad. 52Cuadro No. 6. Encuestados por Antigüedad . 53Cuadro No. 7. Encuestados por Nivel de Estudio . 53Cuadro No. 8. Explicación del Modelo PHVA . 65Cuadro No. 9. Sistemas Informáticos. 72Cuadro No. 10. Fuentes de Información . 74Cuadro No. 11. Lineamiento estratégico. 75Cuadro No. 12. Dominios de Trabajo . 80Cuadro No. 13. Criterios de Seguridad . 90Cuadro No. 14. Identificación de Grupos de interés y partes interesadas . 97Cuadro No. 15. Matriz de Poder . 98Cuadro No. 16. Principales entregables del proyecto . 108Cuadro No. 17. Estimación Resumida de Tiempos . 110Cuadro No. 18. Nivel Sigma aplicado a la Estimación de Tiempo . 111Cuadro No. 19. Estimación Resumida de Costos. 113Cuadro No. 20. Nivel Sigma aplicado a la Estimación de Costos . 114Cuadro No. 21. Matriz de asignación de responsabilidades del proyecto BCM. . 116Cuadro No. 22. Responsabilidades de Equipos en el proyecto BCM . 116Cuadro No. 23. Criterios de valoración de riesgo cualitativo . 123Cuadro No. 24. Activos de información catalogados. 127Cuadro No. 25. Valoración de dependencia de activos. 130Cuadro No. 26. Listado de amenazas sobre los activos de información . 131Cuadro No. 27. Identificación, Motivación y Beneficio del Atacante . 135Cuadro No. 28. Dominios de Amenazas . 136

XICuadro No. 29. Valoración por Dominio de Amenaza . 137Cuadro No. 30. Tabla de valoración de impactos . 138Cuadro No. 31. Evaluación de impactos acumulados . 138Cuadro No. 32. Niveles de Madurez . 139Cuadro No. 33. Resumen de evaluación de Controles existentes . 140Cuadro No. 34. Mapa de Calor . 142Cuadro No. 35. Resumen de riesgos Totales . 145Cuadro No. 36. Nivel de Tolerancia al Riesgo (figura) . 146Cuadro No. 37. Calculo del riesgo Individual y del Riesgo tratado. 149Cuadro No. 38. Valor por periodo de impacto . 155Cuadro No. 39. Valor por tipo de Actividad . 156Cuadro No. 40. Nivel del Criticidad por Tipo de Impacto. 157Cuadro No. 41. Categorías de procesos . 158Cuadro No. 42. Análisis del proceso crítico de gestión Comercial. 160Cuadro No. 43. Análisis del proceso crítico de gestión de Cobranzas . 161Cuadro No. 44. Análisis del proceso crítico de Gestión de Siniestros . 163Cuadro No. 45. BIA- Denominación general del Activo de Información . 164Cuadro No. 46. BIA- Disponibilidad del Elemento de Servicio . 164Cuadro No. 47. BIA- Parámetros de Recuperación . 165Cuadro No. 48. BIA- Niveles de Impacto . 165Cuadro No. 49. BIA - Interrupción del Servicio . 166Cuadro No. 50. BIA - Línea de Tendencia (Siguientes 12 meses) . 166Cuadro No. 51. Objetivos de recuperación (MTD, WR, RTO, RPO) . 167Cuadro No. 52. Análisis de Impacto sobre los activos de información (FOINLP). 170Cuadro No. 53. Análisis de Impacto en el Tiempo . 172Cuadro No. 54. División de los ambientes en función de los sitios. . 179Cuadro No. 55. Resumen de Propuestas financieras HPE, Dell, Lenovo . 198Cuadro No. 56. Valores percentiles para la distribución Chi Cuadrada . 218Cuadro No. 57. Calculo del 2 de la variable dependiente. 220

XIIÍNDICE DE FIGURASFigura No. 1. Razones que causan inactividad o interrupción del Negocio . 1Figura No. 2. Realización del valor de un ciberataque. 19Figura No. 3. Relación entre un RTO y RPO . 26Figura No. 4. Evolución de los estándares en Continuidad del Negocio . 29Figura No. 5. Ciclo PDCA aplicado al proceso de Continuidad del Negocio. 31Figura No. 6 Organigrama corporativo del holding de Inversiones . 48Figura No. 7. Muestra por Cargos . 52Figura No. 8. Encuestados por Género. 52Figura No. 9. Pregunta 1 – Encuesta . 54Figura No. 10. Pregunta 2 – Encuesta . 54Figura No. 11. Pregunta 3 – Encuesta . 55Figura No. 12. Pregunta 5 – Encuesta . 56Figura No. 13. Pregunta 6 – Encuesta . 56Figura No. 14. Pregunta 7 – Encuesta . 57Figura No. 15. Pregunta 8 – Encuesta . 57Figura No. 16. Pregunta 9 – Encuesta . 58Figura No. 17. Pregunta 10 – Encuesta . 58Figura No. 18. Jerarquización de los problemas . 62Figura No. 19. Gráfico del Ciclo de Mejora Continua PHVA aplicado al SGCN . 64Figura No. 20. Estructura de Trabajo del ciclo Planificar . 65Figura No. 21. Estructura de Trabajo del ciclo Hacer-Verificar-Actuar . 65Figura No. 22. Ciclo de vida BCM y BCMS basado en el modelo PDCA . 66Figura No. 23. Mapa de procesos . 71Figura No. 24. Distribución de las oficinas y agencias regionales en Bolivia . 74Figura No. 25. Proceso para definir el alcance y límite del contexto de estudio. . 79Figura No. 26. Poder de influencia de los stakeholders . 98Figura No. 27. Estimación de Tiempo aplicado a la curva de Distribución Normal. 112Figura No. 28. Cronograma de Trabajo. 112

XIIIFigura No. 29. Estimación de Costos aplicado a la curva de Distribución Normal . 114Figura No. 30. Organigrama funcional del Proyecto BCM. 115Figura No. 31. Proceso de Gestión del Riesgo . 121Figura No. 32. Proceso de Evaluación del Riesgo . 125Figura No. 33. Secuencia de tareas en la etapa de Identificación de Riesgos . 126Figura No. 34. Diagrama de Colaboración y visibilidad con dependencias. 130Figura No. 35. Relación Amenaza, Vulnerabilidad, Activo e Impacto . 137Figura No. 36. Secuencia de la etapa de Análisis de Riesgos . 141Figura No. 37. Secuencia de la etapa de Valoración de Riesgos . 144Figura No. 38. Matriz de Riesgos totales . 145Figura No. 39. Matriz de Nivel de Riesgos . 146Figura No. 40. Secuencia de la etapa de Tratamiento de Riesgos . 147Figura No. 41. Secuencia de Actividades para el Tratamiento del Riesgo . 149Figura No. 42. Alcance de la técnica de Análisis de Impacto al Negocio. 154Figura No. 43. Secuencia de tareas de Análisis de Impacto al negocio (BIA). 154Figura No. 44. Matriz de calor por periodo de impacto . 156Figura No. 45. Matriz de calor por tipo de actividad . 156Figura No. 46. Mapa de ubicación del Sitio Principal . 159Figura No. 47. Proceso para desarrollar la Estrategia de Continuidad . 174Figura No. 48. Escenario de una interrupción y recuperación del servicio . 174Figura No. 49. Mapa de ubicación del Sitio Alterno. 175Figura No. 50. Diagrama de Configuración del Sitio Templado (Warm Site). 176Figura No. 51. Diagrama de Configuración del Sitio Caliente (Hot Site). 177Figura No. 52. Diagrama de Configuración del Sitio Espejo (Mirror Site) . 178Figura No. 53. Diagrama de Red actual del Sitio Principal y Alterno . 188Figura No. 54. Diagrama de Red mejorado para el Sitio Principal y Alterno . 190Figura No. 55. Diagrama de Red mejorado del Sitio Principal y Regionales . 191Figura No. 56. Secuencia de tareas para la Adquisición de la Solución (BCP) . 196Figura No. 57. Cuadrante Mágico de Gartner para Servidores Modulares . 198Figura No. 58. Arquitectura de la solución HPE . 202

XIVFigura No. 59. Arquitectura de la solución Dell . 205Figura No. 60. Arquitectura de la Solución mixta HPE/Lenovo . 207Figura No. 61. Diagrama Solución de Servidores, Sitio Principal y Alterno . 208Figura No. 62. Transformación de los criterios de observación. 221

XVÍNDICE DE ILUSTRACIONESIlustración 1. Configuración del Backup en el repositorio. 210Ilustración 2. Configuración de un trabajo semanal (JOB) de backup a disco . 210Ilustración 3. Configuración de un trabajo mensual (JOB) de backup a Cinta . 211Ilustración 4. Configuración de tareas semanales (Task) de backup de Servidores. 211Ilustración 5. Distribución de Pool de servidores de backup . 212Ilustración 6. Pruebas de restauración de trabajos de backup . 212

XVIÍNDICE DE ANEXOSAnexo No. 1. Guía de análisis Documental . 231Anexo No. 2. Guía de Observación. 233Anexo No. 3. Cuestionario de

A la profesora Alida Paneque Ginarte PhD. directora de tesis, por dedicarme su tiempo y compartir sus conocimientos en el área de metodología de la investigación para realizar la presente investigación. Al personal del área de IT de TECorp S.A., por ayudarme en la ejecución de la investigación,

Related Books

InformatIon brochure for early detectIon and management of noma NOMA is .

InformatIon brochure for early detectIon and management of noma NOMA is .

Semester to Semester Comprehensive Course List Standard Automatic .

Semester to Semester Comprehensive Course List Standard Automatic .

St. Gabriel

St. Gabriel

Dr. Gabriel Andreas Singer Scientific Curriculum Vitae

Dr. Gabriel Andreas Singer Scientific Curriculum Vitae

Twas the Night Before- PV

Twas the Night Before- PV

Automotive Textbooks Course# Course Title Book Information All AUT .

Automotive Textbooks Course# Course Title Book Information All AUT .

YUG, KENESO, KENESO; TRACY MARTIN; And GABRIEL MARTIN .

YUG, KENESO, KENESO; TRACY MARTIN; And GABRIEL MARTIN .

Gabriel Shocks & Struts Catalog - CARiD

Gabriel Shocks & Struts Catalog - CARiD

OEM/Comp. No. OEM/Competitor Gabriel No. OEM/Comp. No.

OEM/Comp. No. OEM/Competitor Gabriel No. OEM/Comp. No.

2017-2020 - Columbia Central University

2017-2020 - Columbia Central University

Aciertos, Errores y Secretos en el Diseño de Fármacos

Aciertos, Errores y Secretos en el Diseño de Fármacos

PopularTags

Recent Views